Sie sind hier
E-Book

Management operationaler IT- und Prozess-Risiken

Methoden für eine Risikobewältigungsstrategie

AutorKarlheinz H. W. Thies
VerlagSpringer-Verlag
Erscheinungsjahr2008
Seitenanzahl148 Seiten
ISBN9783540690078
FormatPDF
KopierschutzDRM
GerätePC/MAC/eReader/Tablet
Preis22,99 EUR

Das Buch behandelt praxisbezogene Methoden zur Analyse und Steuerung operationaler IT-Risiken entsprechend der Anforderungen im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Präsentiert werden zudem Konzepte für den Aufbau und den Ablauf einer Notfall- und Krisenorganisation in Unternehmen sowie Verfahren zur Prävention und Durchführung von Übungen im Not- oder Katastrophenfall. Zu den Praxisbeispielen werden Checklisten zur Verfügung gestellt, die als Referenz bei der Erstellung eigener Dokumente dienen.



Karlheinz Thies, geb. 1952, studierte Informatik an der Fachhochschule in Dortmund. Danach war er in unterschiedlichen Firmen als Projektmitarbeiter, Projektleiter, Teamleiter und Geschäftsführer tätig, wobei seine Aufgaben immer bereichsübergreifend waren oder sogar das Gesamtunternehmen betraf. Im Rahmen seiner Tätigkeit bei einer Großbank beschäftigte er sich seit 1994 mit dem Themen IT-, RZ-Sicherheit und Notfallplanung. Er übernahm im 'Y2K-Projekt' das Thema 'Notfall- und Kontinuitätsplanung' für den Rollover. Danach hatte er die Projektleitung für das Projekt 'Notfall- und Kontinuitätsmanagement'. In diesem Projekt wurden Methoden und Verfahren entwickelt und in der Praxis angewandt, wobei die Risikoanalyse operationaler IT-Risiken und die Vorgehensweise bei Notfall- und Katastrophenübungen zu erwähnen sind. Fusionsbedingt änderte sich der Schwerpunkt der Projektarbeit 2002 mehr in die Richtung technischer IT- Sicherheit, wobei hier entsprechende IT-Policies entwickelt und in Kraft gesetzt wurden. Danach wechselte Herr Thies zu einer neu gegründeten Wertpapierabwicklungsbank, wo er die Aufgabe eines Teamleiters 'Sicherheit Gesamtbank' übernahm. Seit 2003 ist Herr Thies als Unternehmensberater tätig und hat seit 2004 eine stetige Lehrtätigkeit an zwei Fachhochschulen übernommen, wo er Vorlesungen über Projekt- und Qualitätsmanagement hält.

Kaufen Sie hier:

Horizontale Tabs

Blick ins Buch
Inhaltsverzeichnis
Vorwort6
Inhalt8
Einführung13
IT-Sicherheitspolicy14
2.1 Einordnung der IT-Sicherheitspolicy14
2.2 Definition des Geltungsbereichs14
2.3 Sicherheitsgrundsätze15
2.3.1 Sicherheitsgrundsatz 1: Unternehmensziel15
2.3.2 Sicherheitsgrundsatz 2: Schadensvermeidung15
2.3.3 Sicherheitsgrundsatz 3: Sicherheitsbewusstsein16
2.3.4 Sicherheitsgrundsatz 4: Gesetzliche, aufsichtsrechtliche und vertragliche Pflichten16
2.3.5 Sicherheitsgrundsatz 5: Maßnahmen gemäß allgemeingültiger Sicherheitsstandards17
2.3.6 Sicherheitsgrundsatz 6: Aufrechterhaltung des Geschäftsbetriebes17
2.3.7 Sicherheitsgrundsatz 7: Sicherheitsarchitektur18
2.4 Verantwortlichkeiten18
2.4.1 Geschäftsführung und Management18
2.4.2 Sicherheitsorganisation19
2.4.3 Mitarbeiter21
2.5 Umsetzung21
2.5.1 Sicherheitsarchitektur21
2.5.2 Aufgabengebiete23
2.5.3 Kontrolle23
Operationale Risiken25
3.1 Grundbetrachtung der operationalen Risiken25
3.1.1 Warum sind die operationalen Risiken für ein Unternehmenzu berücksichtigen?25
3.1.2 Übersicht Risiken26
3.1.3 Gesetzliche und „quasigesetzliche“ Vorgaben28
3.1.4 KonTraG (u. a. Änderungen des AktG und des HGB)28
Aufbau eines Managements operationaler IT- Risiken31
4.1 IT-Risikobetrachtung über ein Schichtenmodell31
4.2 Welche Sicherheit ist angemessen?32
4.3 Grobe Vorgehensweise für ein Risikomanagement33
4.3.1 Das „operationale Risiko“33
4.3.2 Aktualisierung der Werte des operationalen Risikos33
4.3.3 Rollierender Report „Operationales Risiko“34
4.4 Rahmen für Risikoeinschätzung operationaler Risiken34
4.4.1 Definitionen34
4.4.2 Schutzbedürftigkeitsskalen36
4.4.3 Feststellung des Schutzbedarfs40
4.4.4 Qualitative Risikoeinschätzung einzelner Produkte40
4.4.5 Quantitative Risikoeinschätzung eines Produktes44
4.4.6 Steuerung der operationalen Risiken45
4.4.7 Aufbau des Reporting mit Darstellung der Risiken auf Prozess-/ Produktebene46
4.4.8 Risikodarstellung der Prozesse/Anwendungen in einem Risikoportfolio47
4.4.9 Risikobewältigungsstrategien48
4.5 Risikomanagement operationaler Risiken48
Strukturierte Risikoanalyse50
5.1 Schwachstellenanalyse und Risikoeinschätzung für die einzelnen IT- Systeme/ Anwendungen mit der Methode FMEA50
5.1.1 Übersicht50
5.1.2 Kurzbeschreibung der Methode51
5.1.3 Begriffsbestimmung52
5.1.4 Anwendung der Methode FMEA53
5.2 Strukturierte Risikoanalyse (smart scan)61
5.2.1 Generelle Vorgehensweise61
5.2.2 Übersicht über die Klassifizierung und Einschätzung62
5.2.3 Feststellung des Schutzbedarfs63
5.2.4 Checkliste Feststellung der Schutzbedarfsklasse bei Prozessen/ Anwendungen63
5.2.5 Checkliste Feststellung Schutzbedarfsklassen bei IT- Systemen/ IT- Infrastruktur65
5.2.6 Ermittlung des Gesamtschutzbedarfs67
5.2.7 Feststellung der Grundsicherheit von IT-Komponenten und Infrastruktur68
5.2.8 Feststellung der Sicherheit und Verfügbarkeit von Anwendungen70
5.2.9 Feststellung der Risikovorsorge72
5.2.10 Feststellung des Risikos73
5.2.11 Zuordnung und Bewertung der Risikoanalyse für die FMEA73
5.2.12 Überführung der Bewertung in die FMEA74
Das IT-Security & Contingency Management76
6.1 Warum IT-Security & Contingency Management?76
6.2 Risiken im Fokus des IT-Security & Contingency Managements77
6.3 Aufbau und Ablauforganisation des IT-Security & Contingency Managements77
6.3.1 Zuständigkeiten77
6.3.2 Aufbauorganisation78
6.3.3 Teamleitung IT-Security & Contingency Management79
6.3.4 Rolle: Security & Prevention IT-Systeme/Infrastruktur79
6.3.5 Rolle: Contingency Management Fachbereichsbetreuung79
6.3.6 Rolle: IT-Risikosteuerung80
6.3.7 Schnittstellen zu anderen Bereichen80
6.3.8 Besondere Aufgaben83
6.3.9 Anforderungsprofil an Mitarbeiter des IT-Security & Contingency Managements84
IT-Krisenorganisation90
7.1 Aufbauorganisation des IT-Krisenmanagements90
7.2 Zusammensetzung, Kompetenzen und Informationspflichten der Krisenstäbe90
7.2.1 Operativer Krisenstab91
7.2.2 Strategischer Krisenstab92
7.3 Verhältnis zwischen den beiden Krisenstäben92
7.4 Zusammenkunft des Krisenstabs (Kommandozentrale)92
7.5 Auslöser für die Aktivierung des Krisenstabs93
7.6 Arbeitsaufnahme des operativen Krisenstabs96
7.6.1 Bilden von Arbeitsgruppen97
7.6.2 Unterlagen für den Krisenstab99
7.7 Verfahrensanweisungen zu einzelnen K-Fall-Situationen103
7.7.1 Brand103
7.7.2 Wassereinbruch104
7.7.3 Stromausfall104
7.7.4 Ausfall der Klimaanlage104
7.7.5 Flugzeugabsturz104
7.7.6 Geiselnahme104
7.7.7 Ausfall der Datenübertragung intern, zum RZ, zu den Kunden104
7.7.8 Ausfall des Host, des Rechenzentrums105
7.7.9 Verstrahlung, Kontamination, Pandemie105
7.7.10 Sabotage106
7.7.11 Spionage106
Präventiv-, Notfall-, K-Fall-Planung107
8.1 Präventiv- und Ausfallvermeidungsmaßnahmen107
8.1.1 Generelle Vorgehensweise107
8.1.2 Präventivmaßnahmen, die einen möglichen Schaden verlagern108
8.1.3 Präventiv- und Ausfallvermeidungsmaßnahmen, die den Eintritt des Notfalles verhindern108
8.1.4 Präventivmaßnahmen, die die Ausübung des Notfallplans ermöglichen109
8.1.5 Praktische Umsetzung und Anwendung109
8.1.6 Bestehende Grundsicherheit in technischen Räumen109
8.1.7 Maßnahmen in der Projektarbeit110
8.1.8 Maßnahmen in der Linienaufgabe110
8.1.9 Verfügbarkeitsklasse110
8.1.10 Überprüfung von Präventiv-und Ausfallvermeidungsmaßnahmen112
8.1.11 Versicherung112
8.1.12 Checkliste zur Feststellung des Schutzbedarfs bei Präventiv- und Ausfallvermeidungsmaßnahmen112
8.1.13 Checkliste zur Überprüfung von Ausfallvermeidungsmaßnahmen114
8.2 Notfall- und Kontinuitätspläne115
8.2.1 Inhalte des Notfallhandbuches115
8.2.2 Handhabung des Notfallhandbuches (IT-Krisenstab, Notfallpläne, Anhang)115
8.2.3 Ziele des Notfallhandbuches116
8.2.4 Praktische Anwendung und Umsetzung116
8.2.5 Notfall- und K-Fall-Übungen120
8.2.6 Notfallübungen122
8.2.7 K-Fall-Übungen129
Anhang136
A.1 Begriffsdefinitionen Sicherheit136
A.2 Checkliste: Organisation der IT-Sicherheit138
A.3 Checklisten für innere Sicherheit139
A.4 Checklisten für äußere Sicherheit139
A.5 Checkliste Mitarbeiter140
A.6 Checkliste Datensicherung140
A.7 Checkliste Risikoanalyse und Sicherheitsziele141
A.8 Mustervorlage E-Mail-Richtlinien141
I. Gegenstand und Geltungsbereich141
II. Verhaltensgrundsätze142
III. Einwilligung und Vertretungsregelung143
IV. Leistungs- und Verhaltenskontrolle/Datenschutz für E-Mail143
A.9 Übersicht von Normen für Zwecke des Notfall-und Kontinuitätsmanagements144
Abkürzungsverzeichnis145
Abbildungsverzeichnis147
Tabellenverzeichnis149
Literatur- und Quellenverweise151
Index153

Weitere E-Books zum Thema: Wirtschaftsinformatik - Informationstechnik - IT

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Das Internet hat in den letzten Jahren ohne Zweifel erhebliche Veränderungen in der gesamten Ökonomie bewirkt. E-Business gehört heute zur Unternehmensrealität und konfrontiert das…

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Das Internet hat in den letzten Jahren ohne Zweifel erhebliche Veränderungen in der gesamten Ökonomie bewirkt. E-Business gehört heute zur Unternehmensrealität und konfrontiert das…

Informationsmanagement

E-Book Informationsmanagement
Format: PDF

Das Internet hat in den letzten Jahren ohne Zweifel erhebliche Veränderungen in der gesamten Ökonomie bewirkt. E-Business gehört heute zur Unternehmensrealität und konfrontiert das…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

E-Learning

E-Book E-Learning
Einsatzkonzepte und Geschäftsmodelle Format: PDF

Der vorliegende Band ist dem Lernen und Lehren auf der Basis moderner Informations- und Kommunikationstechnologien gewidmet. Das Buch fasst die wichtigsten Ansätze zur Einführung, Umsetzung und…

Weitere Zeitschriften

ARCH+.

ARCH+.

ARCH+ ist eine unabhängige, konzeptuelle Zeitschrift für Architektur und Urbanismus. Der Name ist zugleich Programm: mehr als Architektur. Jedes vierteljährlich erscheinende Heft beleuchtet ...

Ärzte Zeitung

Ärzte Zeitung

Zielgruppe:  Niedergelassene Allgemeinmediziner, Praktiker und Internisten. Charakteristik:  Die Ärzte Zeitung liefert 3 x pro Woche bundesweit an niedergelassene Mediziner ...

BMW Magazin

BMW Magazin

Unter dem Motto „DRIVEN" steht das BMW Magazin für Antrieb, Leidenschaft und Energie − und die Haltung, im Leben niemals stehen zu bleiben.Das Kundenmagazin der BMW AG inszeniert die neuesten ...

Die Versicherungspraxis

Die Versicherungspraxis

Behandlung versicherungsrelevanter Themen. Erfahren Sie mehr über den DVS. Der DVS Deutscher Versicherungs-Schutzverband e.V, Bonn, ist der Interessenvertreter der versicherungsnehmenden Wirtschaft. ...

DSD Der Sicherheitsdienst

DSD Der Sicherheitsdienst

Der "DSD – Der Sicherheitsdienst" ist das Magazin der Sicherheitswirtschaft. Es erscheint viermal jährlich und mit einer Auflage von 11.000 Exemplaren. Der DSD informiert über aktuelle Themen ...

filmdienst#de

filmdienst#de

filmdienst.de führt die Tradition der 1947 gegründeten Zeitschrift FILMDIENST im digitalen Zeitalter fort. Wir begleiten seit 1947 Filme in allen ihren Ausprägungen und Erscheinungsformen.  ...