Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top
Published in:
Einführung Read chapter Read first chapter

2017 | OriginalPaper | Chapter

7. Governance der Informationssicherheit und der IT

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

Log in

Activate our intelligent search to find suitable subject content or patents.

search-config
loading …

Überblick

Die Leistung der „Informations- und IT-Sicherheit“ äussert sich vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten Informations-Risikomanagement, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.
Im Teil II dieses Buches wurden bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor in diesem Buch die Inhalte, Methoden und Verfahren des Informations-Risikomanagements im Einzelnen behandelt werden, soll deshalb festgehalten werden, wo die beiden Disziplinen IT-Risikomanagement und Informationssicherheits-Risikomanagement im Fokus der Unternehmens-Governance zu positionieren sind.
Die ISO differenziert mit zwei verschiedenen Standards zwischen der „IT-Governance“ und der „Information Security Governance“. Beide Standards führen die Aufgaben der oberen Führungspersonen unter den Begriffen „Evaluate“, „Direct“ und „Monitor“ auf. Zu den beiden sich teilweise überschneidenden Governance-Bereichen gehört auch jeweils ein entsprechendes Risikomanagement.
Während sich die „IT-Governance“ vor allem auf die Umsetzung der geschäftlichen Anforderungen durch die Informationstechnologie bezieht, nimmt die „Informationssicherheits-Governance“ Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, die sowohl in „Gefässen“ der Informationstechnologie (IT), als auch in nichttechnologischen „Erscheinungsformen“ existieren (z. B. Handnotizen auf Papier) kann.
Das IT Governance Institut der ISACA definiert IT-Governance als Verantwortlichkeit des Verwaltungsrats und der Geschäftsleitung als integralen Bestandteil der Corporate-Governance. Aufgrund der Wichtigkeit der Informationssicherheit hat das IT Governance Institut auch Anleitungen zur Umsetzung der „Informationssicherheits-Governance“ herausgegeben, die in diesem Kapitel wiedergegeben werden. Darin kommen „Best Practices“ hinsichtlich Informationssicherheit für die Ebenen des Verwaltungsrats und der Geschäftsleitung zum Ausdruck. Zusätzlich zur Behandlung des Wesens und der Abgrenzung der beiden Governance Bereiche werden in diesem Buch-Kapitel auch einige für die Risikomanagement-Aufgaben der beiden Governance-Bereiche notwendigen Führungsrollen aufgezeigt. Die Rollenbeschreibungen enthalten neben den Führungspflichten auch die notwendigen Kontrollfunktionen und Organisationsprinzipien (z. B. Gewaltentrennung).

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

inform now
previous chapter Informationssicherheits- und IT-Risiken
next chapter Verantwortlichkeiten und Inhalte von Führungsinstrumenten gemäss Führungspyramide
Footnotes
1
Die für die Governance der Informationssicherheit zutreffenden Aufgabenbeschreibungen sind in Italics eingefügt.
 
2
Das ITGI (IT Governance Institut) wurde 1998 durch die ISACA (Information Systems Audit and Control Association) als Forschungseinrichtung auf den Gebieten der Revision und des Managements der IT und der Informationen gegründet.
 
3
Das „Board of Directors“ hat in anglo-amerikanischen Ländern die Oberleitung und Überwachungsfunktion des Unternehmens inne. In Deutschland fällt diese Rolle dem „Aufsichtsrat“ und in der Schweiz dem „Verwaltungsrat“ zu (vgl. [Böck04], S. 1759).
 
4
Das „Executive Management“ nimmt die „Führungsfunktion“ im Unternehmen ein. In Deutschland wird diese Funktion durch den „Vorstand“ und in der Schweiz durch die „Geschäftsleitung“ wahrgenommen (vgl. [Böck04], S. 1759).
 
5
Nach der ersten Ausgabe von 2001 liegt inzwischen eine zweite Ausgabe aus dem Jahre 2006 vor. Wenngleich die zweite Ausgabe verstärkt auf die Wertegenerierung durch effektive Investitionen der IT eingeht, behält die erste Ausgabe in vielen Punkten nach wie vor ihre Gültigkeit.
 
6
Die Rolle des CISO wird gelegentlich auch in die Funktion eines „Chief Security Officers“ integriert.
 
7
Vgl. „COBIT 5 for Risk“, ([Cobr13], S. 40).
 
8
Die Unterstellung des CISO unter den CIO ist im Falle, wenn der CIO auch operative Verantwortlichkeiten einnimmt, nicht empfehlenswert und durch Regulierer oder Gesetzgeber auch nur bedingt erlaubt, z. B. in Deutschland nur dann, wenn der Datenschutz durch eine nicht dem CIO unterstellte Person gewährleistet wird.
 
Literature
[Bitr04]
Biri, Kurt und Giampaolo M. Trenta: Corporate Information Security Governanance im schweizerischen Privatbankgeschäft. Diplomarbeit Executive MBA. Universität Zürich, 2004.
[Böck04]
Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
[Cobi12]
ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012.
[Cobr13]
ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Isog15]
ISO/IEC 38500:2015: Corporate governance of information technology. International Organization for Standardization, 2015.
[Isoh13]
ISO/IEC 27014:2013: Governance of information security. International Organization for Standardization, 2013.
[Itga01]
IT Governance Institute: Information Security Governance, Guidance for Boards of Directors and Executive Management. Rolling Meadows: IT Governance Institute, 2001.
[Itga06]
[Itgb03]
Metadata
Title
Governance der Informationssicherheit und der IT
Author
Hans-Peter Königs
Copyright Year
2017
Book
IT-Risikomanagement mit System

Print ISBN: 978-3-658-12003-0

Electronic ISBN: 978-3-658-12004-7

Copyright Year: 2017

DOI
https://doi.org/10.1007/978-3-658-12004-7_7

Premium Partner

    Image Credits