Suchen und Finden
Mehr zum Inhalt
Management operationaler IT- und Prozess-Risiken - Methoden für eine Risikobewältigungsstrategie
Vorwort
6
Inhalt
8
Einführung
13
IT-Sicherheitspolicy
14
2.1 Einordnung der IT-Sicherheitspolicy
14
2.2 Definition des Geltungsbereichs
14
2.3 Sicherheitsgrundsätze
15
2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel
15
2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung
15
2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein
16
2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten
16
2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards
17
2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes
17
2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur
18
2.4 Verantwortlichkeiten
18
2.4.1 Geschäftsführung und Management
18
2.4.2 Sicherheitsorganisation
19
2.4.3 Mitarbeiter
21
2.5 Umsetzung
21
2.5.1 Sicherheitsarchitektur
21
2.5.2 Aufgabengebiete
23
2.5.3 Kontrolle
23
Operationale Risiken
25
3.1 Grundbetrachtung der operationalen Risiken
25
3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen?
25
3.1.2 Übersicht Risiken
26
3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben
28
3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB)
28
Aufbau eines Managements operationaler IT- Risiken
31
4.1 IT-Risikobetrachtung über ein Schichtenmodell
31
4.2 Welche Sicherheit ist angemessen?
32
4.3 Grobe Vorgehensweise für ein Risikomanagement
33
4.3.1 Das „operationale Risiko“
33
4.3.2 Aktualisierung der Werte des operationalen Risikos
33
4.3.3 Rollierender Report „Operationales Risiko“
34
4.4 Rahmen für Risikoeinschätzung operationaler Risiken
34
4.4.1 Definitionen
34
4.4.2 Schutzbedürftigkeitsskalen
36
4.4.3 Feststellung des Schutzbedarfs
40
4.4.4 Qualitative Risikoeinschätzung einzelner Produkte
40
4.4.5 Quantitative Risikoeinschätzung eines Produktes
44
4.4.6 Steuerung der operationalen Risiken
45
4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene
46
4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio
47
4.4.9 Risikobewältigungsstrategien
48
4.5 Risikomanagement operationaler Risiken
48
Strukturierte Risikoanalyse
50
5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA
50
5.1.1 Übersicht
50
5.1.2 Kurzbeschreibung der Methode
51
5.1.3 Begriffsbestimmung
52
5.1.4 Anwendung der Methode FMEA
53
5.2 Strukturierte Risikoanalyse (smart scan)
61
5.2.1 Generelle Vorgehensweise
61
5.2.2 Übersicht über die Klassifizierung und Einschätzung
62
5.2.3 Feststellung des Schutzbedarfs
63
5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen
63
5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur
65
5.2.6 Ermittlung des Gesamtschutzbedarfs
67
5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur
68
5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen
70
5.2.9 Feststellung der Risikovorsorge
72
5.2.10 Feststellung des Risikos
73
5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA
73
5.2.12 Überführung der Bewertung in die FMEA
74
Das IT-Security & Contingency Management
76
6.1 Warum IT-Security & Contingency Management?
76
6.2 Risiken im Fokus des IT-Security & Contingency Managements
77
6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements
77
6.3.1 Zuständigkeiten
77
6.3.2 Aufbauorganisation
78
6.3.3 Teamleitung IT-Security & Contingency Management
79
6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur
79
6.3.5 Rolle: Contingency Management Fachbereichsbetreuung
79
6.3.6 Rolle: IT-Risikosteuerung
80
6.3.7 Schnittstellen zu anderen Bereichen
80
6.3.8 Besondere Aufgaben
83
6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements
84
IT-Krisenorganisation
90
7.1 Aufbauorganisation des IT-Krisenmanagements
90
7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe
90
7.2.1 Operativer Krisenstab
91
7.2.2 Strategischer Krisenstab
92
7.3 Verhältnis zwischen den beiden Krisenstäben
92
7.4 Zusammenkunft des Krisenstabs (Kommandozentrale)
92
7.5 Auslöser für die Aktivierung des Krisenstabs
93
7.6 Arbeitsaufnahme des operativen Krisenstabs
96
7.6.1 Bilden von Arbeitsgruppen
97
7.6.2 Unterlagen für den Krisenstab
99
7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen
103
7.7.1 Brand
103
7.7.2 Wassereinbruch
104
7.7.3 Stromausfall
104
7.7.4 Ausfall der Klimaanlage
104
7.7.5 Flugzeugabsturz
104
7.7.6 Geiselnahme
104
7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden
104
7.7.8 Ausfall des Host, des Rechenzentrums
105
7.7.9 Verstrahlung, Kontamination, Pandemie
105
7.7.10 Sabotage
106
7.7.11 Spionage
106
Präventiv-, Notfall-, K-Fall-Planung
107
8.1 Präventiv- und Ausfallvermeidungsmaßnahmen
107
8.1.1 Generelle Vorgehensweise
107
8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern
108
8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern
108
8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen
109
8.1.5 Praktische Umsetzung und Anwendung
109
8.1.6 Bestehende Grundsicherheit in technischen Räumen
109
8.1.7 Maßnahmen in der Projektarbeit
110
8.1.8 Maßnahmen in der Linienaufgabe
110
8.1.9 Verfügbarkeitsklasse
110
8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen
112
8.1.11 Versicherung
112
8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen
112
8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen
114
8.2 Notfall- und Kontinuitätspläne
115
8.2.1 Inhalte des Notfallhandbuches
115
8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang)
115
8.2.3 Ziele des Notfallhandbuches
116
8.2.4 Praktische Anwendung und Umsetzung
116
8.2.5 Notfall- und K-Fall-Übungen
120
8.2.6 Notfallübungen
122
8.2.7 K-Fall-Übungen
129
Anhang
136
A.1 Begriffsdefinitionen Sicherheit
136
A.2 Checkliste: Organisation der IT-Sicherheit
138
A.3 Checklisten für innere Sicherheit
139
A.4 Checklisten für äußere Sicherheit
139
A.5 Checkliste Mitarbeiter
140
A.6 Checkliste Datensicherung
140
A.7 Checkliste Risikoanalyse und Sicherheitsziele
141
A.8 Mustervorlage E-Mail-Richtlinien
141
I. Gegenstand und Geltungsbereich
141
II. Verhaltensgrundsätze
142
III. Einwilligung und Vertretungsregelung
143
IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail
143
A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements
144
Abkürzungsverzeichnis
145
Abbildungsverzeichnis
147
Tabellenverzeichnis
149
Literatur- und Quellenverweise
151
Index
153
Alle Preise verstehen sich inklusive der gesetzlichen MwSt.