NOWECO Management Software


Management der Informationssicherheit
Enterprise Risk Manager™

Management der Informationssicherheit für ISO 27001 / ISO 17799

Informationssicherheitsmanagement und Risikomanagement

Information und Informationsverarbeitung gehören zu den kritischsten Erfolgsfaktoren von Organisationen. Entsprechend ist die Informationssicherheit und deren Management von erheblicher Bedeutung für den Schutz der Vermögenswerte. Zum Schutz von Informationen und Informationsverarbeitung müssen mögliche zukünftige Gefahren betrachtet werden: Risiken für die Informationssicherheit.

Ein effektives wie effizientes Risikomanagementsystem ist eine notwendig Bedingung für ein erfolgreiches Informationssicherheitsmanagement. Standards wie ISO 27001 / ISO 17799 fordern eine Risikobewertung und ein Risikomanagement als Bestandteil des Informationssicherheitsmanagementsystems (ISMS). Weitere Standards wie BS 7799-3 (ISO 27005) skizzieren ein Risikomanagement für das Informationssicherheitssystem. Es soll ein systematischer Ansatz zum Risikomanagement Anwendung finden, um Risiken zu identifizieren und zu bewerten sowie entsprechende Maßnahmen einzuleiten. Risikomanagementsoftware kann die Arbeit des Risikomanagement erleichtern. Enterprise Risk Register® ist eine solche Risikomanagementlösung, die auch im Management der Informationssicherheit genutzt werden kann.

Der Prozeß des Risikomanagements im Management der Informationssicherheit

Risikomanagement der Informationssicherheit unterscheidet sich formal nicht vom allgemeinen Management operationeller Risiken. Zur Darstellung der Schritte im Risikomanagement von Informationssicherheit wird häufig der PDCA-Ansatz (Plan-Do-Check-Act) aus dem Qualitätsmanagement entliehen. Die folgende Übersicht stellt die Hauptschritte des IT-Sicherheitsrisikomanagements dar:


PDCA Risikomanagement

Informationssicherheit und Risikomanagement

Es ist sehr wichtig, das Risikomanagement als einen kontinuierlichen Prozeß zu verstehen. Beim Risikoreview geht es um das Überdenken bestehender Risiken und deren Bewertung sowie der Aufdeckung neuer Risiken. Die folgende Tabelle bietet weitere Informationen zu den Prozeßschritten im Risikomanagement:


Schaffung der Grundlagen Inventur von Informationen und Informationsverarbeitung
Risikoidentifikation - Identifikation der Bedrohungen (Was ist bedroht?)
- Identifikation von Schwachstellen (Wo gibt es Lücken?)
- Analyse der Controls (Welche Steuerungsmaßnahmen gibt es?)
Risikobewertung - Wahrscheinlichkeit (Schätzung der Wahrscheinlichkeit)
- Auswirkung (Welches sind die Konsequenzen?)
Maßnahmenidentifikation - Kosten-Nutzen-Analyse
- Entscheidung für Maßnahmen
Überwachung - Risikoreview
- Maßnahmenverfolgung
Risikokommunikation Risikoberichte, Risikocharts, Risiko-Dashboard

Risikoidentifikation, Risikobewertung und Risikomaßnahmen im Informationssicherheitsmanagement

Die Risikoidentifikation im Informationssicherheitsmanagement umfaßt drei Hauptschritte:

  • Identifikation der Vermögenswerte: ein Vermögenswert ist jeder Gegenstand, materiell (Ressource) oder immateriell (Prozeß), der einen Wert für die Organisation hat. Dieser Wert ist nicht notwendigerweise ein monetärer Wert. Beispielsweise hat ein Prozeß keinen Wert in der Bilanz, aber ein unterbrochener Prozeß kann zu erheblichen Gewinneinbußen führen;
  • Identifikation der Bedrohungen: eine Bedrohung ist schlicht alles, was den Wert des Vermögenswertes beeinträchtigen könnte. Bedrohungen können einen natürlichen Ursprung haben (Flut, Feuer, etc.) oder auf Grund menschlicher Aktionen entstehen;
  • Identifikation von Schwachstellen: Es muß eine Schwachstelle im Vermögenswert geben, da anderenfalls die Bedrohung keinen Schaden anrichten könnte. Zumeist suchen Risikomaßnahmen die Schwachstellen zu beseitigen, da die Bedrohung selber nicht beseitigt werden kann;

Um eine Risikobewertung durchführen zu können, müssen die Risiken eindeutig identifiziert sein. Für die Bewertung ergeben sich dann zwei Fragen:

  • Was ist die Auswirkung eines eintretenden Risikos?
  • Wie hoch ist Wahrscheinlichkeit, daß ein Risiko eintreten wird?

Das Ergebnis der Risikobewertung ermöglicht eine Einstufung der Risiken und Festlegung der Rangfolge, nach welcher die Risiken abgearbeitet werden sollen.

Es ist eine Grundregel für Risikomaßnahmen, daß ihr Return-on-Investment größer als eins sein muß. In anderen Worten: der Nutzen der Maßnahmen muß größer als deren Kosten sein. Risikomaßnahmen können wie folgt kategorisiert werden:

  • Risikobeseitigung;
  • Risikomeidung;
  • Risikotransfer auf einen Dritten oder eine Versicherungsgesellschaft;
  • Maßnahmen zur Verringerung der Auswirkung und/oder der Wahrscheinlichkeit eines Risikos;
  • Risikoakzeptanz;

Der Nutzen des Einsatzes von Enterprise Risk Manager™

Enterprise Risk Register® ist eine webbasierte Mehrplatzanwendung, die eine relationale SQL Server-Datenbank benutzt, so daß Hunderte von Entscheidungsträgern innerhalb einer Organisation unterstützt werden können.

Enterprise Risk Register® unterstützt den Anwender bei der Erfassung aller für ein erfolgreiches Risikomanagement relevanten Daten. Neben der Datenerfassung unterstützt die Software bei der Risikoanalyse, unterhält eine Risikohistorie, hilft bei der Überwachung von Risiken und Maßnahmen und hält alle Daten für eine umfassende Berichterstattung bereit.

Enterprise Risk Register® wird benutzt, um allgemein Unternehmensrisiken in Bezug auf Personen, Eigentum, Reputation, Vermögen und Umwelt in den Griff zu bekommen. Dies schließt das Risikomanagement in der Informationssicherheit ein, ist aber nicht darauf beschränkt rauf. Enterprise Risk Register® unterstützt auch die Risikomanagementanforderungen vieler anderer internationalen Standards einschließlich ISO 17799 / ISO 27001 / ISO 27005.

Enterprise Risk Manager™ ist eine sehr effektive Software für das Risikomanagement, da sie ...

  • hilft, Risiken zu reduzieren und Kosten der Risikomaßnahmen zu senken;
  • nachverfolgt, wer für welche Risiko oder welche Maßnahme verantwortlich ist;
  • Risiken nach Kontext überwacht - Abteilung, Division, Standort, Projekt, Prozeß, Gegenstand oder Risikokategorie;
  • Kosten und Effektivität jeder Maßnahmen bewertet;
  • eine unverzichtbare Managementsoftware, deren Return um ein vielfaches größer als die Kosten der Investition ist;
  • dokumentierten Nachweis liefert, welche Maßnahmen zu welchem Risiko getroffen werden.

Kurz: Enterprise Risk Register® hilft dem Anwender, den Anforderungen von ISO 17799 / ISO 27001 / ISO 27005 gerecht zu werden.

Enterprise Risk Manager™: Im Informationssicherheits-Risikomanagement nützliche Features

Enterprise Risk Manager™ führt zu Verbesserungen der Performance des Risikomanagements von Informationssicherheit, weil:

  • das Risikomanagement von Informationssicherheit konsistent mit dem unternehmensweiten Risikomanagement ist;
  • es die administrative Arbeit deutlich erleichtert;
  • es den Risikomanagementprozeß beschleunigt;
  • eine Risikohistorie das Geschehnisse nachvollziehbar macht;
  • Alarm ausgelöst wird, wenn Risikoreviews oder Maßnahmen überfällig sind.
  • der Risikostatus der Informationssicherheit im Dashboard und zahlreichen Charts auch graphisch abgebildet werden kann;
  • Enterprise Risk Manager™ alle andere Bereiche des operationalen Risikomanagements einbeziehen kann.

Downloads und weitere Informationen

Klicken und Produktvorstellung mit vielen Screenshots von Enterprise Risk Manager anfragen.

Klicken und Produktbroschüre zu Enterprise Risk Manager® herunterladen.

Klicken und Produktpräsentation zu Enterprise Risk Manager® herunterladen.

oder alternativ:

Klicken und Online-Produktpräsentation zu Enterprise Risk Register® ansehen.

Software-Integration von Enterprise Risk Manager™

Enterprise Risk Manager™ kann integriert werden mit:

Enterprise Risk Manager™ ist eine Entwicklung von

Incom risk management software