Risiko/Management/tmp: Unterschied zwischen den Versionen

Aus Foxwiki
K Dirkwagner verschob die Seite Risikomanagement/tmp nach Risiko/Management/tmp: Textersetzung - „Risikomanagement“ durch „Risiko/Management“
 
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Risikomanagement''' - QUELLENSAMMLUNG
'''IT-Risikomanagement''' - QUELLENSAMMLUNG
=== Motivation ===
[[Risikomanagement/Motivation]]
=== Methoden ===
* BSI-Standard 200-3
* Risikoanalyse auf der Basis von IT-Grundschutz
* klassische Risikoanalyse
* ISO 27001, 27005, 31000
* Penetrationstest
* Differenz-Sicherheitsanalyse
=== Risikomanagement ===
=== Risikomanagement ===
; Bedeutung
; Bedeutung
* Risikomanagement gewinnt an Bedeutung
* Risikomanagement gewinnt an Bedeutung
* strategischen Bedeutung von
* strategischen Bedeutung von IT-Projekten
** IT-Projekten
* IT-Projekte werden anspruchsvoller und komplexer
** IT-Projekte werden anspruchsvoller und komplexer


==== Risikomanagement umfasst ====
=== Risikomanagement umfasst ===
; Festlegungen von Zielen auf Basis der Definition einer Strategie
; Festlegungen von Zielen auf Basis der Definition einer Strategie
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle
* ggf. auch Visionen der das Risikomanagement anwendenden Stelle
Zeile 152: Zeile 140:
* Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.
* Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.


=== Aufbereitung identifizierter Risiken ===
[[Risikoaufbereitung]]
=== Bewertung und Messung von Risiken ===
[[Bewertung und Messung von Risiken]]
=== Bedrohungsanalyse ===
=== Risikoberechnung ===
=== Schlussfolgerung ===
=== Schlussfolgerung ===
* Auch bei einfachem Angreifermodell sehr hohes Risiko
* Auch bei einfachem Angreifermodell sehr hohes Risiko
Zeile 165: Zeile 145:
* Zeitliche Entwicklung beachten
* Zeitliche Entwicklung beachten


=== Sicherheitsgrundfunktionen ===
== Leitbild für das IT-Management ==
[[Sicherheitsgrundfunktionen]]
 
=== BSI-Standard 200-3 ===
[[BSI/Standard/200-3]]
 
=== Prozesse im Risikomanagement ===
==== Leitbild für das IT-Management ====
* Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
* Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
* Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
* Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
Zeile 179: Zeile 152:
* In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
* In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
* COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
* COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.
=== Bedrohungsanalyse ===
=== Risikograph ===
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Dokumentation ====
==== Links ====
===== Projekt =====
[[Kategorie:Risikomanagement]]
[[Kategorie:Tmp]]
[[Kategorie:Tmp]]
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 14:26 Uhr

IT-Risikomanagement - QUELLENSAMMLUNG

Risikomanagement

Bedeutung
  • Risikomanagement gewinnt an Bedeutung
  • strategischen Bedeutung von IT-Projekten
  • IT-Projekte werden anspruchsvoller und komplexer

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie
  • ggf. auch Visionen der das Risikomanagement anwendenden Stelle
  • Ohne konkrete Ziele lassen sich keine Abweichungen messen
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  • Festlegung einer Risikomanagement-Strategie
  • abhängig von der Risikobereitschaft
    • risikoavers, risikoneutral oder risikofreudig
Identifikation von Risiken
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung
  • Strukturierung und Dokumentation in einem Risikomanagementsystem
Prozesse im Risikomanagement
  • Risikomanagementprozess
    • Phasen
      • Risikoanalyse
      • Risikobewertung
      • Risikominimierung
      • Risikokontrolle
      • Risikoverfolgung
Informationssicherheit-Risikomanagement-Prozess
  • Risikomanagement
    • Teile des Risikomanagements
      • Erkennung und Bewertung von Risiken
      • Erarbeitung und Umsetzung von Maßnahmen
      • optimale Lösung finden
      • Risiken auf akzeptable Restrisiken reduzieren
      • wichtigste Gefahrenquellen erkennen und abschwächen
Für jeden dieser Prozesse gilt
  • In Abhängigkeit der Bedürfnisse
  • wird der Aufwand einer oder mehrerer Personen gefordert
  • Jeder Prozess wird mindestens einmal durchlaufen
  • Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich

Risikomanagement
  • Risikomanagement-Prozesse
    • Risikomanagementplanung
  • Wie wird das Risikomanagement organisiert?
  • Wie viel Risikomanagement ist nötig?
  • Haben wir Erfahrungswerte in dieser Projektart?
  • Zuständigkeiten
  • Checklisten
Risikoidentifikation
  • Identifizierung potenzieller Risiken
  • Dokumentenanalyse
  • Brainstorming
  • SWOT-Analyse
  • Ursache-Wirkungs-Analysen
  • Qualitative Risikoanalyse
  • Eintrittswahrscheinlichkeit sowie Auswirkung
  • Priorisierung (z. B. A, B und C-Risiken)
Risikomanagement
  • Bedeutung
  • Weitere Risiken
  • IT-Operations (Risiken aus dem laufenden Betrieb)
  • Administrative Fehler
  • Systemausfall
  • IT-Security (Sicherheitsrisiken)
  • Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  • Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
  • Nicht näher spezifizierte Risiken
  • Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung
  • Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  • Risikomanagementplanung legt Vorgehensweise fest
  • Planung soll sicherstellen
  • Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
  • Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
  • Erfolgschancen erhöhen
  • gut strukturierte und sorgfältig vorbereitete Planung
  • erleichtert Durchführung der anderen Risikomanagement-Prozesse
  • Erstellung eines Risikomanagementplans
  • Zusammenarbeit mit
  • Projektleitern und -mitgliedern
  • Stakeholdern
  • für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  • Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
  • des Unternehmens und
  • der Projektbeteiligten
  • Hilfreich zur Erstellung
  • bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
  • allgemein oder aus vorangegangenen Projekten
  • Prozesse im Risikomanagement
Risikomanagementplan
  • Inhalte
  • Methodologie
  • Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
  • Rollen und Verantwortlichkeiten
  • Organisation des Projektteams, Hierarchien
  • Budgetierung
  • Kostenschätzung, benötigte Einsatzmittel
  • Zeitliche Planung
  • Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
Risikokategorien
  • Strukturen für die Risikoidentifikation festlegen
  • Definition der Risikowahrscheinlichkeiten und -auswirkungen
  • als Unterstützung der Risikoanalyse
  • Prozesse im Risikomanagement
Risikoidentifikation
  • Für eine Beherrschung der Risiken, muss man diese zunächst kennen
  • Bestimmung von Risiken unterschiedlicher Art
  • Kontinuierliche Durchführung und Bestimmung
  • einzelne Risiken sind zu Beginn nicht absehbar
  • es entwickeln sich neue oder übersehene Risiken
  • Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  • Nach Identifizierung von Risiken
  • Priorisierung mit Hilfe der Risikoanalyse
Risikokategorien
  • Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  • Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
  • Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Schlussfolgerung

  • Auch bei einfachem Angreifermodell sehr hohes Risiko
  • Passworte sollten nur verschlüsselt übertragen werden!
  • Zeitliche Entwicklung beachten

Leitbild für das IT-Management

  • Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
  • Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
  • Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
  • Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
  • In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
  • COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.