NOWECO Management Software



Management der Informationssicherheit / ISO 27001
mit Enterprise Risk Manager™

Informationssicherheitsmanagement und Risikomanagement

Informationen und Informationsverarbeitung gehören zu den kritischen Erfolgsfaktoren von Organisationen. Entsprechend ist die Informationssicherheit und deren Management von erheblicher Bedeutung für den Schutz der Vermögenswerte. Zum Schutz von Informationen und Informationsverarbeitung müssen mögliche zukünftige Gefahren betrachtet werden: Risiken für die Informationssicherheit.

Ein effektives wie effizientes Risikomanagementsystem ist Voraussetzung für ein erfolgreiches Informationssicherheitsmanagement. Standards wie die ISO 27001-Familie fordern eine Risikobewertung und ein Risikomanagement als Bestandteil des Informationssicherheitsmanagementsystems (ISMS). Ein systematischer Ansatz zum Risikomanagement soll Anwendung finden, um Risiken zu identifizieren und zu bewerten sowie entsprechende Maßnahmen einzuleiten. Enterprise Risk Manager™ verringert den Aufwand des Risikomanagement.

Der Risikomanagementprozess des ISMS

Risikomanagement der Informationssicherheit unterscheidet sich formal nicht vom allgemeinen Management operationeller Risiken. Der PDCA-Ansatz (Plan-Do-Check-Act) - auch aus dem Qualitätsmanagement bekannt - stellt die Hauptschritte des Risikomanagements in der IT-Sicherheit dar:

PDCA IT-Risiken

Kontinuierliches IT-Risikomanagement

Es ist wichtig, das Risikomanagement als einen kontinuierlichen Prozeß zu verstehen. Beim Risikoreview geht es um das Überdenken bestehender Risiken und deren Bewertung sowie dem Aufdecken neuer Risiken. Die folgende Tabelle bietet einen Überblick über die Prozeßschritte im Risikomanagement:

Schaffung der Grundlagen Inventur von Informationen und Informationsverarbeitung
Risikoidentifikation - Identifikation der Bedrohungen (Was ist bedroht?)
- Identifikation von Schwachstellen (Wo gibt es Lücken?)
- Analyse der Controls (Welche Steuerungsmaßnahmen gibt es?)
Risikobewertung - Wahrscheinlichkeit (Schätzung der Wahrscheinlichkeit)
- Auswirkung (Welches sind die Konsequenzen?)
Maßnahmenidentifikation - Kosten-Nutzen-Analyse
- Entscheidung für Maßnahmen
Überwachung - Risikoreview
- Maßnahmenverfolgung
Risikokommunikation Risikoberichte, Risikocharts, Risiko-Dashboard

Risikoidentifikation im Informationssicherheitsmanagement

Die Risikoidentifikation im Informationssicherheitsmanagement umfaßt drei Hauptschritte:

1. Die Identifikation der Vermögenswerte
2. Die Identifikation der Bedrohungen
3. Die Identifikation von Schwachstellen

  • Identifikation der Vermögenswerte: ein Vermögenswert ist jeder Gegenstand, materiell (Ressource) oder immateriell (Prozeß), der einen Wert für die Organisation hat. Dieser Wert ist nicht notwendigerweise ein monetärer Wert. Beispielsweise hat ein Prozeß keinen Wert in der Bilanz, aber ein unterbrochener Prozeß kann zu erheblichen Gewinneinbußen führen.
  • Identifikation der Bedrohungen: eine Bedrohung ist schlicht alles, was den Wert des Vermögenswertes beeinträchtigen könnte. Bedrohungen können einen natürlichen Ursprung haben (Flut, Feuer, etc.) oder auf Grund menschlicher Aktionen entstehen.
  • Identifikation von Schwachstellen: Es muss eine Schwachstelle im Vermögenswert geben, da anderenfalls die Bedrohung keinen Schaden anrichten könnte. Zumeist suchen Risikomaßnahmen die Schwachstellen zu beseitigen, da die Bedrohung selber nicht beseitigt werden kann.

Risikobewertung im Informationssicherheitsmanagement

Um eine Risikobewertung durchführen zu können, müssen die Risiken eindeutig identifiziert sein. Für die Bewertung ergeben sich dann zwei Fragen:

  • Welches sind die Auswirkungen eines eintretenden Risikos?
  • Wie hoch ist Wahrscheinlichkeit, daß ein Risiko eintreten wird?

Das Ergebnis der Risikobewertung ermöglicht eine Einstufung der Risiken und Festlegung der Rangfolge, nach welcher die Risiken abgearbeitet werden sollen.

Risikomaßnahmen im Informationssicherheitsmanagement

Es ist eine Grundregel für Risikomaßnahmen, daß ihr Return-on-Investment größer als eins sein muss. In anderen Worten: der Nutzen der Maßnahmen muss größer als deren Kosten sein. Risikomaßnahmen können wie folgt kategorisiert werden:

  • Risikobeseitigung
  • Risikovermeidung
  • Risikotransfer auf einen Dritten oder eine Versicherungsgesellschaft
  • Maßnahmen zur Verringerung der Auswirkung und/oder der Wahrscheinlichkeit eines Risikos
  • Risikoakzeptanz

Technische Beschreibung

Enterprise Risk Manager™ ist eine webbasierte und mehrplatzfähige Microsoft .NET-Anwendung, die die relationale SQL-Datenbank benutzt, die Hunderte Entscheidungsträger unternehmensweit unterstützt. Sie unterstützt Microsoft Windows Single Sign-on Authentication, Role Based Security, internationale Datums- und Währungsformate. Schließlich kann die Software in jede andere Sprache übersetzt werden.

Enterprise Risk Manager™ gehört zu Incoms umfassender Softwaresuite (bekannt als INCOM®), wozu weiter gehören:

  • Enterprise Incident Manager™ zum Management von Arbeitsplatzunfällen und andere Incidents.
  • Compliance Manager als Antwort auf die Vielzahl von Gesetzen und Verordnungen.
  • Control Self Assessments zur Validierung von Prozessen und Systemen.

Alle Softwareprodukte haben das gleiche 'Look and Feel'.

Der Nutzen von Enterprise Risk Manager™

Enterprise Risk Manager™ ist eine sehr effektive Software für das Risikomanagement, da sie ...

  • hilft, Risiken zu reduzieren und Kosten der Risikomaßnahmen zu senken
  • nachverfolgt, wer für welche Risiko oder welche Maßnahme verantwortlich ist
  • Risiken nach Kontext überwacht - Abteilung, Division, Standort, Projekt, Prozeß, Gegenstand oder Risikokategorie
  • Kosten und Effektivität jeder Maßnahmen bewertet;
  • dokumentierten Nachweis liefert, welche Maßnahmen zu welchem Risiko getroffen werden
  • den Risikomanagementprozess beschleunigt und die administrative Arbeit deutlich vereinfacht.

Weitere Informationen und DEMO

Enterprise Risk Manager PräsentationWeitere Informationen über Enterprise Risk Register®.

Enterprise Risk Manager EmailanfrageKlicken und Produktvorstellung mit vielen Screenshots von Enterprise Risk Manager anfragen.

Enterprise Risk Manager DownloadKlicken und Produktbroschüre zu Enterprise Risk Manager® herunterladen.