Benefit des Informationsrisikomanagements (IRM)

Inhaltsangabe oder Einleitung

Der Einsatz moderner Informationstechnologie stellt einen essenziellen Aspekt in der heutigen Unternehmensstruktur dar. Als fester Bestandteil der Wettbewerbsfähigkeit ist es effektiv, diesen modern und sicher zu halten. Eine moderne IT-Umgebung zieht jedoch ein adäquates Maß an IT-Sicherheit nach sich. Da eine vollständige Sicherheit jedoch nicht garantiert werden kann, gilt es umfassende Schutzmaßnahmen in Form eines unternehmensweiten Informationssicherheitsmanagementsystems zu ergreifen. Um dieses offiziell als sicher deklarieren zu können, sind Normen veröffentlicht, nach denen sich Unternehmen zertifizieren lassen können. Für IT-Sicherheit ist die ISO/IEC 27001 die korrespondierende Norm.

Am Beispiel eines Praxispartners aus dem Gesundheitswesen wird dazu im Rahmen des Projekts „Informationsrisikomanagement (IRM)“ eine Risikoanalyse unter Einsatz des CRISAM® Risikomanagement-Tools durchgeführt. Ziel dieses Projekts ist der erfolgreiche Abschluss eines Zertifizierungsaudits nach ISO/IEC 27001.

Kern dieser Arbeit stellt darin die Risikoanalyse mit entsprechendem Maßnahmenkatalog dar. Anhand grafischer Abweichungsanalysen lässt sich konstatieren, in welchen organisatorischen und technischen Bereichen Mängel bestehen. Aus dem daraus generierten Maßnahmenkatalog, in dem der Umfang an erforderlichen Maßnahmen zum Erwerb der genannten Zertifizierung aufgelistet ist, werden erste Umsetzungen sowie deren Relevanz eruiert. Die gewonnenen Ergebnisse sind im Anschluss in zwei Teilen dargelegt, zum einen die Analyseergebnisse und zum anderen die umgesetzten Maßnahmen. Resümierend wird betrachtet, welcher Mehrwert aus den erzielten Ergebnissen für den Praxispartner abzuleiten ist.

Die durchgeführten Maßnahmen im Praxisunternehmen befanden sich während der Erstellung dieser Abschlussarbeit in der Umsetzungsphase. Somit können die Analyseergebnisse entlang des Maßnahmenkatalogs für folgende Risikoanalysen genutzt werden. Im Hinblick auf weitere Umsetzungsmaßnahmen in Vorbereitung auf ein Zertifizierungsaudit nach ISO/IEC 27001 kann diese Arbeit als Orientierung für die zukünftige Planung im unternehmensweiten Informationsrisikomanagement Verwendung finden.