Benutzer:Thomas d/crisam
aus Wikipedia, der freien Enzyklopädie
CRISAM® steht für „Corporate Risk and IT-Security Application Method“ und ist ein ganzheitlicher Ansatz zur Implementierung eines unternehmensweiten IT-Risikomanagement Prozesses. Der Anspruch aus dem mehrstufigen Implementierungsmodell ist nicht zu verwechseln mit dem einer Vorschrift oder Norm. CRISAM® dient dazu aus Strategie, Organisation und den (Geschäfts-) Prozessen nachvollziehbare Anforderungen an die Informationstechnologie abzuleiten. Den daraus ermittelten Sicherheitsvorgaben werden operationelle Risiken aus dem Betrieb der IT-Systeme gegenübergestellt. Abweichungen des IST (bewertete operationelle Risiken der IT) vom SOLL (aus dem Unternehmen abgeleitete Anforderungen) werden als potentielle Bedrohungen aus dem IT-Einsatz identifiziert. Der erforderliche Regelungsprozess, der Abweichungen vom vorgegebenen Sollwert identifiziert und durch geeignete Maßnahmen kompensiert, wird im Unternehmen als kontinuierlicher Risikomanagement Prozess implementiert.
Risiken werden mit dem CRISAM® Ansatz in Form einer quantitativ dargestellten Kennzahl analog dem Standard & Poor's Versicherungsratingansatz bewertet. Im Ergebnis der Risikobewertung wird die Relevanz der IT-Unterstützung für die (Geschäfts-) Prozesse berücksichtigt. Innerhalb der Unternehmens-IT werden die Abhängigkeiten der Applikationen von unterstützenden Systemen, Ressourcen und Infrastrukturen in einem hierarchischen Risikobaum nachgebildet. Risiken werden analog der Fehlerbaumanalyse von den Blättern des Baumes zur Wurzel „vererbt“ und nach dem zugrunde liegenden Algorithmus berechnet. Festgestellte Abweichungen von der Sollvorgabe können aufgrund der nachgebildeten Abhängigkeiten bis zu den einzelnen Risikoobjekten (Blätter des Risikobaumes) zurückverfolgt werden.
Das Ergebnis ist eine Kennzahl analog dem bekannten Standard & Poor's Ratingmodell. Die Ratingkennung ist im Management allgemein bekannt und kann von Personen ohne spezifischen IT-Know-How interpretiert werden. Damit können Risiken aus dem IT-Einsatz in Relation zu den Finanz-, Markt- und weiteren Risikofaktoren im Unternehmen gebracht werden.
Inhaltsverzeichnis |
[Bearbeiten] Stufe 1: Policy
Erstellen eines IT-Security Leitbildes, eines Rahmenwerkes, welcher von der Geschäftsleitung getragen wird. Die zentralen Fragen betreffen die Vorgabe einer Qualtiätskennzahl nach Standard & Poor's, sowie die Erarbeitung des Nutzens, organisatorische Fragestellungen und der Umgang mit rechtlichen Belangen im Fokus der Informationstechnologie.
[Bearbeiten] Stufe 2: Geltungsbereich
Die zweite Stufe sammelt Informationen über die involvierten Geschäftsprozesse, deren verwendete Applikationen und erfasst die Relevanz, sowie die mögliche Bedrohung für das Unternehmen.
[Bearbeiten] Stufe 3: Risikoanalyse
Aufsetzend auf dem in der Stufe 2 definierten Geltungsbereichs mit dessen Applikationen, werden alle Anwendungen als Wurzel eines Risikobaumes mit deren unterstützenden Systemen, Ressourcen und Dienstleistungen und ihrer Abhängigkeiten zueinander in Form eines Fehlerbaumes dargestellt (analog der in der DIN 25424 festgelegten Fehlerbaumes FTA). Diese Fehlerbäume werden in einer Datenbank mit dem CRISAM® Risk Analysis Tool modelliert und ausgewertet. Die Bewertung erfolgt immer zum Stand der Technik.
[Bearbeiten] Stufe 4/5: Risikomanagement
Im Rahmen der Stufe Risikomanagement werden die Sollwerte aus der Policy (Stufe 1) mit den Ergebnissen des Geltungsbereichs und der Risikoanalyse in Form einer GAP-Analyse dargestellt. In weiterer Folge werden Maßnahmen abgeleitet und mittels der CRISAM-Tool Simulation auf ihre Effizienz hin geprüft.
[Bearbeiten] Stufe 6: Implementierung
Innerhalb dieser Stufe findet die Übergabe des Projektes (Risikomanagementprozesses), die Schulung und die Umsetzung der Maßnahmenpakete statt.
[Bearbeiten] Weblinks
- http://www.calpana.com/ - calpana business consulting hat CRISAM® (Corporate Risk and IT Security Application Method) entwickelt.
- http://www.risknet.de/ - The Risk Management Network
