دسترسی نامحدود
برای کاربرانی که ثبت نام کرده اند
برای ارتباط با ما می توانید از طریق شماره موبایل زیر از طریق تماس و پیامک با ما در ارتباط باشید
در صورت عدم پاسخ گویی از طریق پیامک با پشتیبان در ارتباط باشید
برای کاربرانی که ثبت نام کرده اند
درصورت عدم همخوانی توضیحات با کتاب
از ساعت 7 صبح تا 10 شب
ویرایش:
نویسندگان: Hans-Peter Königs
سری: Edition
ISBN (شابک) : 3834803596, 9783834803597
ناشر: Vieweg+Teubner
سال نشر: 2009
تعداد صفحات: 376
زبان: German
فرمت فایل : PDF (درصورت درخواست کاربر به PDF، EPUB یا AZW3 تبدیل می شود)
حجم فایل: 3 مگابایت
در صورت تبدیل فایل کتاب IT-Risiko-Management mit System: von den Grundlagen bis zur Realisierung - ein praxisorientierter Leitfaden, 3. Auflage به فرمت های PDF، EPUB، AZW3، MOBI و یا DJVU می توانید به پشتیبان اطلاع دهید تا فایل مورد نظر را تبدیل نمایند.
توجه داشته باشید کتاب مدیریت ریسک سیستماتیک فناوری اطلاعات: از اصول اولیه تا اجرا - راهنمای عملی، ویرایش سوم نسخه زبان اصلی می باشد و کتاب ترجمه شده به فارسی نمی باشد. وبسایت اینترنشنال لایبرری ارائه دهنده کتاب های زبان اصلی می باشد و هیچ گونه کتاب ترجمه شده یا نوشته شده به فارسی را ارائه نمی دهد.
راهنمای عملی مدیریت ریسک فناوری اطلاعات در شرکتها از نظر صنعت خنثی است و با وضعیت فعلی استانداردسازی، حاکمیت فناوری اطلاعات و چارچوب فعلی (مانند CobiT) سازگار است. خطرات مربوط به اطلاعات، سیستم های فناوری اطلاعات و خدمات فناوری اطلاعات به طور سیستماتیک رسیدگی می شود. خواننده هر آنچه را که از نظر روش شناختی برای تجزیه و تحلیل و مدیریت این خطرات لازم است دریافت می کند تا بتواند با خیال راحت آن را در عمل پیاده سازی کند. یک فرآیند نمونه مدیریت ریسک نشان می دهد که چگونه ریسک های فناوری اطلاعات در فرآیندهای مدیریتی شرکت به همراه سایر ریسک های مهم گنجانده می شوند. به این ترتیب الزامات «حاکمیت شرکتی» به طور کامل به نفع شرکت در نظر گرفته می شود. در این ویرایش سوم، موضوعات انطباق مانند بازل II، SOX و کد تعهدات سوئیس از دیدگاه مدیریت ریسک به روز می شوند. تداوم کسب و کار و مدیریت اضطراری بر اساس استانداردهای امروزی (به عنوان مثال BS 25999-x) به طور عمیق مورد بررسی قرار می گیرد. علاوه بر این، یک فصل اضافی موضوع تجزیه و تحلیل هزینه-فایده در فناوری اطلاعات را از منظر ریسک تکمیل می کند.
Der praxisbezogene Leitfaden für das IT-Risiko-Management im Unternehmen ist branchenneutral und angepasst an die aktuelle Situation der Standardisierung, der IT Governance und der aktuellen Rahmenwerke (z. B. CobiT). Systematisch werden die Risiken rund um die Informationen, IT-Systeme und IT-Dienstleistungen behandelt. Der Leser erhält alles, was zur Analyse und Bewältigung dieser Risiken methodisch erforderlich ist, um es in der Praxis sicher umsetzen zu können. Ein beispielhafter Risiko-Management-Prozess zeigt auf, wie die IT-Risiken zusammen mit anderen wichtigen Risiken in die Management-Prozesse des Unternehmens einbezogen werden. Auf diese Weise wird den Anforderungen der "Corporate Governance" zum Wohle des Unternehmens umfassend Rechnung getragen. In dieser 3. Auflage sind Compliance-Themen aus der Perspektive Risiko-Management wie Basel II, SOX und Schweizerisches Obligationenrecht aktualisiert. Das Geschäftskontinuitäts- und Notfall-Managements basierend auf heutigen Standards (z. B. BS 25999-x) wird vertieft behandelt. Außerdem ergänzt ein zusätzliches Kapitel die Thematik der Kosten-Nutzen-Analyse in der IT aus Risikosicht.
Cover......Page 1
Edition......Page 3
IT-Risiko-Management mit System, 3. Auflage......Page 4
ISBN 9783834803597......Page 5
Vorwort zur 1. und 2. Auflage......Page 6
Vorwort zur 3. Auflage......Page 8
Inhaltsverzeichnis......Page 10
1.1 Warum beschäftigen wir uns mit Risiken?......Page 17
1.2 Risiken bei unternehmerischen Tätigkeiten......Page 18
1.3 Inhalt und Aufbau dieses Buchs......Page 19
Teil A: Grundlagen erarbeiten......Page 21
2 Elemente für die Durchführung eines Risiko- Managements......Page 23
2.1 Fokus und Kontext Risiko-Management......Page 24
2.2 Definition des Begriffs „Risiko“......Page 25
2.3 Anwendung Risiko-Formeln......Page 29
2.4 Subjektivität bei Einschätzung und Bewertung der Risiken......Page 30
2.5.1 Risiko-Bewertungs-Matrix......Page 31
2.5.2 Kriterien zur Schadenseinstufung......Page 32
2.5.3 Risiko-Landkarte, Akzeptanz-Kriterien und Risiko-Portfolio......Page 36
2.5.4 Risiko-Katalog......Page 37
2.5.5 Risiko-Aggregation......Page 38
2.6 Risiko-Organisation, Kategorien und Arten von Risiken......Page 40
2.6.2 Beispiele von Risiko-Arten......Page 43
2.7 Zusammenfassung......Page 45
2.8 Kontrollfragen und Aufgaben......Page 46
3 Risiko-Management als Prozess......Page 47
3.1 Festlegung Risiko-Management-Kontext......Page 49
3.2.1 Analyse-Arten......Page 50
3.2.2 Durchführung der Risiko-Analyse in einem RM-Prozess......Page 53
3.2.3 “Value at Risk” als Risiko-Masszahl......Page 55
3.2.4 Analyse-Methoden......Page 58
3.2.5 Such-Methoden......Page 60
3.2.6 Szenario-Analyse......Page 61
3.3.1 Schwächen-Analyse......Page 62
3.3.2 Impact-Analyse......Page 63
3.4 Risiko-Bewertung......Page 64
3.5 Risiko-Bewältigung......Page 65
3.6 Risiko-Überwachung, Überprüfung und Reporting......Page 67
3.7 Risiko-Kommunikation......Page 68
3.9 Anwendungen eines Risiko-Management-Prozesses......Page 69
3.10 Zusammenfassung......Page 70
3.11 Kontrollfragen und Aufgaben......Page 71
4.1 Risiko-Management integriert in das Führungssystem......Page 75
4.2 Corporate Governance......Page 78
4.3.1 Gesetz KonTraG in Deutschland......Page 80
4.3.2 Obligationenrecht in der Schweiz......Page 81
4.3.3 Swiss Code of best Practice for Corporate Governance......Page 83
4.3.4 Basel Capital Accord (Basel II)......Page 84
4.3.5 Sarbanes-Oxley Act (SOX) der USA......Page 92
4.3.6 EuroSOX......Page 95
4.4 Risiko-Management: Anliegen der Kunden und der Öffentlichkeit......Page 96
4.5 Hauptakteure im unternehmensweiten Risiko-Management......Page 97
4.6 Zusammenfassung......Page 100
4.7 Kontrollfragen und Aufgaben......Page 101
5 Risiko-Management integriert in das Management- System......Page 103
5.1 Integrierter unternehmensweiter Risiko-ManagementProzess......Page 104
5.2.1 Unternehmens-Politik......Page 106
5.2.4 Mission und Strategische Ziele......Page 107
5.3 Strategisches Management......Page 108
5.3.1 Strategische Ziele......Page 110
5.4.1 Strategieumsetzung mittels Balanced Scorecards (BSC)......Page 114
5.4.3 Balanced Scorecard und CobiT für die IT-Strategie......Page 119
5.4.4 IT-Indikatoren in der Balanced Scorecard......Page 121
5.4.6 Policies und Pläne......Page 125
5.4.7 Risikopolitische Grundsätze......Page 127
5.5 Zusammenfassung......Page 128
5.6 Kontrollfragen und Aufgaben......Page 129
Teil C: IT-Risiken erkennen und bewältigen......Page 131
6.1 Veranschaulichung der Risikozusammenhänge am Modell......Page 133
6.2 Informationen — die risikoträchtigen Güter......Page 135
6.3 System-Ziele für den Schutz von Informationen......Page 137
6.4 Informations-Sicherheit versus IT-Sicherheit......Page 140
6.5 IT-Risiko-Management, Informations-Sicherheit und Grundschutz......Page 141
6.7 Kontrollfragen und Aufgaben......Page 142
7.1 Management von IT-Risiken und Informations-Sicherheit......Page 143
7.1.1 IT-Governance und Informations-Sicherheit-Governance......Page 144
7.1.2 Informations-Sicherheit-Governance......Page 146
7.2 Organisatorische Funktionen für Informations-Risiken......Page 150
7.2.2 Chief (Information) Security Officer......Page 151
7.2.3 IT-Owner und IT-Administratoren......Page 153
7.2.5 Checks and Balances durch Organisations-Struktur......Page 154
7.3 Zusammenfassung......Page 157
7.4 Kontrollfragen und Aufgaben......Page 158
8 IT-Risiko-Management in der Führungs-Pyramide......Page 159
8.1.1 Risikound Sicherheits-Politik auf der Unternehmens-Ebene......Page 160
8.1.2 Informations-Sicherheits-Politik und ISMS-Politik......Page 161
8.1.3 IT-Sicherheitsweisungen und Ausführungsbestimmungen......Page 163
8.1.4 IT-Sicherheits-Architektur und -Standards......Page 165
8.1.5 IT-Sicherheitskonzepte......Page 168
8.2 Zusammenfassung......Page 169
8.3 Kontrollfragen und Aufgaben......Page 171
9.1 Bedeutung der Standard-Regelwerke......Page 173
9.2 Übersicht über wichtige Regelwerke......Page 175
9.3 Risiko-Management mit der Standard-Reihe ISO/IEC 2700x......Page 180
9.3.1 Informations-Sicherheits-Management nach ISO/IEC 27001......Page 181
9.3.2 Code of Practice ISO/IEC 27002......Page 188
9.3.3 Informations-Risiko-Management mit ISO/IEC 27005......Page 192
9.4 IT-Risiko-Management mit CobiT......Page 195
9.5 BSI-Standards und Grundschutzkataloge......Page 202
9.6 Zusammenfassung......Page 205
9.7 Kontrollfragen und Aufgaben......Page 206
10.1 IT-Risiko-Management mit Sicherheitskonzepten......Page 207
10.1.1 Kapitel „Ausgangslage“......Page 211
10.1.2 Kapitel „Systembeschreibung und Schutzobjekte“......Page 212
10.1.3 Kapitel „Risiko-Analyse“......Page 214
10.1.4 Schwachstellen-Analyse anstelle einer Risiko-Analyse......Page 217
10.1.5 Kapitel „Anforderungen an die Sicherheitsmassnahmen“......Page 219
10.1.6 Kapitel „Beschreibung der Sicherheitsmassnahmen“......Page 220
10.1.7 Kapitel „Umsetzung der Sicherheitsmassnahmen“......Page 221
10.1.8 Iterative und kooperative Ausarbeitung der Kapitel......Page 223
10.2 Die CRAMM-Methode......Page 224
10.3 Fehlermöglichkeitsund Einfluss-Analyse......Page 230
10.4 Fehlerbaum-Analyse......Page 232
10.5 Ereignisbaum-Analyse......Page 237
10.6 Zusammenfassung......Page 238
10.7 Kontrollfragen und Aufgaben......Page 241
11 Kosten/Nutzen-Relationen der Risikobewältigung......Page 245
11.1 Formel für Return on Security Investments (ROSI)......Page 247
11.2 Ermittlung der Kosten für die Sicherheitsmassnahmen......Page 249
11.3 Ermittlung der Kosten der bewältigten Risiken......Page 252
11.4 Massnahmen-Nutzen ausgerichtet an Unternehmenszielen......Page 253
11.4.1 Grundzüge von Val IT......Page 255
11.4.2 Grundzüge von Risk IT......Page 257
11.6 Zusammenfassung......Page 260
11.7 Kontrollfragen und Aufgaben......Page 263
Teil D: Unternehmens- Prozesse meistern......Page 265
12.1 Verzahnung der RM-Prozesse im Unternehmen......Page 267
12.1.1 Risiko-Konsolidierung......Page 269
12.1.2 Subsidiäre RM-Prozesse......Page 270
12.1.3 IT-RM und Rollenkonzepte im Gesamt-RM......Page 272
12.2 Risiko-Management im Strategie-Prozess......Page 274
12.2.1 Risiko-Management und IT-Strategie im Strategie-Prozess......Page 275
12.3 Zusammenfassung......Page 278
12.4 Kontrollfragen und Aufgaben......Page 279
13 Geschäftskontinuitäts-Management und IT-Notfall- Planung......Page 281
13.1 Einzelpläne zur Unterstützung der Geschäftskontinuität......Page 282
13.1.1 Geschäftskontinuitäts-Plan (Business Continuity Plan)......Page 283
13.1.3 Ausweichplan (Disaster Recovery Plan)......Page 285
13.1.5 Vulnerabilityund Incident Response Plan......Page 286
13.2 Business Continuity Mangement im Risk Management......Page 287
13.2.1 Start Gechäftskontinuitäts-Prozess......Page 289
13.2.2 Kontinuitäts-Analyse......Page 290
13.2.3 Massnahmen-Strategien......Page 293
13.2.4.1 Krisenmanagement......Page 295
13.2.4.2 Kriterien für Plan-Aktivierungen......Page 299
13.2.4.3 Ressourcen und externe Abhängigkeiten......Page 300
13.2.4.4 Plan-Zusammenstellung......Page 301
13.2.4.5 Kommunikationskonzept......Page 302
13.2.5.1 Tests......Page 303
13.2.5.2 Übungsvorbereitungen und -Durchführungen......Page 304
13.2.6 Kontinuitäts-Überwachung, -Überprüfung und -Reporting......Page 306
13.3 IT-Notfall-Plan, Vulnerabilityund Incident-Management......Page 307
13.3.1 Organisation eines Vulnerabilityund Incident-Managements......Page 310
13.3.2 Behandlung von plötzlichen Ereignissen als RM-Prozess......Page 312
13.4 Zusammenfassung......Page 313
13.5 Kontrollfragen und Aufgaben......Page 315
14.1.1 Einstufung der Informations-Risiken......Page 317
14.1.2 Massnahmen für die einzelnen Schutzphasen......Page 318
14.2 Risiko-Management im Lifecycle von IT-Systemen......Page 319
14.3 Synchronisation RM mit System-Lifecycle......Page 321
14.4 Zusammenfassung......Page 323
14.5 Kontrollfragen und Aufgaben......Page 324
15 Risiko-Management in Outsourcing-Prozessen......Page 327
15.1 IT-Risiko-Management im Outsourcing-Vertrag......Page 328
15.1.1 Sicherheitskonzept im Sourcing-Lifecycle......Page 329
15.1.2 Sicherheitskonzept beim Dienstleister......Page 333
15.2 Zusammenfassung......Page 335
15.3 Kontrollfragen......Page 336
Anhang......Page 337
A.1 Beispiele von Risiko-Arten......Page 339
A.2 Muster Ausführungsbestimmung für Informationsschutz......Page 343
A.3 Formulare zur Einschätzung von IT-Risiken......Page 347
A.4.1 Beispiel der Bildung eines VAR durch Vollenumeration......Page 351
A.4.2 Beispiele für Verteilung von Verlusthöhen und Verlustanzahl......Page 353
A.4.3 Aggregation mittels Monte-Carlo Methode......Page 354
Literatur......Page 355
Abkürzungsverzeichnis......Page 361
Stichwortverzeichnis......Page 363