Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

9. Informations-Risikomanagement mit Standard-Regelwerken

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Die in diesem Kapitel aufgeführten Standards oder Rahmenwerke und Referenzmodelle, die den Status eines „De-facto-Standards“ haben, werden in diesem Kapitel als „Standard-Regelwerke“ bezeichnet. Aus den vielzähligen Standard-Regelwerken sind einige wichtige ausgewählt, die mit einem grossen Anteil dem Risikomanagement der Informationssicherheit und der Informations-Technologie im Unternehmen dienen. Die Behandlung der ausgewählten Standard-Regelwerke erfolgt dabei möglichst übersichtsweise in der Aufführung einiger wesentlicher Merkmale und Zusammenhänge. Für weitergehende und tiefere Informationen zu einzelnen Punkten ist jeweils auf die Originalquellen und die zahlreich vorhandene Spezialliteratur verwiesen. Viele dieser Standard-Regelwerke weisen für ihren Anwendungszweck Überschneidungen untereinander auf. Dennoch verfolgt jedes Standard-Regelwerk einen bestimmten Zweck und verfügt für die Anwendung bevorzugte Gesichtszüge, die aus den Beschreibungen entnommen werden können. Besonders den verschieden Rahmenwerken der „COBIT 5“-Reihe von ISACA und den Standards der ISO/IEC 270xx, wird ein jeweils grosser Buchabschnitt eingeräumt, da sie in ihrem Anwendungszweck u. a. ganzheitliche Lösungen für das Informations-Risikomanagement verfolgen und einen grossen Teil der in diesem Buch aufgegriffenen Themen tangieren. Für die prozessorientierte Umsetzung solcher Standard-Regelwerke, zu denen auch das Servicemanagement nach ITIL und ISO/IEC 20000-x gehören, wird auf den Standard ISO/IEC 33020 eingegangen. Mit diesem Standard können die Prozessfähigkeiten, alternativ zu den Reifegrad-Modellen des früheren „COBIT 4.1“-Rahmenwerks, beurteilt werden. In einem abschliessenden Abschnitt dieses Kapitels werden Praxishinweise für die Einführung und den Einsatz von Standard-Regelwerken gegeben.
Fußnoten
1
Hier werden „Informations-Risiken“ angesprochen, da einige Regelwerke definitionsgemäss sowohl den „Informationssicherheits-Risiken“ als auch den „IT-Risiken“ gelten.
 
2
Die in diesem Buch wiedergegebenen Beschreibungen beschränken sich auf die für das Risikomanagement wesentlichen Aspekte und erheben keinen Anspruch auf Detailgenauigkeit, wie sie für eine Zertifizierung nötig wäre.
 
3
Innerhalb der 5 Jahre kommen oft kleinere Korrekturen vor, die derzeit beispielsweise die Bezeichnung „ISO/IEC 27002:2013/Cor 2:2015“ trägt.
 
4
COBIT® = Control Objectives for Information and Related Technology.
 
5
Neben der Vielzahl von ISACA-Publikationen kann auf das ausführliche, deutschsprachige Buch „Praxiswissen COBIT“ von Markus Gaulke hingewiesen werden [Gaul14].
 
6
S. Beschreibung der Balanced Scorecard in Abschn. 5.​5.
 
7
RACI: Responsible, Accountable, Consulted and Informed.
 
8
Definition Risikoszenario in COBIT 5: Ein Risikoszenarioist die Beschreibung eines möglichen Ereignisses, das bei Eintritt eine ungewisse Auswirkung auf die Erreichung der Unternehmensziele hat. Die Auswirkung kann positiv oder negativ sein.
 
9
Anm.: Der derzeit publizierte Standard 100–1 bezieht sich noch auf die Standards ISO/IEC 27001 und ISO/IEC 27002 in ihren alten Versionen von 2005. In den neuen Versionen dieser beiden Standards von 2013 haben sich besonders hinsichtlich der zu verwendenden „Controls“ in ISO/IEC 27002, aber auch bezüglich der Anforderungsklauseln in ISO/IEC 27001 wesentliche inhaltliche Anpassungen ergeben.
 
10
Der Basis-Sicherheitscheck dient einem schnellen Überblick über das Sicherheitsniveau in Bezug auf die Umsetzung des Grundschutzes in einem IT-Verbund.
 
11
Die Standard-Reihe ISO/IEC 330xy ersetzt die Standard-Reihe ISO/IEC 15504-x, auf die sich die aktuellen COBIT-5-Publikationen noch beziehen.
 
12
Der in den COBIT-5-Publikationen referenzierte Standard ISO/IEC 15504–2 ist in den massgeblichen Spezifikationen durch den Standard ISO/IEC 33020:2015 abgelöst worden.
 
Literatur
[Bsig08]
Zurück zum Zitat BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008. BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008.
[Bsik16]
Zurück zum Zitat BSI: BSI IT-Grundschutz-Kataloge, 15. Ergänzungslieferung. Bonn: BSI, 2016. BSI: BSI IT-Grundschutz-Kataloge, 15. Ergänzungslieferung. Bonn: BSI, 2016.
[Bsim08]
Zurück zum Zitat BSI: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), Version 1.5. Bonn: BSI, 2008. BSI: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), Version 1.5. Bonn: BSI, 2008.
[Bsin08]
Zurück zum Zitat BSI: Notfallplanung, Version 1.0. Bonn: BSI, 2008. BSI: Notfallplanung, Version 1.0. Bonn: BSI, 2008.
[Bsir08]
Zurück zum Zitat BSI: BSI-Standard 100–3: Risikoanalyse auf der Basis von IT-Grundschutz, Version 2.5. Bonn: BSI, 2008. BSI: BSI-Standard 100–3: Risikoanalyse auf der Basis von IT-Grundschutz, Version 2.5. Bonn: BSI, 2008.
[Bucs08]
Zurück zum Zitat Buchsein, Ralf et al.: IT-Management mit ITIL® V3, 2. Auflage. Wiesbaden: Vieweg+Teubner, 2008. Buchsein, Ralf et al.: IT-Management mit ITIL® V3, 2. Auflage. Wiesbaden: Vieweg+Teubner, 2008.
[Cobf12]
Zurück zum Zitat ISACA: COBIT® 5 – A business Framework for the Governance and Management of Enterprise IT. Rolling Meadows: Information Systems Audit and Control Association, 2012. ISACA: COBIT® 5 – A business Framework for the Governance and Management of Enterprise IT. Rolling Meadows: Information Systems Audit and Control Association, 2012.
[Cobr13]
Zurück zum Zitat ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013. ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Gaul14]
Zurück zum Zitat Gaulke, Markus: Praxiswissen COBIT, Grundlagen und praktische Anwendung in der Unternehmens-IT, 2. Auflage. Heidelberg: dpunkt.Verlag, 2014. Gaulke, Markus: Praxiswissen COBIT, Grundlagen und praktische Anwendung in der Unternehmens-IT, 2. Auflage. Heidelberg: dpunkt.Verlag, 2014.
[Iryn12]
Zurück zum Zitat Windhorst, Iryna und Benedikt Pirzer: Managementsysteme für InformatIonssicherheit: Marktübersicht. Vorgehensmodell. Handlungsempfehlungen.Garching bei München: Fraunhofer Research Institution AISEC, 2012. Windhorst, Iryna und Benedikt Pirzer: Managementsysteme für InformatIonssicherheit: Marktübersicht. Vorgehensmodell. Handlungsempfehlungen.Garching bei München: Fraunhofer Research Institution AISEC, 2012.
[Isoc09]
Zurück zum Zitat ISO/IEC 15408-1:2009: Evaluation criteria for IT security – Part 1: Introduction and general model. International Organization for Standardization, 2009. ISO/IEC 15408-1:2009: Evaluation criteria for IT security – Part 1: Introduction and general model. International Organization for Standardization, 2009.
[Isoe15]
Zurück zum Zitat ISO/IEC 33020:2015: Process assessment – Process measurement framework for assessment of process capability. International Organization for Standardization, 2015. ISO/IEC 33020:2015: Process assessment – Process measurement framework for assessment of process capability. International Organization for Standardization, 2015.
[Prin09]
Zurück zum Zitat Hedeman, Bert und Ron Seegers: Prince2® 2009 Edition – Das Taschenbuch. Van Haren Publishing, 2009. Hedeman, Bert und Ron Seegers: Prince2® 2009 Edition – Das Taschenbuch. Van Haren Publishing, 2009.
Metadaten
Titel
Informations-Risikomanagement mit Standard-Regelwerken
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_9

Premium Partner