heinzel pulp - Heinzel Group
heinzel pulp - Heinzel Group
heinzel pulp - Heinzel Group
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
INTEGRIERTES<br />
MANAGEMENTSYSTEM<br />
Integrated Management<br />
System<br />
IT-RISIKOMANAGEMENT<br />
Als Ergänzung zu unserem integrierten Managementsystem mit<br />
den zertifizierten Systemen für Qualität, Umwelt und Arbeitssicherheit<br />
haben wir 2005 erste Aktivitäten im Bereich Risikomanagement<br />
gesetzt. Ziel des Risikomanagements ist es, Gefahren aus<br />
den verschiedenen Unternehmensbereichen frühzeitig zu erkennen<br />
und zu reduzieren bzw. eine gezielte Notfallplanung zu ermöglichen.<br />
Aufgrund der starken Integration der Informationstechnologie<br />
in nahezu alle Unternehmensbereiche und den damit verbundenen<br />
Geschäftsprozessen wurde in einem ersten Schritt eine IT-<br />
Risikoanalyse durchgeführt. Die Vorgehensweise dabei erfolgte<br />
folgendermaßen: In einer Define-Phase wurde der Umfang der<br />
Risikoanalyse festgelegt. In der darauf folgenden Measure-Phase<br />
wurden die in den Prozessen verwendeten IT-Systeme identifiziert<br />
und analysiert. Unter Verwendung von Fragebögen wurden vorerst<br />
die Erwartungen der Prozessverantwortlichen an die IT-Systeme<br />
in Bezug auf Verfügbarkeit, Vertraulichkeit und Integrität der Daten<br />
erhoben. Danach wurden in der Analyse-Phase die erhobenen<br />
Daten einer Fehler-Möglichkeits- und Einfluss-Analyse (FMEA) unterzogen<br />
und daraus Risikokennziffern ermittelt. Anhand dieser<br />
Risikokennziffern wurde die Effizienz der bestehenden Maßnahmen<br />
und die Höhe des Risikos bewertet, mit dem Ziel jene Systeme, die<br />
einem hohen Risiko ausgesetzt sind, zu identifizieren und Maßnahmen<br />
für die Minimierung des bestehenden Risikos einzuleiten.<br />
Als Maßstab der Bewertung wurden einerseits die Vorgaben der<br />
Prozessverantwortlichen, andererseits der Gefährdungskatalog des<br />
IT-Grundschutzhandbuches des Bundesamtes für IT-Sicherheit<br />
verwendet. In der Improve-Phase schließlich wurden Maßnahmen<br />
entwickelt, die unseren IT-Einsatz und die damit verbundene Abwicklung<br />
der Geschäftsprozesse weiter verbessern und absichern<br />
sollen. In der Controll-Phase werden nunmehr die ausgearbeiteten<br />
Maßnahmen installiert und auf die Wirksamkeit überprüft.<br />
IT RISK MANAGEMENT<br />
In addition to our integrated management system<br />
with its certified systems for quality, environment and<br />
occupational health and safety, during the past fiscal<br />
year, we have taken the initial steps in the sector of<br />
risk management. The purpose of risk management<br />
is to enable early recognition of dangers in various<br />
company sectors, to reduce such threats, and to enable<br />
targeted planning for emergencies. Because IT<br />
is firmly integrated in almost all business units and in<br />
the associated business processes, we have taken<br />
an initial step and carried out an IT risk analysis<br />
that identified the core processes in the management<br />
system and analyzed the IT systems that are relevant<br />
for these core processes. The procedure went through<br />
the following phases: The “Define” phase determined<br />
the scope of the risk analysis. The “Measure” phase<br />
identified and analyzed the IT systems utilized in the<br />
processes. Using questionnaires, those employees<br />
responsible for the processes were surveyed in order<br />
to learn their expectations regarding the IT systems<br />
with respect to availability, confidentiality, and data<br />
integrity. Subsequently, the collected data was subjected<br />
to failure modes and effects analysis (FMEA),<br />
and the risk figures were determined. Based on the<br />
risk key figures, the efficiency of the existing measures<br />
and the extent of the current risk was evaluated<br />
with the goal of identifying those systems that<br />
are subject to high risk and introducing measures to<br />
minimize the existing risks.<br />
The benchmarks of the assessment were the requirements<br />
set forth by those responsible for the processes<br />
on one hand, and the risk catalog in the IT<br />
Baseline Protection Manual of the Federal Office for<br />
Information Security on the other. In the “Improve”<br />
phase, measures were developed to continue to improve<br />
our IT deployment and the associated handling<br />
of our business processes and make them all<br />
more secure. In the “Control” phase, the measures<br />
that were developed are being implemented and their<br />
effectiveness is being monitored.<br />
ZELLSTOFF PÖLS AG ANNUAL REPORT 2005<br />
15