Um die zentrale Frage dieser Arbeit — wie wesentliche Anforderungen an die IS im Rahmen von Innovationsprojekten angemessen berücksichtigt werden können — zu beantworten, werden zunächst im zweiten Kapitel maßgebliche Grundlagen, Theorien und Termini vorgestellt.
Anschließend werden im dritten Kapitel entscheidende Methoden des Projektmanagements vorgestellt und basierend auf den gewonnenen Erkenntnissen ein standardisiertes Phasenmodell von Innovationsprojekten der IT formuliert. Dieses Vorgehen soll dazu beitragen, dass die im Rahmen dieser Arbeit entwickelten Ergebnisse sich auf alle gängigen Projektmanagement (PM)-Vorgehensmodelle abbilden lassen, ohne eine wesentliche Anpassung bestehender Prozesse nach sich zu ziehen.
Anschließend wird im vierten Kapitel untersucht, was Angemessenheit im Kontext der IS bedeutet und durch welche Faktoren diese beeinflusst wird. Das Fehlen einer solchen Begriffsdefinition führt in der Praxis immer wieder dazu, dass die an einem Projekt beteiligten Parteien keine allgemein akzeptierte Handlungsbasis finden. In der Folge wird meist ein binärer Ansatz verfolgt. Entweder werden keinerlei Sicherheitsaspekte betrachtet oder aber die Umsetzung aller denkbaren Maßnahmen erzwungen. Beide Varianten sind kaum dazu geeignet, zu einem positiven Ergebnis zu führen.
Im nächsten Schritt gilt es, die in den vorangegangenen Kapiteln gewonnenen Erkenntnisse zu einer Methode zu integrieren, die sich zum einen auf alle gängigen PM-Standards abbilden lässt und zum anderen eine Umsetzung der Mindestanforderungen aus der IS gewährleistet. Ein entsprechender Versuch wird in Kapitel 5 durch die Entwicklung eines Modells zur phasenorientierten Absicherung von Innovationsprojekten unternommen. Darauf basierend wird in Kapitel 6 ein Prüfschema entwickelt, das als Grundlage für die Durchführung strukturierter Audits dient. Das Vorgehensmodell wird im weiteren Verlauf in Kapitel 7 validiert. Den Abschluss bildet das Fazit in Kapitel 8.
Inhaltsverzeichnis
- Abkürzungsverzeichnis
- 1 Einleitung
- 1.1 Lösungsansatz und Methodik
- 1.2 Forschungsstand
- 1.3 Abgrenzung
- 2 Grundlagen und Terminologie
- 2.1 Produktinnovation in der IT
- 2.2 Methoden des Projektmanagements
- 2.2.1 Klassisches Projektmanagement
- 2.2.1.1 PRINCE2
- 2.2.1.2 Sequenzielle Modelle
- 2.2.1.3 Project Management Body of Knowledge
- 2.2.1.4 Individual Competence Baseline
- 2.2.2 Agile Methoden
- 2.2.2.1 Scrum
- 2.2.2.2 (Rapid) Prototyping
- 2.2.2.3 Lean (Startup)
- 2.2.2.4 Design Thinking
- 2.2.2.5 DevOps
- 2.2.3 Hybride/Selektive Modelle
- 2.2.4 Weitere PM-Methoden
- 2.3 Informationssicherheit und deren Ziele
- 2.4 Stand der Technik
- 2.5 Angemessenheit
- 3 Standardisiertes Phasenmodell von Innovationsprojekten der IT
- 3.1 Phasen- und Aktivitätsanalyse maßgeblicher PM-Methoden
- 3.1.1 PRINCE2
- 3.1.2 V-Modell
- 3.1.3 PMBOK
- 3.1.4 Scrum
- 3.1.5 Lean Startup
- 3.1.6 Design Thinking
- 3.2 Definition des Phasenmodells
- 4 Einflussfaktoren angemessener Informationssicherheit
- 4.1 Regulatorische Anforderungen
- 4.1.1 EU-DSGVO & BDSG (neu)
- 4.1.2 BSIG & BSI-Kritisverordnung
- 4.1.3 Weitere Gesetze und Verordnungen
- 4.1.3.1 Grundsätzlich gültige Regularien
- 4.1.3.2 Funktionsabhängige Regularien
- 4.2 Rahmenwerke der Informationssicherheit
- 4.2.1 Management der Informationssicherheit
- 4.2.2 Kontext- und funktionsbezogene Anforderungen
- 4.2.3 Technologiespezifische Best Practices
- 4.3 Security & Privacy by Design & by Default
- 4.4 Schutzbedarf der verarbeiteten Daten
- 4.5 Risikobereitschaft der Organisation
- 4.6 Weitere interne und externe Rahmenbedingungen
- 4.7 DevSecOps: Sicherheit in der Softwareentwicklung
- 4.8 Grundsätze angemessener Informationssicherheit
- 5 Phasenorientierte Absicherung von Innovationsprojekten der IT
- 5.1 Phase 1: Anforderungsdefinition
- 5.1.1 Informationssicherheitsrichtlinien
- 5.1.2 Verwaltung der Werte
- 5.1.3 Zugangssteuerung
- 5.1.4 Physische und umgebungsbezogene Sicherheit
- 5.1.5 Anschaffung, Entwicklung und Instanthaltung von Systemen
- 5.1.6 Compliance
- 5.2 Phase 2: Entwicklungszyklus
- 5.2.1 Verwaltung der Werte
- 5.2.2 Betriebssicherheit
- 5.2.3 Kommunikationssicherheit
- 5.2.4 Anschaffung, Entwicklung und Instandhaltung von Systemen
- 5.2.5 Compliance
- 5.3 Phase 3: Kontrolle und Steuerung
- 5.3.1 Informationssicherheitsleitlinien
- 5.3.2 Organisation der Informationssicherheit
- 5.3.3 Anschaffung, Entwicklung und Instandhaltung von Systemen
- 5.3.4 Handhabung von Informationssicherheitsvorfällen
- 5.4 Phase 4: Produktveröffentlichung
- 5.4.1 Organisation der Informationssicherheit
- 5.4.2 Verwaltung der Werte
- 5.4.3 Physische und umgebungsbezogene Sicherheit
- 5.4.4 Kommunikationssicherheit
- 5.4.5 Anschaffung, Entwicklung und Instandhaltung von Systemen
- 5.4.6 Handhabung von Informationssicherheitsvorfällen
- 5.4.7 Compliance
- 6 Prüfschema
- 6.1 Phase 1: Anforderungsdefinition
- 6.2 Phase 2: Entwicklungszyklus
- 6.3 Phase 3: Kontrolle und Steuerung
- 6.4 Phase 4: Produktveröffentlichung
- 7 Validierung
- 7.1 Kick-off und Parameteranalyse
- 7.2 Prüfergebnisse
- 7.2.1 Findings
- 7.2.2 Zusammenfassung
- 7.3 Zufriedenheitsbefragung
- 8 Fazit
Zielsetzung und Themenschwerpunkte
Diese Arbeit befasst sich mit der Entwicklung einer Methode, die die Berücksichtigung von Sicherheitsmaßnahmen in Innovationsprojekten der Informationstechnik ermöglicht, ohne dabei die Kreativität und Flexibilität der Entwicklungsprozesse zu beeinträchtigen. Die Arbeit beleuchtet die Herausforderungen, die sich aus der zunehmenden Bedeutung von Informationssicherheit in Innovationsprojekten ergeben, und analysiert etablierte Projektmanagementmethoden sowie gängige Rahmenwerke der Informationssicherheit.
- Integration von Informationssicherheit in Innovationsprojekte
- Entwicklung einer Methode zur frühzeitigen Berücksichtigung von Sicherheitsaspekten
- Abwägung zwischen Sicherheitsanforderungen und kreativer Produktentwicklung
- Analyse relevanter Projektmanagementmethoden und Informationssicherheitsstandards
- Validierung der Methode anhand eines Praxisbeispiels
Zusammenfassung der Kapitel
Die Arbeit beginnt mit einer Einleitung, die den Forschungsstand, den Lösungsansatz und die Abgrenzung des Themas beschreibt. Im zweiten Kapitel werden die Grundlagen und Terminologien im Bereich der Produktinnovation, des Projektmanagements und der Informationssicherheit erläutert. Das dritte Kapitel widmet sich der Analyse etablierter Projektmanagementmethoden und der Entwicklung eines standardisierten Phasenmodells für Innovationsprojekte der IT. Im vierten Kapitel werden die relevanten Einflussfaktoren auf die angemessene Informationssicherheit im Detail analysiert, darunter regulatorische Anforderungen, Rahmenwerke der Informationssicherheit und die Bedeutung von Security & Privacy by Design & by Default. Im fünften Kapitel wird die Methode zur phasenorientierten Absicherung von Innovationsprojekten der IT vorgestellt, die auf Basis des entwickelten Phasenmodells und der Analyse der Einflussfaktoren erfolgt. Das sechste Kapitel präsentiert ein Prüfschema, das zur Validierung der entwickelten Methode eingesetzt wird. Das siebte Kapitel beschreibt die Validierung der Methode anhand eines Praxisbeispiels und die gewonnenen Ergebnisse. Die Arbeit schließt mit einem Fazit, das die wesentlichen Erkenntnisse und die Bedeutung der entwickelten Methode für Innovationsprojekte in der IT zusammenfasst.
Schlüsselwörter
Produktinnovation, Informationssicherheit, Projektmanagement, Agile Methoden, DevSecOps, EU-DSGVO, BDSG, Security & Privacy by Design & by Default, Phasenmodell, Validierung, Innovationsprojekte, IT-Sicherheit.
- Quote paper
- Sebastian Krüsmann (Author), 2019, Produktinnovation in der Informationstechnik. Methodik zur Realisierung eines angemessenen Sicherheitsniveaus von Projekten, Munich, GRIN Verlag, https://www.grin.com/document/502139