Informationsrisikomanagement - Durchführung, Nutzen, Herausforderungen und ISO Standard 27005

Ein effektiver Schutz der auf Informationen basierenden Werte eines Unternehmens durch Maßnahmen der Informationssicherheit ist nur durch geeignete Priorisierung zu erreichen. "Was ist wirklich schützenswert" ist die wichtige Frage. Aus der Bedeutung bestimmter Informationen für den Erfolg des Unternehmens leiten sich dann direkt auch Art, Umfang und Kosten geeigneter Maßnahmen ab.

Durch Schutz der wirklich geschäftskritischen Informationen sorgt man für eine stabile Informationsverarbeitung, die nicht ausschließlich nur durch Informations- und Kommunikationstechnik betrieben wird. Im Sinne der Informationssicherheit werden im Informationsrisikomanagement die Risiken durch Verletzung von Vertraulichkeit, Integrität und Verfügbarkeit untersucht.

Aber wie identifiziert man die geschäftskritischen Informationen und wie grenzt man diese Informationsgüter von weniger wichtigen Informationen und Daten ab? Wie berechnet man den Wert eines Informationsgutes?

Diese Betrachtungen geben Aufschluss über die wirklichen "Kronjuwelen" des Unternehmens und sind Gegenstand des Seminars.

In dem Seminar soll gezeigt werden, welche theoretischen Grundlagen und Rahmen existieren. Anhand eines Fallbeispiels erarbeiten die Teilnehmer eine Risikoanalyse. Auf Basis des Ergebnisses wird aufgezeigt werden

• Welche Herausforderungen den Risikomanager erwarten
• Wie ein systematisches Risikomanagement die Keimzelle eines effektiven ISMS werden kann
• Wie man mit Risiken in Bezug auf die Informationssicherheit in einem Unternehmen umgehen soll

Themen

• Grundlagen Risikomanagement
  • Operationelles Risikomanagement (ISO 31000)
  • Teilaspekt Informationssicherheit (ISO 27005)
• Risikoanalyse (Vorgehensweisen)
• Praktische Anwendung Szenario-Analyse an Fallbeispielen
  • Bestimmung von Geschäftsprozessen
  • Bestimmung von Informationsgütern
  • Bestimmung von Gefährdungspotentialen anhand von Risikoszenarien
  • Bestimmung von Schadenspotentialen anhand von Risikoszenarien
• Stolperfallen und andere Herausforderungen
• Risikomanagement, wie kann man so etwas systematisch angehen
• Der Bezug zu einem Informationssicherheitsmanagementsystem (ISMS)

Zielgruppe

Das Seminar richtet sich an Berufstätige, die erste Kenntnisse im Bereich des operationellen Risikomanagements oder des Informationsrisikomanagements haben oder erwerben wollen. Die Teilnehmer sollten sich für das Thema risikobasiertes Informationsmanagement interessieren, um den Zusammenhang zwischen betriebswirtschaftlichen Einschränkungen und effektiver Informationssicherheit zu verstehen. Es werden Grundkenntnisse über entsprechende Standards (ISO/IEC 3100x und 2700x) vermittelt. Besonders wertvoll sind die Inhalte für Personen, die sich bereits mit Managementsystemen der Informationssicherheit beschäftigen. Typischerweise sind dies in einem Unternehmen die Rollen CIO, CISO, Sicherheitsbeauftragter oder Risikomanager. Das Thema ist branchenübergreifend.

Referent

Holger Schrader
CARMAO GmbH
Informationsrisikomanagement Experte mit entsprechender Praxiserfahrung
CISM, CRISC der ISACA und Mitglied der Fachgruppe Informationssicherheitsmanagement des ISACA German Chapter