Zusammenfassung
Rahmenwerke des IT-Risikomanagements erleichtern die systematische Identifikation, Analyse und Bewältigung von Bedrohungen und Risiken im IT-Umfeld. Ohne einen effektiven Umgang mit Risiken steigt die Gefahr, dass ein Unternehmen mit signifikanten Schäden konfrontiert wird und aufgrund der Folgen sogar seine Geschäftstätigkeit einstellt. Rahmenwerke erleichtern nicht nur die quasi obligatorische Anwendung eines IT-Risikomanagements, sondern bieten auch weitere Vorteile aus Sicht des Ressourceneinsatzes und der Qualität. Durch die Nutzung von Rahmenwerken werden z. B. die Transparenz und Vergleichbarkeit der Aktivitäten und Ergebnisse im IT-Risikomanagement erhöht. Grundsätzlich sind Rahmenwerke zwar stark zu empfehlen, allerdings ist die Vielzahl der verfügbaren Rahmenwerke schwer überschaubar und auf den ersten Blick sind diese kaum differenzierbar. Es stellt sich also die Frage, welches Rahmenwerk tatsächlich zum Unternehmen passt. Dieser Artikel erleichtert die Auseinandersetzung mit Rahmenwerken des IT-Risikomanagements, indem er verbreitete Rahmenwerke vorstellt und außerdem ihre Unterschiede und Einsatzmöglichkeiten erläutert. Es wird unter anderem beschrieben, mit welchem Rahmenwerk man die schnellsten Ergebnisse erzielen kann, welches für Begriffsdefinitionen geeignet ist, welches sich auf Akteure, Szenarien oder Vermögenswerte bezieht und mit welchem der Reifegrad von Prozessen beurteilt werden kann. Manchmal eignet sich auch eine Kombination von ausgewählten Rahmenwerken, um die individuelle Situation und die Erwartungen eines Unternehmens am besten abzudecken.
Abstract
Frameworks for IT risk management facilitate the systematical identification, analysis and coping of threats and risks in the IT environment. Without an effective handling of risks, the danger will increase that a company will have to face significant damages and, because of the consequences, might even have to cease business operations. Frameworks facilitate not only the quasi-mandatory application of IT risk management, but also offer other advantages from the view of resource use and quality. By using frameworks, e.g. the transparency and comparability of activities and results in IT risk management will be increased. In general, frameworks are highly recommended, but the large number of available frameworks is difficult to understand and, at first sight, they can hardly be differentiated. This raises the question of what framework actually fits into the company. This article facilitates the confrontation with frameworks of IT risk management by introducing common frameworks and explaining their differences and possible applications. Among other things, it describes which framework can be used to obtain the fastest results, which framework is suitable for definitions, which framework refers to actors, scenarios or assets, and with which framework the maturity level of processes can be assessed. Sometimes also a combination of selected frameworks is suitable to cover the individual situation and the expectations of a company in the most suitable way.
Literatur
Abie H, Borking JJ (2012) Risk analysis methods and practices: privacy risk analysis methodology. NR-notat DART/05/2012. Norsk Regnesentral, Oslo, S 37
Alberts CJ, Dorofee AJ, Stevens J, Woody C (2005) OCTAVE-S implementation guide, version 1.0. https://resources.sei.cmu.edu/asset_files/Handbook/2005_002_001_14273.pdf. Zugegriffen: 10. Aug 2016
Caralli RA, Stevens JF, Young LR, Wilson WR (2007) Introducing OCTAVE allegro: improving the information security risk assessment process. http://resources.sei.cmu.edu/asset_files/TechnicalReport/2007_005_001_14885.pdf. Zugegriffen: 10. Aug 2016
Intel (2009) Prioritizing information security risks with threat agent risk assessment. http://www.intel.com/Assets/en_US/PDF/whitepaper/wp_IT_Security_RiskAssessment.pdf. Zugegriffen: 10. Aug 2016
Ionita D, Hartel P, Pieters W, Wieringa RJ (2013) Current established risk assessment methodologies and tools. Technical Report TR-CTIT-14-04. Centre for Telematics and Information Technology, University of Twente, Enschede
ISACA (2015) Risk management student book. http://www.isaca.org/restricted/Documents/Academic-Advocates/Risk-Management-Student-Book_res_Eng_0415.pdf. Zugegriffen: 10. Aug 2016
Marquis H (2008) 10 steps to do it yourself CRAMM. http://www.itsmsolutions.com/newsletters/DITYvol4iss50.htm. Zugegriffen: 10. Aug 2016
NIST (2010) Guide for applying the risk management framework to federal information systems – a security life cycle approach, NIST special publication 800-37, revision 1. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r1.pdf. Zugegriffen: 10. Aug 2016
Peltier TR (2014) Risk management: the facilitated risk analysis and assessment process. In: Peltier TR (Hrsg) Information security fundamentals, 2. Aufl. CRC Press, Boca Raton, S 43–82
RIMS (2006) RIMS risk maturity model (RMM) for enterprise risk management. http://rims.logicmanager.com/LogicERM/documents/rims_rmm_full_version.pdf. Zugegriffen: 10. Aug 2016
The Open Group (2009) Technical standard – risk taxonomy. http://pubs.opengroup.org/onlinepubs/9699919899/toc.pdf. Zugegriffen: 10. Aug 2016
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
About this article
Cite this article
Beißel, S. Differenzierung von Rahmenwerken des IT-Risikomanagements. HMD 54, 37–54 (2017). https://doi.org/10.1365/s40702-016-0281-2
Received:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-016-0281-2