E-Book, Deutsch, 148 Seiten
Reihe: Xpert.press
Thies Management operationaler IT- und Prozess-Risiken
2008
ISBN: 978-3-540-69007-8
Verlag: Springer Berlin Heidelberg
Format: PDF
Kopierschutz: 1 - PDF Watermark
Methoden für eine Risikobewältigungsstrategie
E-Book, Deutsch, 148 Seiten
Reihe: Xpert.press
ISBN: 978-3-540-69007-8
Verlag: Springer Berlin Heidelberg
Format: PDF
Kopierschutz: 1 - PDF Watermark
Das Buch behandelt praxisbezogene Methoden zur Analyse und Steuerung operationaler IT-Risiken entsprechend der Anforderungen im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Präsentiert werden zudem Konzepte für den Aufbau und den Ablauf einer Notfall- und Krisenorganisation in Unternehmen sowie Verfahren zur Prävention und Durchführung von Übungen im Not- oder Katastrophenfall. Zu den Praxisbeispielen werden Checklisten zur Verfügung gestellt, die als Referenz bei der Erstellung eigener Dokumente dienen.
Karlheinz Thies, geb. 1952, studierte Informatik an der Fachhochschule in Dortmund. Danach war er in unterschiedlichen Firmen als Projektmitarbeiter, Projektleiter, Teamleiter und Geschäftsführer tätig, wobei seine Aufgaben immer bereichsübergreifend waren oder sogar das Gesamtunternehmen betraf. Im Rahmen seiner Tätigkeit bei einer Großbank beschäftigte er sich seit 1994 mit dem Themen IT-, RZ-Sicherheit und Notfallplanung. Er übernahm im 'Y2K-Projekt' das Thema 'Notfall- und Kontinuitätsplanung' für den Rollover. Danach hatte er die Projektleitung für das Projekt 'Notfall- und Kontinuitätsmanagement'. In diesem Projekt wurden Methoden und Verfahren entwickelt und in der Praxis angewandt, wobei die Risikoanalyse operationaler IT-Risiken und die Vorgehensweise bei Notfall- und Katastrophenübungen zu erwähnen sind. Fusionsbedingt änderte sich der Schwerpunkt der Projektarbeit 2002 mehr in die Richtung technischer IT- Sicherheit, wobei hier entsprechende IT-Policies entwickelt und in Kraft gesetzt wurden. Danach wechselte Herr Thies zu einer neu gegründeten Wertpapierabwicklungsbank, wo er die Aufgabe eines Teamleiters 'Sicherheit Gesamtbank' übernahm. Seit 2003 ist Herr Thies als Unternehmensberater tätig und hat seit 2004 eine stetige Lehrtätigkeit an zwei Fachhochschulen übernommen, wo er Vorlesungen über Projekt- und Qualitätsmanagement hält.
Autoren/Hrsg.
Weitere Infos & Material
1;Vorwort;6
2;Inhalt;8
3;Einführung;13
4;IT-Sicherheitspolicy;14
4.1;2.1 Einordnung der IT-Sicherheitspolicy;14
4.2;2.2 Definition des Geltungsbereichs;14
4.3;2.3 Sicherheitsgrundsätze;15
4.3.1;2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel;15
4.3.2;2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung;15
4.3.3;2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein;16
4.3.4;2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten;16
4.3.5;2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards;17
4.3.6;2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes;17
4.3.7;2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur;18
4.4;2.4 Verantwortlichkeiten ;18
4.4.1;2.4.1 Geschäftsführung und Management;18
4.4.2;2.4.2 Sicherheitsorganisation;19
4.4.3;2.4.3 Mitarbeiter;21
4.5;2.5 Umsetzung ;21
4.5.1;2.5.1 Sicherheitsarchitektur;21
4.5.2;2.5.2 Aufgabengebiete;23
4.5.3;2.5.3 Kontrolle;23
5;Operationale Risiken;25
5.1;3.1 Grundbetrachtung der operationalen Risiken ;25
5.1.1;3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen?;25
5.1.2;3.1.2 Übersicht Risiken;26
5.1.3;3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben;28
5.1.4;3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB);28
6;Aufbau eines Managements operationaler IT- Risiken;31
6.1;4.1 IT-Risikobetrachtung über ein Schichtenmodell;31
6.2;4.2 Welche Sicherheit ist angemessen?;32
6.3;4.3 Grobe Vorgehensweise für ein Risikomanagement ;33
6.3.1;4.3.1 Das „operationale Risiko“;33
6.3.2;4.3.2 Aktualisierung der Werte des operationalen Risikos;33
6.3.3;4.3.3 Rollierender Report „Operationales Risiko“;34
6.4;4.4 Rahmen für Risikoeinschätzung operationaler Risiken ;34
6.4.1;4.4.1 Definitionen;34
6.4.2;4.4.2 Schutzbedürftigkeitsskalen;36
6.4.3;4.4.3 Feststellung des Schutzbedarfs;40
6.4.4;4.4.4 Qualitative Risikoeinschätzung einzelner Produkte;40
6.4.5;4.4.5 Quantitative Risikoeinschätzung eines Produktes;44
6.4.6;4.4.6 Steuerung der operationalen Risiken;45
6.4.7;4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene;46
6.4.8;4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio;47
6.4.9;4.4.9 Risikobewältigungsstrategien;48
6.5;4.5 Risikomanagement operationaler Risiken;48
7;Strukturierte Risikoanalyse;50
7.1;5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA ;50
7.1.1;5.1.1 Übersicht;50
7.1.2;5.1.2 Kurzbeschreibung der Methode;51
7.1.3;5.1.3 Begriffsbestimmung;52
7.1.4;5.1.4 Anwendung der Methode FMEA;53
7.2;5.2 Strukturierte Risikoanalyse (smart scan);61
7.2.1;5.2.1 Generelle Vorgehensweise;61
7.2.2;5.2.2 Übersicht über die Klassifizierung und Einschätzung;62
7.2.3;5.2.3 Feststellung des Schutzbedarfs;63
7.2.4;5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen;63
7.2.5;5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur;65
7.2.6;5.2.6 Ermittlung des Gesamtschutzbedarfs;67
7.2.7;5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur;68
7.2.8;5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen;70
7.2.9;5.2.9 Feststellung der Risikovorsorge;72
7.2.10;5.2.10 Feststellung des Risikos;73
7.2.11;5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA;73
7.2.12;5.2.12 Überführung der Bewertung in die FMEA;74
8;Das IT-Security & Contingency Management;76
8.1;6.1 Warum IT-Security & Contingency Management?;76
8.2;6.2 Risiken im Fokus des IT-Security & Contingency Managements;77
8.3;6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements;77
8.3.1;6.3.1 Zuständigkeiten;77
8.3.2;6.3.2 Aufbauorganisation;78
8.3.3;6.3.3 Teamleitung IT-Security & Contingency Management;79
8.3.4;6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur;79
8.3.5;6.3.5 Rolle: Contingency Management Fachbereichsbetreuung;79
8.3.6;6.3.6 Rolle: IT-Risikosteuerung;80
8.3.7;6.3.7 Schnittstellen zu anderen Bereichen;80
8.3.8;6.3.8 Besondere Aufgaben;83
8.3.9;6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements;84
9;IT-Krisenorganisation;90
9.1;7.1 Aufbauorganisation des IT-Krisenmanagements;90
9.2;7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe;90
9.2.1;7.2.1 Operativer Krisenstab;91
9.2.2;7.2.2 Strategischer Krisenstab;92
9.3;7.3 Verhältnis zwischen den beiden Krisenstäben;92
9.4;7.4 Zusammenkunft des Krisenstabs (Kommandozentrale);92
9.5;7.5 Auslöser für die Aktivierung des Krisenstabs;93
9.6;7.6 Arbeitsaufnahme des operativen Krisenstabs;96
9.6.1;7.6.1 Bilden von Arbeitsgruppen;97
9.6.2;7.6.2 Unterlagen für den Krisenstab;99
9.7;7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen ;103
9.7.1;7.7.1 Brand;103
9.7.2;7.7.2 Wassereinbruch;104
9.7.3;7.7.3 Stromausfall;104
9.7.4;7.7.4 Ausfall der Klimaanlage;104
9.7.5;7.7.5 Flugzeugabsturz;104
9.7.6;7.7.6 Geiselnahme;104
9.7.7;7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden;104
9.7.8;7.7.8 Ausfall des Host, des Rechenzentrums;105
9.7.9;7.7.9 Verstrahlung, Kontamination, Pandemie;105
9.7.10;7.7.10 Sabotage;106
9.7.11;7.7.11 Spionage;106
10;Präventiv-, Notfall-, K-Fall-Planung;107
10.1;8.1 Präventiv- und Ausfallvermeidungsmaßnahmen ;107
10.1.1;8.1.1 Generelle Vorgehensweise;107
10.1.2;8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern;108
10.1.3;8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern;108
10.1.4;8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen;109
10.1.5;8.1.5 Praktische Umsetzung und Anwendung;109
10.1.6;8.1.6 Bestehende Grundsicherheit in technischen Räumen;109
10.1.7;8.1.7 Maßnahmen in der Projektarbeit;110
10.1.8;8.1.8 Maßnahmen in der Linienaufgabe;110
10.1.9;8.1.9 Verfügbarkeitsklasse;110
10.1.10;8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen;112
10.1.11;8.1.11 Versicherung;112
10.1.12;8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen;112
10.1.13;8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen;114
10.2;8.2 Notfall- und Kontinuitätspläne ;115
10.2.1;8.2.1 Inhalte des Notfallhandbuches;115
10.2.2;8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang);115
10.2.3;8.2.3 Ziele des Notfallhandbuches;116
10.2.4;8.2.4 Praktische Anwendung und Umsetzung;116
10.2.5;8.2.5 Notfall- und K-Fall-Übungen;120
10.2.6;8.2.6 Notfallübungen;122
10.2.7;8.2.7 K-Fall-Übungen;129
11;Anhang;136
11.1;A.1 Begriffsdefinitionen Sicherheit;136
11.2;A.2 Checkliste: Organisation der IT-Sicherheit;138
11.3;A.3 Checklisten für innere Sicherheit;139
11.4;A.4 Checklisten für äußere Sicherheit;139
11.5;A.5 Checkliste Mitarbeiter;140
11.6;A.6 Checkliste Datensicherung;140
11.7;A.7 Checkliste Risikoanalyse und Sicherheitsziele;141
11.8;A.8 Mustervorlage E-Mail-Richtlinien ;141
11.8.1;I. Gegenstand und Geltungsbereich;141
11.8.2;II. Verhaltensgrundsätze;142
11.8.3;III. Einwilligung und Vertretungsregelung;143
11.8.4;IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail;143
11.9;A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements;144
12;Abkürzungsverzeichnis;145
13;Abbildungsverzeichnis;147
14;Tabellenverzeichnis;149
15;Literatur- und Quellenverweise;151
16;Index;153
