Risikomanagement-Prozesse im Unternehmen

Im Teil B dieses Buches haben wir die Anforderungen an ein RM im Unternehmen aufgezeigt. Aus diesen Anforderungen ging hervor, dass das RM auf höchster Unternehmensebene zur Frühwarnung und Steuerung der Risiken im Gesamtunternehmen für eine gute Corporate Governance unerlässlich ist. Die Einblicke in das Führungssystem zeigten, dass das Risikomanagement Einfluss auf die Strategiefindung im Unternehmen haben muss. Um den Erfordernissen einer risikoabhängigen Strategiefindung bezüglich Strategien und Massnahmen gerecht zu werden, ist sogar die Integration des RM in den Führungs- und Strategieprozess des Unternehmens zu empfehlen.

Im Teil C wurden Modelle, Methoden und Verfahren für das Management der Informationssicherheits- und der IT-Risiken beleuchtet. Ausgehend von den Erläuterungen in Abschnitt 6.5 werden die beiden Prozesse des Informationssicherheits-Managements und des IT-Risikomanagements in einem einzigen Risikomanagement-Prozess mit der Bezeichnung Informations-Risikomanagement zusammengelegt. Die Differenzierung der unterschiedlichen Risiken findet über die Risikoarten und in der Unterscheidung der Informationskriterien (Systemziele) statt (s. Abschnitt 6.3). Selbstverständlich liegt es in der Eigenheit des Unternehmens die beiden Bereiche Informationssicherheits-Governance und IT-Governance auch mit jeweils eigenständigen Risikomanagement-Prozessen und Management-Rollen (Risk Manager, Security Officer usw.) zu behandeln.

In diesem Teil D des Buches wird veranschaulicht, wie der Informations-RM-Prozess und auch andere RM-Prozesse mit dem Gesamt-RM-Prozess und dem Strategie-Prozess verzahnt werden können. Auch werden die aus der Sicherheits-Perspektive des Unternehmens wichtigen Prozesse der „Geschäftskontinuitäts-Planung“, des „Vulnerability Management“, des „Incident Management“, des „Outsourcing“ und der Auslagerung auf „Cloud-Computing“ aufgezeigt.