وبلاگ بلیان

IT-Risiko-Management mit System: von den Grundlagen bis zur Realisierung - ein praxisorientierter Leitfaden, 3. Auflage

معرفی کتاب «IT-Risiko-Management mit System: von den Grundlagen bis zur Realisierung - ein praxisorientierter Leitfaden, 3. Auflage» نوشتهٔ Hans-Peter Königs، منتشرشده توسط نشر Vieweg+Teubner Verlag / Springer Fachmedien Wiesbaden GmbH در سال 2009. این کتاب در 7 صفحه، فرمت pdf، زبان آلمانی ارائه شده است.

Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen Rahmenwerke (z. B. CobiT). Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der "Corporate Governance" zum Wohle des Unternehmens umfassend Rechnung getragen. In dieser 3. Auflage sind Compliance-Themen aus der Perspektive Risiko-Management wie Basel II, SOX und Schweizerisches Obligationenrecht aktualisiert. Das Geschäftskontinuitäts- und Notfall-Managements basierend auf heutigen Standards (z. B. BS 25999-x) wird vertieft behandelt. Außerdem ergänzt ein zusätzliches Kapitel die Thematik der Kosten-Nutzen-Analyse in der IT aus Risikosicht. Cover......Page 1 Edition ......Page 3 IT-Risiko-Management mit System, 3. Auflage......Page 4 ISBN 9783834803597......Page 5 Vorwort zur 1. und 2. Auflage......Page 6 Vorwort zur 3. Auflage......Page 8 Inhaltsverzeichnis......Page 10 1.1 Warum beschäftigen wir uns mit Risiken?......Page 17 1.2 Risiken bei unternehmerischen Tätigkeiten......Page 18 1.3 Inhalt und Aufbau dieses Buchs......Page 19 Teil A: Grundlagen erarbeiten......Page 21 2 Elemente für die Durchführung eines Risiko- Managements......Page 23 2.1 Fokus und Kontext Risiko-Management......Page 24 2.2 Definition des Begriffs „Risiko“......Page 25 2.3 Anwendung Risiko-Formeln......Page 29 2.4 Subjektivität bei Einschätzung und Bewertung der Risiken......Page 30 2.5.1 Risiko-Bewertungs-Matrix......Page 31 2.5.2 Kriterien zur Schadenseinstufung......Page 32 2.5.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio......Page 36 2.5.4 Risiko-Katalog......Page 37 2.5.5 Risiko-Aggregation......Page 38 2.6 Risiko-Organisation, Kategorien und Arten von Risiken......Page 40 2.6.2 Beispiele von Risiko-Arten......Page 43 2.7 Zusammenfassung......Page 45 2.8 Kontrollfragen und Aufgaben......Page 46 3 Risiko-Management als Prozess......Page 47 3.1 Festlegung Risiko-Management-Kontext......Page 49 3.2.1 Analyse-Arten......Page 50 3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess......Page 53 3.2.3 “Value at Risk” als Risiko-Masszahl......Page 55 3.2.4 Analyse-Methoden......Page 58 3.2.5 Such-Methoden......Page 60 3.2.6 Szenario-Analyse......Page 61 3.3.1 Schwächen-Analyse......Page 62 3.3.2 Impact-Analyse......Page 63 3.4 Risiko-Bewertung......Page 64 3.5 Risiko-Bewältigung......Page 65 3.6 Risiko-Überwachung, Überprüfung und Reporting......Page 67 3.7 Risiko-Kommunikation......Page 68 3.9 Anwendungen eines Risiko-Management-Prozesses......Page 69 3.10 Zusammenfassung......Page 70 3.11 Kontrollfragen und Aufgaben......Page 71 4.1 Risiko-Management integriert in das Führungssystem......Page 75 4.2 Corporate Governance......Page 78 4.3.1 Gesetz KonTraG in Deutschland......Page 80 4.3.2 Obligationenrecht in der Schweiz......Page 81 4.3.3 Swiss Code of best Practice for Corporate Governance......Page 83 4.3.4 Basel Capital Accord (Basel II)......Page 84 4.3.5 Sarbanes-Oxley Act (SOX) der USA......Page 92 4.3.6 EuroSOX......Page 95 4.4 Risiko-Management: Anliegen der Kunden und der Öffentlichkeit......Page 96 4.5 Hauptakteure im unternehmensweiten Risiko-Management......Page 97 4.6 Zusammenfassung......Page 100 4.7 Kontrollfragen und Aufgaben......Page 101 5 Risiko-Management integriert in das Management- System......Page 103 5.1 Integrierter unternehmensweiter Risiko-ManagementProzess......Page 104 5.2.1 Unternehmens-Politik......Page 106 5.2.4 Mission und Strategische Ziele......Page 107 5.3 Strategisches Management......Page 108 5.3.1 Strategische Ziele......Page 110 5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)......Page 114 5.4.3 Balanced Scorecard und CobiT für die IT-Strategie......Page 119 5.4.4 IT-Indikatoren in der Balanced Scorecard......Page 121 5.4.6 Policies und Pläne......Page 125 5.4.7 Risikopolitische Grundsätze......Page 127 5.5 Zusammenfassung......Page 128 5.6 Kontrollfragen und Aufgaben......Page 129 Teil C: IT-Risiken erkennen und bewältigen......Page 131 6.1 Veranschaulichung der Risikozusammenhänge am Modell......Page 133 6.2 Informationen — die risikoträchtigen Güter......Page 135 6.3 System-Ziele für den Schutz von Informationen......Page 137 6.4 Informations-Sicherheit versus IT-Sicherheit......Page 140 6.5 IT-Risiko-Management, Informations-Sicherheit und Grundschutz......Page 141 6.7 Kontrollfragen und Aufgaben......Page 142 7.1 Management von IT-Risiken und Informations-Sicherheit......Page 143 7.1.1 IT-Governance und Informations-Sicherheit-Governance......Page 144 7.1.2 Informations-Sicherheit-Governance......Page 146 7.2 Organisatorische Funktionen für Informations-Risiken......Page 150 7.2.2 Chief (Information) Security Officer......Page 151 7.2.3 IT-Owner und IT-Administratoren......Page 153 7.2.5 Checks and Balances durch Organisations-Struktur......Page 154 7.3 Zusammenfassung......Page 157 7.4 Kontrollfragen und Aufgaben......Page 158 8 IT-Risiko-Management in der Führungs-Pyramide......Page 159 8.1.1 Risikound Sicherheits-Politik auf der Unternehmens-Ebene......Page 160 8.1.2 Informations-Sicherheits-Politik und ISMS-Politik......Page 161 8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen......Page 163 8.1.4 IT-Sicherheits-Architektur und -Standards......Page 165 8.1.5 IT-Sicherheitskonzepte......Page 168 8.2 Zusammenfassung......Page 169 8.3 Kontrollfragen und Aufgaben......Page 171 9.1 Bedeutung der Standard-Regelwerke......Page 173 9.2 Übersicht über wichtige Regelwerke......Page 175 9.3 Risiko-Management mit der Standard-Reihe ISO/IEC 2700x......Page 180 9.3.1 Informations-Sicherheits-Management nach ISO/IEC 27001......Page 181 9.3.2 Code of Practice ISO/IEC 27002......Page 188 9.3.3 Informations-Risiko-Management mit ISO/IEC 27005......Page 192 9.4 IT-Risiko-Management mit CobiT......Page 195 9.5 BSI-Standards und Grundschutzkataloge......Page 202 9.6 Zusammenfassung......Page 205 9.7 Kontrollfragen und Aufgaben......Page 206 10.1 IT-Risiko-Management mit Sicherheitskonzepten......Page 207 10.1.1 Kapitel „Ausgangslage“......Page 211 10.1.2 Kapitel „Systembeschreibung und Schutzobjekte“......Page 212 10.1.3 Kapitel „Risiko-Analyse“......Page 214 10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse......Page 217 10.1.5 Kapitel „Anforderungen an die Sicherheitsmassnahmen“......Page 219 10.1.6 Kapitel „Beschreibung der Sicherheitsmassnahmen“......Page 220 10.1.7 Kapitel „Umsetzung der Sicherheitsmassnahmen“......Page 221 10.1.8 Iterative und kooperative Ausarbeitung der Kapitel......Page 223 10.2 Die CRAMM-Methode......Page 224 10.3 Fehlermöglichkeitsund Einfluss-Analyse......Page 230 10.4 Fehlerbaum-Analyse......Page 232 10.5 Ereignisbaum-Analyse......Page 237 10.6 Zusammenfassung......Page 238 10.7 Kontrollfragen und Aufgaben......Page 241 11 Kosten/Nutzen-Relationen der Risikobewältigung......Page 245 11.1 Formel für Return on Security Investments (ROSI)......Page 247 11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen......Page 249 11.3 Ermittlung der Kosten der bewältigten Risiken......Page 252 11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen......Page 253 11.4.1 Grundzüge von Val IT......Page 255 11.4.2 Grundzüge von Risk IT......Page 257 11.6 Zusammenfassung......Page 260 11.7 Kontrollfragen und Aufgaben......Page 263 Teil D: Unternehmens- Prozesse meistern......Page 265 12.1 Verzahnung der RM-Prozesse im Unternehmen......Page 267 12.1.1 Risiko-Konsolidierung......Page 269 12.1.2 Subsidiäre RM-Prozesse......Page 270 12.1.3 IT-RM und Rollenkonzepte im Gesamt-RM......Page 272 12.2 Risiko-Management im Strategie-Prozess......Page 274 12.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess......Page 275 12.3 Zusammenfassung......Page 278 12.4 Kontrollfragen und Aufgaben......Page 279 13 Geschäftskontinuitäts-Management und IT-Notfall- Planung......Page 281 13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität......Page 282 13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan)......Page 283 13.1.3 Ausweichplan (Disaster Recovery Plan)......Page 285 13.1.5 Vulnerabilityund Incident Response Plan......Page 286 13.2 Business Continuity Mangement im Risk Management......Page 287 13.2.1 Start Gechäftskontinuitäts-Prozess......Page 289 13.2.2 Kontinuitäts-Analyse......Page 290 13.2.3 Massnahmen-Strategien......Page 293 13.2.4.1 Krisenmanagement......Page 295 13.2.4.2 Kriterien für Plan-Aktivierungen......Page 299 13.2.4.3 Ressourcen und externe Abhängigkeiten......Page 300 13.2.4.4 Plan-Zusammenstellung......Page 301 13.2.4.5 Kommunikationskonzept......Page 302 13.2.5.1 Tests......Page 303 13.2.5.2 Übungsvorbereitungen und -Durchführungen......Page 304 13.2.6 Kontinuitäts-Überwachung, -Überprüfung und -Reporting......Page 306 13.3 IT-Notfall-Plan, Vulnerabilityund Incident-Management......Page 307 13.3.1 Organisation eines Vulnerabilityund Incident-Managements......Page 310 13.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess......Page 312 13.4 Zusammenfassung......Page 313 13.5 Kontrollfragen und Aufgaben......Page 315 14.1.1 Einstufung der Informations-Risiken......Page 317 14.1.2 Massnahmen für die einzelnen Schutzphasen......Page 318 14.2 Risiko-Management im Lifecycle von IT-Systemen......Page 319 14.3 Synchronisation RM mit System-Lifecycle......Page 321 14.4 Zusammenfassung......Page 323 14.5 Kontrollfragen und Aufgaben......Page 324 15 Risiko-Management in Outsourcing-Prozessen......Page 327 15.1 IT-Risiko-Management im Outsourcing-Vertrag......Page 328 15.1.1 Sicherheitskonzept im Sourcing-Lifecycle......Page 329 15.1.2 Sicherheitskonzept beim Dienstleister......Page 333 15.2 Zusammenfassung......Page 335 15.3 Kontrollfragen......Page 336 Anhang......Page 337 A.1 Beispiele von Risiko-Arten......Page 339 A.2 Muster Ausführungsbestimmung für Informationsschutz......Page 343 A.3 Formulare zur Einschätzung von IT-Risiken......Page 347 A.4.1 Beispiel der Bildung eines VAR durch Vollenumeration......Page 351 A.4.2 Beispiele für Verteilung von Verlusthöhen und Verlustanzahl......Page 353 A.4.3 Aggregation mittels Monte-Carlo Methode......Page 354 Literatur......Page 355 Abkürzungsverzeichnis......Page 361 Stichwortverzeichnis......Page 363 Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen - branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen Rahmenwerke (z. B. CobiT). Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der "Corporate Governance" zum Wohle des Unternehmens umfassend Rechnung getragen. In dieser 3. Auflage sind Compliance-Themen aus der Perspektive Risiko-Management wie Basel II, SOX und Schweizerisches Obligationenrecht aktualisiert. Das Geschäftskontinuitäts- und Notfall-Managements basierend auf heutigen Standards (z. B. BS 25999-x) wird vertieft behandelt. Außerdem ergänzt ein zusätzliches Kapitel die Thematik der Kosten-Nutzen-Analyse in der IT aus Risikosicht. Der Inhalt Grundlagen erarbeiten - Anforderungen berücksichtigen - IT-Risiken erkennen und bewältigen - Unternehmensprozesse meistern Die Zielgruppen IT-Sicherheitsbeauftragte, Chief Security Officer IT-Leiter, Chief Information Officer (CIO) Geschäftsführer Projekt- und Risiko-Manager Studierende und Praktiker in der beruflichen Weiterbildung
دانلود کتاب IT-Risiko-Management mit System: von den Grundlagen bis zur Realisierung - ein praxisorientierter Leitfaden, 3. Auflage