Überblick
Die Leistung der „Informations- und IT-Sicherheit“ äussert sich vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten Informations-Risikomanagement, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.
Im Teil II dieses Buches wurden bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor in diesem Buch die Inhalte, Methoden und Verfahren des Informations-Risikomanagements im Einzelnen behandelt werden, soll deshalb festgehalten werden, wo die beiden Disziplinen IT-Risikomanagement und Informationssicherheits-Risikomanagement im Fokus der Unternehmens-Governance zu positionieren sind.
Die ISO differenziert mit zwei verschiedenen Standards zwischen der „IT-Governance“ und der „Information Security Governance“. Beide Standards führen die Aufgaben der oberen Führungspersonen unter den Begriffen „Evaluate“, „Direct“ und „Monitor“ auf. Zu den beiden sich teilweise überschneidenden Governance-Bereichen gehört auch jeweils ein entsprechendes Risikomanagement.
Während sich die „IT-Governance“ vor allem auf die Umsetzung der geschäftlichen Anforderungen durch die Informationstechnologie bezieht, nimmt die „Informationssicherheits-Governance“ Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, die sowohl in „Gefässen“ der Informationstechnologie (IT), als auch in nichttechnologischen „Erscheinungsformen“ existieren (z. B. Handnotizen auf Papier) kann.
Das IT Governance Institut der ISACA definiert IT-Governance als Verantwortlichkeit des Verwaltungsrats und der Geschäftsleitung als integralen Bestandteil der Corporate-Governance. Aufgrund der Wichtigkeit der Informationssicherheit hat das IT Governance Institut auch Anleitungen zur Umsetzung der „Informationssicherheits-Governance“ herausgegeben, die in diesem Kapitel wiedergegeben werden. Darin kommen „Best Practices“ hinsichtlich Informationssicherheit für die Ebenen des Verwaltungsrats und der Geschäftsleitung zum Ausdruck. Zusätzlich zur Behandlung des Wesens und der Abgrenzung der beiden Governance Bereiche werden in diesem Buch-Kapitel auch einige für die Risikomanagement-Aufgaben der beiden Governance-Bereiche notwendigen Führungsrollen aufgezeigt. Die Rollenbeschreibungen enthalten neben den Führungspflichten auch die notwendigen Kontrollfunktionen und Organisationsprinzipien (z. B. Gewaltentrennung).