Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Magazin als PDF - Bites, Bytes and my 5 cents - portfolio
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Abbildung 5. Ablauf Risikobeh<strong>and</strong>lung (Bildquelle: CIS)<br />
über in die Risikoüberwachung. Diesen Ablauf – auch<br />
PDCA-Prozess genannt (Plan-Do-Check-Act) – kennen<br />
Sie bereits aus dem vorherigen Artikel über die ISO<br />
27001. Eine neue Bewertung ist ebenfalls durchzuführen,<br />
wenn sich Vorgaben ändern, neue Assets implementiert<br />
werden oder die Bedrohungssituation sich ändert.<br />
Bei der Risikoakzeptanz ist es wichtig, die Entscheidungskriterien<br />
detailliert zu dokumentieren, damit sich<br />
auch später noch nachvollziehbar sind.<br />
Risikoreporting<br />
Sinn des Risikoreportings ist zum einen die Information<br />
des Managements über den aktuellen St<strong>and</strong> der Risikosituation<br />
und der eingeleiteten Maßnahmen, zum<br />
<strong>and</strong>eren dient diese natürlich auch der Dokumentation.<br />
Weitere Inhalte können z.B. sein, das Sicherheitsbewusstsein<br />
zu verbessern oder das Einfordern von Entscheidungen.<br />
Die Ergebnisse von Risikobewertungen sind i.d.R.<br />
vertraulich und dementsprechend zu h<strong>and</strong>haben.<br />
Kapitel 4 – Nutzen und Fazit<br />
Die Einführung eines Risikomanagementsystems<br />
nach ISO/IEC 27005:2008 unterscheidet sich vom<br />
Prozess her nur in Teilbereichen von der Einführung<br />
eines kompletten Risikomanagementsystems nach<br />
ISO/IEC 31000. Jedoch ist der Aufw<strong>and</strong> wesentlich<br />
geringer, da es sich nur um einen Teilbereich des Unternehmens<br />
h<strong>and</strong>elt. Auch hier gilt wieder der Grundsatz,<br />
dass Unternehmen, die bereits ein Qualitätsmanagement-System<br />
im Einsatz haben (z.B. ISO 9001),<br />
weniger Zeit benötigen, da ihnen die Prozess-orien-<br />
IT-Risikomanagement – Wozu brauche ich das?<br />
tierte Denkweise und das strukturierte Vorgehen bereits<br />
vertraut sind.<br />
Ohne Informations- und Kommunikationstechnik<br />
kann heute kaum noch ein Unternehmen auskommen,<br />
auch nicht zeitweise. Das gilt auch für kleinere und mittlere<br />
Unternehmen genauso wie für Großunternehmen<br />
und Konzerne. Deshalb sollte das Management wissen,<br />
welche Risiken gerade im IT-Bereich bestehen und wie<br />
diesen begegnet werden kann. Gerade im Bereich der<br />
Informations- und Telekommunikationssysteme sind<br />
die immateriellen Werte, <strong>als</strong>o diejenigen Werte, denen<br />
nicht eine Einkaufsrechnung gegenübergelegt werden<br />
kann, häufig kaum bekannt.<br />
Die Norm ISO/IEC 27005:2008 bietet den Vorteil,<br />
dass mit einem kleinen Teilbereich (z.B. Netzwerk) begonnen<br />
werden kann und sukzessive weitere Assets<br />
einbezogen werden können. Zudem bietet die Norm im<br />
Anhang Beispiele und Checklisten für das Vorgehen.<br />
ANDREAS LENTWOJT<br />
Der Autor ist Managementberater, CEO und Inhaber „AL-<br />
Consult“. Nach dem Studium der Betriebswirtschaft mit den<br />
Schwerpunkten Organisation und IT arbeitete er langjährig<br />
bei Banken und Finanzdienstleistern <strong>als</strong> Organisations-/IT-<br />
Leiter und später <strong>als</strong> Security-Offi cer. 2004 gründete er das<br />
Beratungsunternehmen ALConsult mit den Schwerpunkten<br />
Security und Prozessmanagement. Er ist zertifi zierter ISO<br />
27001-Auditor und besitzt weitere Zertifi kate wie CObIT und<br />
ITIL. Der Schwerpunkt der Beratung liegt im organisatorischen<br />
Bereich und den Prozessen, nicht auf der Technik.<br />
hakin9.org/de 35