"IT-Risiko-Management muss im Rahmen der Unternehmens-Strategie und des Gesamt-Risiko-Managements durch die Unternehmensführung geprägt und getragen werden.'"

Preis: EUR 49,90
 

Bewertung (max. 10)

7

Review

Das Risikomanagement in Unternehmen hat in den letzten Jahren immer mehr an Bedeutung gewonnen. Anreize schaffen zum einen unternehmerische Anforderungen wie z.B. IT-Sicherheitsbedarfe oder der Investorenschutz. Zum anderen sorgen externe Anreize für eine Fokussierung auf dieses Themengebiet. Dazu zählen gesetzliche Vorgaben (z.B. KontraG, Basel II, SOX oder die kommende 8. EU-Richtlinie), regulatorische Vorgaben (z.B. GoBS) oder auch vertragliche Verpflichtungen (z.B. Zertifizierungsverpflichtung gegenüber Kunden).

Die in diesem Buch dargestellte Vorgehensweise beschäftigt sich primär mit einer Untergruppe des Risiko-Managements, dem IT-Risiko-Management. Anschaulich, prozessorientiert und eingebettet in den größeren Zusammenhang von Corporate Governance und Enterprise Risk Management wird dem interessierten Leser ein Rahmen vorgegeben, welchen er in seinem eigenen Unternehmen nutzen kann.

Der Autor geht analytisch vor: Beginnend mit einer Einführung in das allgemeine Risikomanagement (Elemente und die Umsetzung im Prozessmodell) im Teil A wird der Leser mit den diversen Anforderungen vertraut gemacht (Teil B). In Teil C wird dann auf die spezielle Rolle der Informationen im betrieblichen Prozess eingegangen, deren Wichtigkeit herausgearbeitet und ein organisatorisches Modell erstellt, um diese effizient zu schützen. Dies geschieht zum einen unter Einbeziehung von Frameworks (z.B. ISO/IEC 27001, CobiT oder IT-Grundschutz), als auch durch Aufzählen diverser Methoden und Werkzeuge (z.B. die Fehlerbaumanalyse oder die CRAMM-Methode). Im letzten Teil D beschreibt der Autor, wie man das IT-Risiko-Management in die übergeordneten Risiko-Management-Prozesse integriert. Weiter zeigt er die Wichtigkeit eines ausgereiften Business Continuity Management (BCM) auf. Muster und Beispielformulare runden das Buch ab.

Fazit: Das vorliegende Werk erscheint in der auf IT Security spezialisierten Reihe <kes> Edition beim Vieweg Verlag. Diese Reihe zählt zu den besten Informationsquellen im Bereich IT und Information Security. Das Buch bietet sehr gute Ansätze, wie man ein proaktives, in den unternehmerischen Gesamtkontext eingebettetes IT-Risiko-Management betreiben kann. Es ist von der Struktur logisch aufgebaut und tatsächlich sehr praxisorientiert.

Darin liegt aber auch die Crux des Buches: Ein Leser, welcher diese Materie noch nicht in der Praxis gesehen hat, wird es sehr schwer haben, sich anhand der beschriebenen Vorgehensweise ein konkretes Bild zu machen davon, wie man IT-Risiko-Management korrekt betreibt. Der Gesamtzusammenhang verschwimmt an vielen Stellen und der rote Faden ist nur bedingt erkennbar. Somit muss das Fazit lauten, dass Einsteiger wohl besser auf grundlegendere Werke ausweichen sollten. Erfahrene und mit praktischen Aufgaben vertraute Leser werden sich jedoch in diesem Buch sehr schnell zu Recht finden und sicher noch einige neue Impulse erhalten können.

Steffen Weber

Zielgruppe

Risk-Manager, CIOs, CISO und alle, die sich beruflich mit der Materie IT-Risiko-Management beschäftigen wollen und/oder müssen.

Inhalt

1. Einführung
Teil A – Grundlagen erarbeiten

2. Elemente für die Durchführung eines Risiko-Managements

3. Risiko-Management als Prozess
4. Teil B – Anforderungen berücksichtigen

5. Risiko-Management, ein Pflichtfach der Unternehmensführung

6. Risiko-Management integriert in das Management-System
Teil C – IT-Risiken erkennen und bewältigen

7. Informations- und IT-Risiken

8. Informations-Sicherheit und Corporate Governance

9. IT-Risiko-Management in der Führungs-Pyramide

10. IT-Risiko-Management mit Standard-Regelwerken

11. Methoden und Werkzeuge zum IT-Risiko-Management
Teil D – Unternehmensprozesse meistern

11. Risiko-Management-Prozesse im Unternehmen

12. Geschäftskontinuitäts-Planung und IT-Notfall-Planung

13. Risiko-Management im Lifecycle von Informationen und Systemen

Autoreninfo

Hans-Peter Königs, Dipl. El. Ing. und MBA, ist Corporate Security Officer der Telekurs Group in Zürich sowie Dozent an der Hochschule für Wirtschaft HSW Luzern in den Master-Studiengängen „MAS Information Security“ und „MAS Risk Management“.

Schlagwörter

Risiko-Management / Riskmanagement / IT-Risiken / IT-Security / IT-Sicherheit / Corporate Governance / CobiT / KontraG / Basel II / SOX / 8. EU-Richtlinie / Grundsätze ordnungsgemäßer Buchführung / GoBS

Weitere Titel

• Erfolgsrezepte für CIOs. Was gute Informationsmanager ausmacht

• Informationsmanagement. Konzepte und Strategien für die Praxis