Skip to main content
Top

Hint

Swipe to navigate through the chapters of this book

2017 | OriginalPaper | Chapter

8. Verantwortlichkeiten und Inhalte von Führungsinstrumenten gemäss Führungspyramide

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

share
SHARE

Überblick

Nach der Behandlung der Governance Aspekte und der möglichen organisatorischen Strukturen und Funktionen im Unternehmen, stellt sich nun die Frage, wie das Informations-Risikomanagement in der Praxis konkret umgesetzt werden kann. Zur Umsetzung bedarf es der Instrumente, aber auch einer Zuordnung von Aufgaben, Verantwortlichkeiten und Kompetenzen sowie der für die Umsetzung notwendigen Ressourcen. Wie in einem grösseren Unternehmen die Umsetzung der Governance und des Managements des Informations-Risikomanagements und der Informationssicherheit sowohl in Bezug auf die Führungsebenen als auch hinsichtlich praktikabler Führungsinstrumente durchführbar ist, wird anhand einer sogenannten Führungspyramide visualisiert.
Für die Kommunikation, die Anweisung und Kontrolle der Umsetzung des Risikomanagements, vor allem hinsichtlich der Informationssicherheit, sind die Policies und für die technische Umsetzung die Sicherheitskonzepte praktikable Mittel. Die Aufteilung von Policy-Themen kann mittels eines gezeigten beispielhaften Rahmenkonzepts erfolgen.
Bezüglich der Ressourcenplanung sind, neben den wichtigen Personal-Ressourcen, auch technische Mittel notwendig, die zu einem grossen Teil in der Form von Sicherheitsmassnahmen, im Rahmen einer „IT-Sicherheitsarchitektur“, zum Einsatz gelangen sollen. Eine solche Architektur soll, im Einklang mit der Forderung nach „risikobasierten Massnahmen“, vorausschauend und nach Wirksamkeits- und Effizienzkriterien geplant, umgesetzt und betrieben werden. Anhand von Beispielen wird gezeigt, wie eine solche Architektur mit Einzel-„Bausteinen“ aufgebaut werden kann. Sowohl mittels Bausteinen einer unternehmenseigenen Sicherheitsarchitektur als auch mit einzelnen aus Grundschutzkatalogen (Baseline Security Standards) entnommenen Bausteinen ist es möglich und sinnvoll, für die typische Risiko-Exponierung des Unternehmens einen breiten, wenn auch nicht alle Anforderungen abdeckenden Schutz im Unternehmen einzuführen und zu unterhalten. Bevor das Kapitel mit Empfehlungen für risikobasierte IT-Sicherheitskonzepte abschliesst, wird eine sinnvolle Koexistenz von „Grundschutz und risikobasierten Massnahmen“ diskutiert.
Footnotes
1
Der in der anglo-amerikanischen Management-Literatur und auch in den internationalen Standards verwendete Begriff „Policy“ wird in diesem Buch meist als englischsprachiger Fachbegriff belassen oder als „Richtlinie“ übersetzt.
 
2
Ein ähnliches Policy-Konzept wird auch durch COBIT 5 for Risk vorgeschlagen ([Cobr13], S. 31–32). Doch ist der COBIT-5-Risikomanagement-Prozess im Wesentlichen auf die Informations-Technologie (IT) fokussiert.
 
3
In diesem Buch wird der in der internationalen englischsprachigen Standardisierung übliche Begriff „Policy“ verwendet, da er im deutschsprachigen Raum nicht einheitlich in „Richtlinie“ übersetzt wird.
 
4
Im angloamerikanischen Sprachgebrauch entsprechen die Weisungen den „Policies“ und die Anleitungen den „Standards, Procedures and Guidelines“.
 
5
SAN = Storage Area Network.
 
Literature
[Bsig08]
go back to reference BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008. BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008.
[Cobr13]
go back to reference ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013. ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Isoc13]
go back to reference ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013. ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013.
[Isom13]
go back to reference ISO/IEC 27001:2013: Information Security Management System-Requirements. International Organization for Standardization, 2013. ISO/IEC 27001:2013: Information Security Management System-Requirements. International Organization for Standardization, 2013.
[Niis10]
go back to reference NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-37r1. Washington DC: U.S. Department of Commerce, 2010. NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-37r1. Washington DC: U.S. Department of Commerce, 2010.
[Niss13]
go back to reference NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-53r4. Washington DC: U.S. Department of Commerce, 2013. NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-53r4. Washington DC: U.S. Department of Commerce, 2013.
Metadata
Title
Verantwortlichkeiten und Inhalte von Führungsinstrumenten gemäss Führungspyramide
Author
Hans-Peter Königs
Copyright Year
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_8

Premium Partner