Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

8. Verantwortlichkeiten und Inhalte von Führungsinstrumenten gemäss Führungspyramide

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Nach der Behandlung der Governance Aspekte und der möglichen organisatorischen Strukturen und Funktionen im Unternehmen, stellt sich nun die Frage, wie das Informations-Risikomanagement in der Praxis konkret umgesetzt werden kann. Zur Umsetzung bedarf es der Instrumente, aber auch einer Zuordnung von Aufgaben, Verantwortlichkeiten und Kompetenzen sowie der für die Umsetzung notwendigen Ressourcen. Wie in einem grösseren Unternehmen die Umsetzung der Governance und des Managements des Informations-Risikomanagements und der Informationssicherheit sowohl in Bezug auf die Führungsebenen als auch hinsichtlich praktikabler Führungsinstrumente durchführbar ist, wird anhand einer sogenannten Führungspyramide visualisiert.
Für die Kommunikation, die Anweisung und Kontrolle der Umsetzung des Risikomanagements, vor allem hinsichtlich der Informationssicherheit, sind die Policies und für die technische Umsetzung die Sicherheitskonzepte praktikable Mittel. Die Aufteilung von Policy-Themen kann mittels eines gezeigten beispielhaften Rahmenkonzepts erfolgen.
Bezüglich der Ressourcenplanung sind, neben den wichtigen Personal-Ressourcen, auch technische Mittel notwendig, die zu einem grossen Teil in der Form von Sicherheitsmassnahmen, im Rahmen einer „IT-Sicherheitsarchitektur“, zum Einsatz gelangen sollen. Eine solche Architektur soll, im Einklang mit der Forderung nach „risikobasierten Massnahmen“, vorausschauend und nach Wirksamkeits- und Effizienzkriterien geplant, umgesetzt und betrieben werden. Anhand von Beispielen wird gezeigt, wie eine solche Architektur mit Einzel-„Bausteinen“ aufgebaut werden kann. Sowohl mittels Bausteinen einer unternehmenseigenen Sicherheitsarchitektur als auch mit einzelnen aus Grundschutzkatalogen (Baseline Security Standards) entnommenen Bausteinen ist es möglich und sinnvoll, für die typische Risiko-Exponierung des Unternehmens einen breiten, wenn auch nicht alle Anforderungen abdeckenden Schutz im Unternehmen einzuführen und zu unterhalten. Bevor das Kapitel mit Empfehlungen für risikobasierte IT-Sicherheitskonzepte abschliesst, wird eine sinnvolle Koexistenz von „Grundschutz und risikobasierten Massnahmen“ diskutiert.
Fußnoten
1
Der in der anglo-amerikanischen Management-Literatur und auch in den internationalen Standards verwendete Begriff „Policy“ wird in diesem Buch meist als englischsprachiger Fachbegriff belassen oder als „Richtlinie“ übersetzt.
 
2
Ein ähnliches Policy-Konzept wird auch durch COBIT 5 for Risk vorgeschlagen ([Cobr13], S. 31–32). Doch ist der COBIT-5-Risikomanagement-Prozess im Wesentlichen auf die Informations-Technologie (IT) fokussiert.
 
3
In diesem Buch wird der in der internationalen englischsprachigen Standardisierung übliche Begriff „Policy“ verwendet, da er im deutschsprachigen Raum nicht einheitlich in „Richtlinie“ übersetzt wird.
 
4
Im angloamerikanischen Sprachgebrauch entsprechen die Weisungen den „Policies“ und die Anleitungen den „Standards, Procedures and Guidelines“.
 
5
SAN = Storage Area Network.
 
Literatur
[Bsig08]
Zurück zum Zitat BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008. BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise, Version 2.0. Bonn: BSI, 2008.
[Cobr13]
Zurück zum Zitat ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013. ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Isoc13]
Zurück zum Zitat ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013. ISO/IEC 27002:2013: Code of practice for information security controls. International Organization for Standardization, 2013.
[Isom13]
Zurück zum Zitat ISO/IEC 27001:2013: Information Security Management System-Requirements. International Organization for Standardization, 2013. ISO/IEC 27001:2013: Information Security Management System-Requirements. International Organization for Standardization, 2013.
[Niis10]
Zurück zum Zitat NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-37r1. Washington DC: U.S. Department of Commerce, 2010. NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-37r1. Washington DC: U.S. Department of Commerce, 2010.
[Niss13]
Zurück zum Zitat NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-53r4. Washington DC: U.S. Department of Commerce, 2013. NIST: Security and Privacy Controls for Federal Information Systems and Organizations, SP 800-53r4. Washington DC: U.S. Department of Commerce, 2013.
Metadaten
Titel
Verantwortlichkeiten und Inhalte von Führungsinstrumenten gemäss Führungspyramide
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_8

Premium Partner