Horizontale Linie

Information Risk Management

Informationstechnologie ist mittlerweile eine der wesentlichsten Erfolgsfaktoren zur Umsetzung der Unternehmensziele. Eine ausreichende Balance in Bezug auf Investition und Restrisiko zu finden ist bis dato jedoch ein sehr schwieriges und kaum nachvollziehbares Unterfangen. Risiko, Transparenz und Kostenwahrheit müssen dabei klar und nachvollziehbar gestaltet werden.

 

Die Ziele des IT-Risikomanagements müssen aus der Geschäftsstrategie abgeleitet werden um den gewünschten Betrag der IT zum Unternehmenserfolg auch abdecken zu können.

 

Die Ergebnisse des IT-Risikomanagements sind Maßnahmen zur Erreichung des gewünschten bzw. definierten Leistungsgrad der IT.

 

Somit beantwortet IT-Risikomanagement folgende Fragen nachvollziehbar und transparent:

  •  Welche Bedrohungen können aus dem Einsatz der IT für das Unternehmen entstehen?
  •  Wie viel IT braucht das Unternehmen wirklich?
  •  Wie sicher ist die IT?

 

IT-Leiter/CIO und CISO müssen schon aus Eigennutz für Transparenz sorgen und ihre Investionsvorschläge managementmäßig aufbereiten, sodass diese nicht dem Unverständnis der Geschäftsleitung zum Opfer fallen.

 

CRISAM® steht für „Corporate Risk Application Method“ und ist ein ganzheitlicher Ansatz zur Implementierung eines unternehmensweiten IT-Risikomanagement Prozesses. CRISAM® besteht sowohl aus einer Vorgehensmethode als auch aus einer Bewertungsmethode, die beide durch die CRISAM® Software abgedeckt werden.

 

CRISAM® dient dazu, aus Strategie, Organisation und den (Geschäfts-) Prozessen nachvollziehbare Anforderungen an die Informationstechnologie abzuleiten. Den daraus ermittelten Sicherheitsvorgaben werden operationelle Risiken aus dem Betrieb der IT-Systeme gegenübergestellt. Abweichungen des IST (bewertete operationelle Risiken der IT) vom SOLL (aus dem Unternehmen abgeleitete Anforderungen) werden als potentielle Bedrohungen aus dem IT-Einsatz identifiziert. Der erforderliche Regelungsprozess, der Abweichungen vom vorgegebenen Sollwert identifiziert und durch geeignete Maßnahmen kompensiert, wird im Unternehmen als kontinuierlicher Risikomanagement Prozess implementiert.

 

Risiken werden mit dem CRISAM® Ansatz in Form einer quantitativ dargestellten Kennzahl analog dem Standard&Poor`s Versicherungsratingansatz bewertet. "AAA" oder "BB" sind heutzutage in Managementkreisen gut eingeführte Begriffe aus der Finanzwelt. CRISAM® lehnt sich an diesem, von Standard&Poors eingeführten Ratingmodell bei seiner Risikobewertung an. Ihr Vorteil besteht nun darin, dass die IT messbar und vergleichbar wird und dass die EDV an die Unternehmensziele ausgerichtet werden kann.

 

Die Ratingkennzahl ist im Management allgemein bekannt und kann von Personen ohne spezifischen IT-Know-How interpretiert werden. Damit können Risiken aus dem IT-Einsatz in Relation zu den Finanz-, Markt- und weiteren Risikofaktoren im Unternehmen gebracht werden.

 

CRISAM® testet die Leistungsfähigkeit Ihrer IT. Das Prinzip ist einfach und klar. CRISAM® bewertet Ihre gesamte IT von der Applikation über die IT-Prozesse bis hin zur Stromversorgung in Bezug zum Stand der Technik. Dieser ist durch zahlreiche anerkannte Quellen dokumentiert und durch gerichtlich beeidete Sachverständige bestätigt. Bewertungen unter dem Stand der Technik können unter Umständen zur Haftung aus dem Titel der Fahrlässigkeit für die Geschäftsführung als auch für deren Beauftragte führen. Für das IT-Risikomanagement bezieht CRISAM® die Informationen zum Stand der Technik aus dem deutschen Grundschutzhandbuch des BSI, der ISO 27000 Normenreihe, ITIL, Cobit und dem österr. Sicherheitshandbuch.

 

Durch die vorgefertigten und anpassbaren Reports stellt CRISAM® alle aufgezeichneten Daten sowie deren Ergebnisse und Analysen transparent und für unterschiedliche Empfängergruppen zur Verfügung. 

 

Weitere Informationen zu CRISAM® finden Sie auf www.crisam.net.

 

Seite ausdrucken Seite per Mail verschicken