Gut verpackt: ISM

Abgelegt in: Antworten

Nicht immer steht Informationssicherheitsmanagement (ISM) auf der „Verpackung“ – und trotzdem ist es drin. Das zu berücksichtigen hilft, Defizite zu vermeiden. Ein Beispiel dafür ist das Risikomanagement. Denn es umfasst nicht nur die Ermittlung der Risikotragfähigkeit und des gewünschten Risikoniveaus, sondern auch deren Einhaltung. Um die Risikotragfähigkeit bzw. das geforderte Risikoniveau nicht zu überschreiten, sind Früherkennung, Überwachung und Steuerung sowie Maßnahmen zur Risikominderung erforderlich. Dass Mängel im Bereich der Sicherheit oftmals ein Risiko zur Folge haben, ist bekannt. Sicherheitsmängel dürfen jedoch nicht zu einer Verletzung der Risikotragfähigkeit und des gewünschten Risikoniveaus führen. Und damit spannt das Risikomanagement – wie auch beim BCM – den Bogen zum Sicherheitsmanagement, im konkreten Fall zum ISM.

Branchenübergreifende und branchenspezifische Gesetze sowie bei Banken und Versicherungen zusätzlich die Mindestanforderungen der BaFin verwenden den Begriff Risikomanagement oder vergleichbare Bezeichnungen. Laut Aktiengesetz, hat der Vorstand „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Gemäß Kreditwesengesetz (KWG) müssen Institute über ein Risikomanagement verfügen. Das gilt laut Investmentgesetz (InvG) auch für Kapitalanlagegesellschaften und gemäß Versicherungsaufsichtsgesetz (VAG) auch für Versicherungen.

Die Mindestanforderungen an das Risikomanagement, kurz MaRisk, verlangen sowohl von Banken als auch von Investmentgesellschaften und Versicherungen, dass „IT-Systeme […] und die zugehörigen IT-Prozesse […] die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen“ müssen. Die MaRisk führt weiter aus, dass „Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten [sind], die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt“ und dass „IT-Systeme […] zu testen und […] abzunehmen“ sind, wofür „ein Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren“ ist. „Produktions- und Testumgebung sind dabei grundsätzlich voneinander zu trennen.“ Die InvMaRisk und die MaRisk VA fordern Vergleichbares, wenngleich die Anforderung nach einem Regelprozess in beiden nicht enthalten ist und bei der MaRisk VA der Text zur IT-Berechtigungsvergabe nicht zu finden ist.

In den Erläuterungen zu den MaRisk führt die BaFin aus: „Zu solchen Standards zählen z. B. der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 2700X der International Standards Organization.“ In der diesbezüglich weitgehend identischen Formulierung heißt es in den Erläuterungen zur InvMaRisk statt 2700X noch 27002. Die MaRisk VA nutzt ähnliche Formulierungen wie die InvMaRisk, verwendet jedoch noch den Begriff „IT-Grundschutzhandbuch“.

Diese Beispiele zeigen, dass auch aus Sicht des Gesetzgebers sowie der BaFin das Risikomanagement auf die IT-Sicherheit angewiesen ist, um Risiken auf das geforderte Niveau bringen zu können. Dies erfordert zumindest ein enges Zusammenspiel zwischen dem Risikomanagement und dem Sicherheitsmanagement, das auch organisatorisch abzubilden ist.

Üblich sind im Risikomanagement darüber hinaus die Risikoklassifizierung und die Bildung von Risikoklassen. Auf der anderen Seite erfolgt beim Sicherheitsmanagement oftmals ebenfalls eine Einstufung in Sicherheitsklassen. Eine einheitliche – sprich konsistente – Klassenbildung erspart spätere Anpassungen.

Übrigens, wenn Sie den ersten Artikel dieser Reihe mit dem Titel „Gut verpackt: BCM“ – gelesen haben, müssten Sie an manchen Stellen des vorangegangenen Textes ein déjà-vu gehabt haben. Dennoch hat der Artikel – so hoffe ich – die eine oder andere zusätzliche Erkenntnis gebracht?

 

Literatur / Quellen:

Gesetze

Aktiengesetz, 9.12.2010

Investmentgesetz, 22.6.2011

Kreditwesengesetz, 22.6.2011

Versicherungsaufsichtsgesetz, 1.3.2011

Aufsichtsbehördliche Anforderungen

InvMaRisk, BaFin, 30.06.2010

MaRisk, BaFin, 15.12.2010

MaRisk VA, BaFin, Rundschreiben 3/2009

Bücher

Klaus-Rainer Müller, IT-Sicherheit mit System, VIEWEG+TEUBNER, 2011

Geschrieben von

Als Autor von Fachbüchern und zahlreichen Artikeln bin ich Ihnen – zumindest namentlich – vielleicht bereits bekannt. Doch welche Vita verbirgt sich hinter diesem Namen?
Studium und Promotion machten mich bereits früh mit der IT vertraut. Meine berufliche Laufbahn startete ich im Bereich der Softwareentwicklung und –Spezifikation als Gruppenleiter. Als Ingenieur hatte ich gelernt, dass methodisches Vorgehen ein entscheidender Erfolgsfaktor ist, wenn Fehler vermieden und Aufgaben ohne unnötige Iterationen richtig und effizient gelöst werden sollen. Dies zumal dann, wenn die Aufgabenstellung – wie bei Software – komplex ist. Daher führte ich in meiner damaligen Entwicklergruppe das Software-Engineering ein. In meinem weiteren beruflichen Werdegang stellten sich die gemachten Erfahrungen beim Einstieg in ein internationales Softwarehaus als tragfähige Basis heraus. Zu Entwicklung und Spezifikation von Software kamen Teilprojektleitung, (Krisen-)Projekt-management, Test- und Qualitätsmanagement sowie Beratung und Prüfung, aber auch die Rollen Key Account Manager und Career Manager hinzu.
Bei der ACG Automation Consulting Group GmbH in Frankfurt (www.acg-gmbh.de), einer Unternehmensberatung für Organisation und Informationsverarbeitung, übernahm ich den Fachbereich Qualitäts- und Sicherheitsmanagement. Heute verantworte ich hier das Fach Competence Center Unternehmenssicherheit. Als Senior Management Consultant berate ich das Management zu den Themenfeldern (IT-)Sicherheits-, Kontinuitäts- und Risikomanagement, IT-Governance, IT-Service und IT Service Level Management sowie Sourcing.
Um die genannten Themen effizient, durchgängig und integrativ behandeln zu können, entwickelte ich in meiner Freizeit eine Vorgehensweise, in die meine langjährigen Praxis- und Beratungserfahrungen eingeflossen sind. Diese veröffentlichte ich gegen Ende des letzten Jahr-hunderts ;-). Die Anfrage des Vieweg-Verlags und mein Faible für’s Schreiben führten zur detaillierteren Veröffentlichung dieser Vorgehensweise in Buchform. Leserinnen und Lesern meiner Bücher „IT-Sicherheit mit System“ (4. Auflage, 2011) und „Handbuch Unterneh-menssicherheit“ (2. Auflage, 2010) sind die Sicherheitspyramide bzw. Sicherheitsmanagementpyramide sowie die Kontinuitäts- und die Risiko(management)pyramide bekannt.
Wenngleich diese Managementdisziplinen auch einzeln betrachtet werden können, habe ich sie aufgrund der vielfältigen Abhängigkeiten und zur Steigerung der Effizienz nicht nur im Handbuch Unternehmenssicherheit zusammengeführt. Die ganzheitliche Betrachtungsweise der Unternehmenssicherheit führt darüber hinaus zur Konsolidierung und Integration von Prozessen und Ressourcen unterschiedlicher Organisationseinheiten von der Arbeits-, Betriebs-, IT- und Gebäudesicherheit über BCM und ITSCM bis hin zum Risikomanagement für das Unternehmen und seine IT.
Ein weiteres Ergebnis meiner Autorentätigkeit ist das Buch „IT für Manager“, bei dessen Haupttitel – warum auch immer – inzwischen Verwechslungsgefahr besteht ;-).

0 Responses

Schreibe einen Kommentar