Suchen und Finden
Mehr zum Inhalt
IT-Risiko-Management mit System - Von den Grundlagen bis zur Realisierung - Ein praxisorientierter Leitfaden
Vorwort
6
Inhaltsverzeichnis
8
1 Einführung
14
1.1 Warum beschäftigen wir uns mit Risiken?
14
1.2 Risiken bei unternehmerischen Tätigkeiten
15
1.3 Inhalt und Aufbau dieses Buchs
16
Teil A Grundlagen erarbeiten
19
2 Elemente für die Durchführung eines Risiko- Managements
20
2.1 Fokus und Kontext Risiko-Management
21
2.2 Definition des Begriffs „Risiko“
22
2.3 Anwendung der Risiko-Formel
25
2.4 Subjektivität bei der Risiko-Einschätzung
26
2.5 Hilfsmittel zur Risiko-Einschätzung
26
2.5.1 Risiko-Matrix
26
2.5.2 Schadenseinstufung
28
2.5.3 Risiko-Karte und Risiko-Portfolio
30
2.5.4 Risiko-Katalog
31
2.5.5 Risiko-Aggregierung
32
2.6 Risiko-Kategorien, Risiko-Arten und Top-Down-Vorgehen
33
2.6.1 Bedrohungslisten
34
2.6.2 Beispiele von Risiko-Arten
35
2.7 Zusammenfassung
37
2.8 Kontrollfragen und Aufgaben
38
3 Risiko-Management als Prozess
40
3.1 Festlegung Risiko-Management-Kontext
42
3.2 Durchführung der Risiko-Analyse
43
3.2.1 Analyse-Arten
43
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess
45
3.2.3 Value at Risk-Methode
47
3.2.4 Analyse-Methoden
49
3.2.5 Such-Methoden
51
3.2.6 Szenarien-Analyse
52
3.3 Durchführung von Teil-Analysen
52
3.3.1 Schwächen-Analyse
52
3.3.2 Impact-Analyse
53
3.4 Risiko-Bewertung
54
3.5 Risiko-Bewältigung
55
3.6 Risiko-Kontrolle und -Reporting
57
3.7 Risiko-Kommunikation
58
3.8 Anwendungen eines Risiko-Management-Prozesses
58
3.9 Zusammenfassung
59
3.10 Kontrollfragen und Aufgaben
60
Teil B Anforderungen berücksichtigen
62
4 Risiko-Management, ein Pflichtfach der Unternehmensführung
64
4.1 Corporate Governance
65
4.2 Anforderungen von Gesetzgebern und Regulatoren
67
4.2.1 Gesetz KonTraG in Deutschland
67
4.2.2 Obligationenrecht in der Schweiz
68
4.2.3 Swiss Code of best Practice for Corporate Governance
69
4.2.4 Basel Capital Accord (Basel II)
70
4.2.5 Sarbanes-Oxley Act (SOX) der USA
73
4.3 Risiko-Management: Anliegen der Kunden und Öffentlichkeit
75
4.4 Hauptakteure im unternehmensweiten Risiko-Management
76
4.5 Zusammenfassung
79
4.6 Kontrollfragen und Aufgaben
80
5 Risiko-Management integriert in das Management- System
82
5.1 Integrativer Risiko-Management-Prozess
83
5.2 Normatives Management
85
5.2.1 Unternehmenspolitik
85
5.2.2 Unternehmensverfassung
85
5.2.3 Unternehmenskultur
86
5.2.4 Mission und Strategische Ziele
86
5.2.5 Vision als Input des Strategischen Managements
87
5.3 Strategisches Management
87
5.3.1 Strategische Ziele
89
5.3.2 Strategien
93
5.4 Strategie-Umsetzung
93
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)
93
5.4.2 Unternehmensübergreifende BSC
98
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie
98
5.4.4 IT-Indikatoren in der Balanced Score Card
100
5.4.5 Operatives Management (Gewinn-Management)
104
5.4.6 Policies und Pläne
104
5.4.7 Risikopolitische Grundsätze
106
5.5 Zusammenfassung
107
5.6 Kontrollfragen und Aufgaben
108
Teil C IT-Risiken erkennen und bewältigen
110
6 Informations- und IT-Risiken
112
6.1 Veranschaulichung der Risikozusammenhänge am Modell
112
6.2 Informationen — die risikoträchtigen Güter
114
6.3 Systemziele für den Schutz von Informationen
116
6.4 Informations-Sicherheit versus IT-Sicherheit
118
6.5 IT-Risikomanagement, IT-Sicherheit und Grundschutz
119
6.6 Zusammenfassung
120
6.7 Kontrollfragen und Aufgaben
121
7 Informations-Sicherheit und Corporate Governance
122
7.1 Management von IT-Risiken und Informations-Sicherheit
122
7.1.1 IT-Governance und Informations-Sicherheit-Governance
123
7.1.2 Leitfaden für Informations-Sicherheit-Governance
124
7.2 Organisatorische Funktionen für Informations-Risiken
128
7.2.1 Chief Information Officer (CIO)
129
7.2.2 Chief (Information) Security Officer
129
7.2.3 Checks and Balances durch Organisations-Struktur
131
7.3 Zusammenfassung
133
7.4 Kontrollfragen und Aufgaben
134
8 IT-Risiko-Management in der Führungs-Pyramide
136
8.1 Ebenen der IT-Risiko-Management-Führungspyramide
137
8.1.1 Risiko- und Sicherheitspolitik auf der Unternehmens-Ebene
137
8.1.2 Informations-Sicherheitspolitik
138
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen
140
8.1.4 IT-Sicherheitsarchitektur und -Standards
142
8.1.5 IT-Sicherheitskonzepte
145
8.2 Zusammenfassung
146
8.3 Kontrollfragen und Aufgaben
147
9 IT-Risiko-Management mit Standard-Regelwerken
148
9.1 Bedeutung der Standard-Regelwerke
148
9.2 Wichtige Regelwerke der Informations-Sicherheit
150
9.2.1 IT-Risiko-Bewältigung mit ISO/IEC 17799 und ISO/IEC 27001
154
9.2.2 IT-Risiko-Bewältigung mit CobiT
157
9.3 Zusammenfassung
162
9.4 Kontrollfragen und Aufgaben
163
10 Methoden und Werkzeuge zum IT-Risiko- Management
164
10.1 IT-Risikomanagement mit Sicherheitskonzepten
164
10.1.1 Ausgangslage
168
10.1.2 Systembeschreibung und Schutzobjekte
169
10.1.3 Risiko-Analyse
171
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse
174
10.1.5 Anforderungen an die Sicherheitsmassnahmen
175
10.1.6 Beschreibung der Sicherheitsmassnahmen
177
10.1.7 Umsetzung der Sicherheitsmassnahmen
177
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel
179
10.2 Die CRAMM-Methode
180
10.3 Fehlermöglichkeits- und Einflussanalyse
186
10.4 Fehlerbaumanalyse
189
10.5 Ereignisbaum-Analyse
193
10.6 Zusammenfassung
195
10.7 Kontrollfragen und Aufgaben
197
Teil D Unternehmens- Prozesse meistern
202
11 Risiko-Management-Prozesse im Unternehmen
204
11.1 Verzahnung der RM-Prozesse im Unternehmen
204
11.1.1 Risiko-Konsolidierung
206
11.1.2 Subsidiäre RM-Prozesse
207
11.1.3 IT-RM im Gesamt-RM
208
11.2 Risiko-Management im Strategie-Prozess
210
11.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess
211
11.2.2 Periodisches Risiko-Reporting
214
11.3 Zusammenfassung
214
11.4 Kontrollfragen und Aufgaben
215
12 Geschäftskontinuitäts-Planung und IT-Notfall- Planung
218
12.1 Einzelpläne zur Unterstützung der Geschäft-Kontinuität
219
12.1.1 Geschäftskontiuitäts-Plan (Business Continuity Plan)
219
12.1.2 Geschäftswiedererlangungs-Plan (Business Recovery Plan)
220
12.1.3 Betriebskontinuitäts-Plan (Continuity of Operations Plan)
220
12.1.4 Notfall-Plan (Disaster Recovery Plan)
220
12.1.5 IT-Notfall-Plan (IT Contingency Plan)
221
12.1.6 Vulnerability- und Incident Response Plan
221
12.2 Geschäftskontinuitäts-Planung
222
12.2.1 Start Geschäftskontinuitäts-Plan
223
12.2.2 Bedrohungs- und Verletzlichkeits-Analyse
224
12.2.3 Geschäfts-Impact-Analyse
224
12.2.4 Problemerfassung und Lagebeurteilung
225
12.2.5 Kriterien für Plan-Aktivierungen
226
12.2.6 Ressourcen und externe Abhängigkeiten
228
12.2.7 Zusammenstellung Kontinuitäts-Plan
228
12.2.8 Kommunikationskonzept
230
12.2.9 Tests, Übungen und Plan-Unterhalt
231
12.3 IT-Notfall-Plan, Vulnerability- und Incident-Management
233
12.3.1 Organisation eines Vulnerability- und Incident-Managements
235
12.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess
238
12.4 Zusammenfassung
239
12.5 Kontrollfragen und Aufgaben
241
13 Risiko-Management im Lifecycle von Informationen und Systemen
242
13.1 Schutz von Informationen im Lifecycle
242
13.1.1 Einstufung der Informations-Risiken
242
13.1.2 Massnahmen für die einzelnen Schutzphasen
243
13.2 Risiko-Management im Lifecycle von IT-Systemen
244
13.3 Synchronisation RM mit System-Lifecycle
246
13.4 Zusammenfassung
248
13.5 Kontrollfragen und Aufgaben
249
14 Sourcing-Prozesse
252
14.1 IT-Risiko-Management im Outsourcing-Vertrag
253
14.1.1 Sicherheitskonzept im Outsourcing-Lifecycle
255
14.1.2 Sicherheitskonzept im Insourcing-Lifecycle
258
14.2 Zusammenfassung
260
14.3 Kontrollfragen
261
Anhang
263
A.1 Beispiele von Risiko-Arten
264
A.2 Muster Ausführungsbestimmung für Informationsschutz
268
A.3 Formulare zur Einschätzung von IT-Risiken
272
Literatur
276
Abkürzungsverzeichnis
280
Stichwortverzeichnis
282
Geleitwort
294
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.