Das Ziel vorliegender Arbeit ist es, den Aufbau und die Durchführung eines IT-Risikomanagements zu beschreiben. Dabei werden Voraussetzungen erläutert, die organisatorische Struktur erklärt und die rechtlichen sowie regulatorischen Anforderungen analysiert. Anhand von "Best Practice"-Ansätzen wird untersucht, inwieweit diese eine Hilfestellung zur Ein- und auch Durchführung eines IT-Risikomanagements bieten. Es wird also versucht ein ganzheitliches Modell zu entwickeln, das dem geneigten Leser einen möglichst breiten und vollständigen Überblick über Rahmenbedingungen, Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems gibt.
Die Arbeit gliedert sich in acht Kapitel. Nach dem einführenden Kapitel eins folgt das Fundament der Arbeit. In Kapitel zwei werden grundlegende Begrifflichkeiten definiert und als Basis für die weitere Betrachtung analysiert. In Kapitel drei werden rechtliche Anforderungen an das Risikomanagement im Allgemeinen und für das IT-Risikomanagement im Speziellen betrachtet. Mithilfe des Kapitels vier wird versucht, aus bestehenden Standards und "Best Practice"-Ansätzen eine Vorgabe für den Aufbau und den Ablauf eines IT-Risikomanagements zu erhalten. Die Kapitel fünf bis sieben widmen sich in aller Ausführlichkeit dem Prozess des IT-Risikomanagements. Dort werden Methoden und Verfahren zur Identifikation, Analyse und Steuerung von Risiken vorgestellt und bewertet. Den Abschluss bildet Kapitel acht mit der Zusammenfassung der Ergebnisse und der Ableitung von Erkenntnissen daraus.
Inhaltsverzeichnis
- Einleitung und Überblick
- Motivation und Ziel der Arbeit
- Abgrenzung des Themengebietes
- Aufbau der Arbeit
- Grundlagen
- Überblick
- Risikobegriff
- Risikokategorien und IT-Risiken
- Risikostrategie und Risikokultur
- Risikomanagement
- Risikomanagementsystem
- Prozesse des IT-Risikomanagementsystems
- Rechtliche und regulatorische Anforderungen
- Anspruchsgruppen (Stakeholder) im IT-Risikomanagement
- Gesetz zur Kontrolle und Transparenz von Unternehmen (KonTraG)
- Anforderungen an die interne Revision
- Weitere Gesetze und regulatorische Anforderungen
- Rahmenwerke, Best Practice und Standards für das IT-Risikomanagement
- Überblick
- BSI - Standards und IT-Grundschutz-Kataloge
- ITIL (Information Technology Infrastructure Library)
- COBIT (Control Objectives for Information and Related Technology)
- Zusammenfassung
- Methoden und Techniken zur Risikoidentifikation
- Aufgaben und Elemente der Risikoidentifikation
- Analytische Methoden
- Fehlerbaumanalyse
- Fehlermöglichkeits- und Einflussanalyse (FMEA)
- Brainstorming
- Synektik
- Delphi-Methode
- Fragenkatalog
- Bewertung der vorgestellten Analytischen Methoden
- Kreativitätsmethoden
- Bewertung der vorgestellten Kreativitätsmethoden
- Kollektionsmethoden
- Checkliste
- Expertenbefragung
- Schadensfall-Datenbank
- Bewertung der vorgestellten Kollektionsmethoden
- Zusammenfassung
- Methoden zur Risikobewertung
- Überblick und Aufbau einer Risikobewertung
- Qualitative Bewertungsansätze
- Quantitative Bewertungsansätze
- Zusammenfassung
- Strategien zur Steuerung von IT-Risiken und Risikokontrolle
- Risikosteuerung
- Risikostrategien: Vermeiden, Vermindern, Transfer, Übernahme
- Vermeiden
- Vermindern
- Transfer
- Übernahme
- Wirtschaftlichkeitsbetrachtungen von IT-Schutzmaßnahmen
- Risikokontrolle
- Zusammenfassung
Zielsetzung und Themenschwerpunkte
Die Forschungsarbeit befasst sich mit dem Thema IT-Risikomanagement und analysiert die Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems. Ziel ist es, ein umfassendes Verständnis des IT-Risikomanagements zu vermitteln und Handlungsempfehlungen für die praktische Anwendung zu entwickeln.
- Analyse des IT-Risikobegriffs und seiner Kategorien
- Bedeutung von Risikostrategie und Risikokultur im IT-Risikomanagement
- Vorstellung wichtiger Rahmenwerke, Best Practices und Standards für das IT-Risikomanagement
- Erörterung von Methoden und Techniken zur Risikoidentifikation und Risikobewertung
- Untersuchung von Strategien zur Steuerung von IT-Risiken und zur Risikokontrolle
Zusammenfassung der Kapitel
Die Forschungsarbeit gliedert sich in mehrere Kapitel, die die verschiedenen Facetten des IT-Risikomanagements beleuchten.
- Kapitel 1: Die Einleitung führt in das Thema ein und definiert den Fokus der Arbeit.
- Kapitel 2: Dieses Kapitel behandelt die Grundlagen des IT-Risikomanagements, einschließlich des Risikobegriffs, von Risikokategorien, Risikostrategie und Risikokultur sowie des Risikomanagements und des Risikomanagementsystems.
- Kapitel 3: In diesem Kapitel werden die rechtlichen und regulatorischen Anforderungen an das IT-Risikomanagement analysiert, mit Fokus auf Anspruchsgruppen (Stakeholder), Gesetze wie KonTraG und Anforderungen an die interne Revision.
- Kapitel 4: Dieses Kapitel präsentiert wichtige Rahmenwerke, Best Practices und Standards für das IT-Risikomanagement, einschließlich BSI-Standards, ITIL, COBIT und eine Zusammenfassung der jeweiligen Anwendungen.
- Kapitel 5: Dieses Kapitel widmet sich Methoden und Techniken zur Risikoidentifikation, einschließlich analytischer Methoden, Kreativitätsmethoden und Kollektionsmethoden.
- Kapitel 6: Dieses Kapitel behandelt Methoden zur Risikobewertung, einschließlich qualitativer und quantitativer Bewertungsansätze.
- Kapitel 7: Dieses Kapitel untersucht Strategien zur Steuerung von IT-Risiken und zur Risikokontrolle, einschließlich Risikosteuerung, Risikostrategien und Wirtschaftlichkeitsbetrachtungen von IT-Schutzmaßnahmen.
Schlüsselwörter
IT-Risikomanagement, Risikoidentifikation, Risikobewertung, Risikosteuerung, Risikokontrolle, Rahmenwerke, Standards, ITIL, COBIT, BSI, Analytische Methoden, Kreativitätsmethoden, Kollektionsmethoden, Rechtliche Anforderungen, Regulatorische Anforderungen, Stakeholder, KonTraG, Interne Revision.
- Citation du texte
- Christoph Mütschard (Auteur), 2018, IT-Risikomanagement. Komponenten, Prozesse und Methoden eines IT-Risikomanagementsystems, Munich, GRIN Verlag, https://www.grin.com/document/958643
