Benefit des Informationsrisikomanagements (IRM)

Inhaltsverzeichnis

1. Einleitung

1.1 Gegenstand der Arbeit

1.2 Zielsetzung

1.3 Vorgehensweise und Aufbau der Arbeit

2. Das Prinzip der Normung

2.1 Definition und Entwicklung

2.1.1 Der Unterschied zwischen Norm und Standard

2.1.2 Historische Entwicklung

2.2 Internationale Normungsorganisationen

2.2.1 Abgrenzung zu Standardisierungsorganisationen

2.2.2 Internationale Sekretariate

2.3 Der internationale Normungsprozess

2.3.1 Die Entstehung einer internationalen Norm

2.3.2 Ergebnis und Bedeutung des Normungsprozesses

2.4 Normung im rechtlichen Kontext

2.5 Vorteile internationaler Normung

2.6 Schlussfolgerung

3. Die Informationssicherheit

3.1 Grundlagen der Informationssicherheit

3.1.1 Schwachstellen und Bedrohungen

3.1.2 Schutzmaßnahmen

3.2 Bedeutung der Informationssicherheit

3.3 Motivation für eine Zertifizierung

3.4 Gesetzliche Anforderungen

3.5 Konsequenzen

4. Die Rolle des Informationsrisikomanagement

4.1 Grundlagen des Risikomanagements

4.2 Der Risikokreislauf

4.3 Das Informationsrisikomanagement

4.4 Normen und Standards zum IRM

4.4.1 DIN ISO/IEC 15408

4.4.2 IT-Grundschutzhandbuch

4.4.3 CoBiT

4.4.4 IT Infrastructure Library

5. Die ISO/IEC 27001 als Ziel

5.1 Die ISO/IEC 27000-Reihe

5.2 Anforderungen der ISO/IEC 27001

5.3 Das PCDA-Modell

5.3.1 Der PDCA-Zyklus

5.4 Verbreitung der ISO/IEC 27001 Zertifizierung

5.4.1 Verbreitung in Deutschland

5.4.2 Bewertung der Studie

5.5 Vorteile einer ISO/IEC 27001 Zertifizierung

5.6 Gründe einer Zertifizierung

6. Analyseergebnis des IST-Zustandes

6.1 Einsatz des CRISAM® Tools

6.2 CRISAM Ratingkennzahl

6.3 Analyseergebnis nach CRISAM®

6.3.1 Abweichungsanalyse

6.3.2 Aufwendungen und Empfehlungen

6.3.2.1 Erfüllung der ISO/IEC 27001 Normanforderungen

6.3.2.2 Erfüllung der ISO/IEC 27002 Normanforderungen

6.3.3 Zertifizierungskosten

6.4 Bewertung der gewonnenen Ergebnisse

7. Umsetzung notwendiger Maßnahmen

7.1 Internes Berichtwesen zu IT-Sicherheitsvorfällen

7.2 Akzeptierte Risiken

7.2.1 Sicherheitsupdate für Laptops im externen Einsatz

7.2.2 Beschaffung eines Diesel-Notstromaggregats

7.3 Abschaltung des ActiveSync

7.4 Beurteilung der durchgeführten Maßnahmen

8. Schlussbemerkungen und Ausblick

Zielsetzung & Themen

Das Hauptziel dieser Arbeit ist es, den Fortschritt des Projektes „IRM“ (Informationsrisikomanagement) in einem Dienstleistungsunternehmen im Gesundheitswesen hinsichtlich einer Zertifizierung nach ISO/IEC 27001 zu evaluieren. Die Forschungsfrage konzentriert sich darauf, den aktuellen organisatorischen und technischen Stand der Informationssicherheit zu bestimmen, den wirtschaftlichen Nutzen der notwendigen Maßnahmen zu identifizieren und Lücken aufzudecken, die durch bisherige IT-Sicherheitsvorfälle sichtbar wurden.

• Theoretische Grundlagen zur Normung und Informationssicherheit
• Analyse der Rolle des Informationsrisikomanagements und relevanter Standards
• Durchführung einer Risikoanalyse mit dem Tool CRISAM®
• Bewertung des IST-Zustandes im Unternehmen anhand von ISO/IEC 27001/27002
• Ableitung und Umsetzung notwendiger Maßnahmen zur Vorbereitung auf ein Zertifizierungsaudit

Auszug aus dem Buch

Zusammenfassung der Kapitel

1. Einleitung: Diese Einleitung definiert das Ziel der Arbeit, die Kooperation mit einem Praxisunternehmen aus dem Gesundheitswesen und beschreibt den methodischen Aufbau der Thesis.

2. Das Prinzip der Normung: In diesem Kapitel werden die theoretischen Grundlagen der Normung, internationale Normungsorganisationen sowie der Normungsprozess und dessen rechtlicher Kontext erläutert.

3. Die Informationssicherheit: Hier werden die Grundbegriffe der Informationssicherheit, Schutzzieldefinitionen sowie Bedrohungen und gesetzliche Anforderungen an die Informationssicherheit dargelegt.

4. Die Rolle des Informationsrisikomanagement: Dieses Kapitel fokussiert auf Risikomanagementmethoden und stellt relevante Standards wie DIN ISO/IEC 15408, das IT-Grundschutzhandbuch, CoBiT und ITIL vor.

5. Die ISO/IEC 27001 als Ziel: Der Fokus liegt hier auf der ISO/IEC 27000-Reihe, dem PDCA-Modell sowie der Bedeutung und Verbreitung der ISO/IEC 27001 Zertifizierung.

6. Analyseergebnis des IST-Zustandes: In diesem Kapitel wird das Ergebnis der Risikoanalyse nach CRISAM® präsentiert, inklusive Abweichungsanalysen, Aufwendungen und Empfehlungen für den Praxispartner.

7. Umsetzung notwendiger Maßnahmen: Hier werden erste organisatorische und technische Umsetzungen thematisiert, darunter ein neues Berichtswesen für Sicherheitsvorfälle und der Umgang mit akzeptierten Risiken.

8. Schlussbemerkungen und Ausblick: Das Fazit fasst die Ergebnisse der Risikoanalyse zusammen und bewertet den Fortschritt des Projekts im Hinblick auf ein angestrebtes Zertifizierungsaudit.

Schlüsselwörter

Informationsrisikomanagement, IRM, ISO/IEC 27001, Informationssicherheit, Risikoanalyse, CRISAM, IT-Sicherheit, ISMS, Zertifizierung, Normung, IT-Grundschutz, Risikomanagement, Sicherheitsvorfälle, Compliance, IT-Governance

Häufig gestellte Fragen

Worum geht es in dieser Masterthesis grundlegend?

Die Arbeit befasst sich mit dem Informationsrisikomanagement (IRM) in einem Dienstleistungsunternehmen im Gesundheitswesen und untersucht, wie dieses Unternehmen die Anforderungen für eine Zertifizierung nach ISO/IEC 27001 erfüllen kann.

Was sind die zentralen Themenfelder der Analyse?

Die zentralen Themen sind die theoretischen Grundlagen der Normung, die Prinzipien der Informationssicherheit, die Risikomanagementmethodik (insbes. CRISAM®) sowie die spezifischen Anforderungen der ISO/IEC 27000-Reihe.

Was ist das primäre Ziel oder die Forschungsfrage der Arbeit?

Das Ziel ist es, mittels einer Risikoanalyse den Status quo der Informationssicherheit beim Praxispartner zu prüfen, den wirtschaftlichen Benefit erforderlicher Maßnahmen zu eruieren und den Reifegrad des Projekts im Hinblick auf ein Zertifizierungsaudit zu bewerten.

Welche wissenschaftlichen Methoden werden verwendet?

Es wird eine praxisorientierte Risikoanalyse unter Einsatz des Tools CRISAM® durchgeführt, kombiniert mit einer Literaturrecherche zu Standards und Normen der IT-Sicherheit.

Was wird im Hauptteil der Arbeit behandelt?

Der Hauptteil umfasst die detaillierte Darstellung des Risikokreislaufs, die Bewertung des IT-IST-Zustandes anhand bausteinbasierter Kennzahlen sowie die Ableitung technischer und organisatorischer Handlungsempfehlungen.

Welche Schlüsselwörter charakterisieren das Dokument?

Kernbegriffe sind Informationsrisikomanagement, ISO/IEC 27001, CRISAM, Informationssicherheit, ISMS und Risikoanalyse.

Warum ist eine Zertifizierung für den Praxispartner im Gesundheitswesen kritisch?

Da der Praxispartner mit sensiblen Daten arbeitet, ist die Gewährleistung der Informationssicherheit essenziell, um Haftungsrisiken bei Sicherheitsvorfällen zu minimieren und das Vertrauen von Kunden und Partnern zu sichern.

Welches Fazit zieht der Autor bezüglich des aktuellen Standes der Zertifizierungsvorbereitung?

Der Autor kommt zu dem Schluss, dass die bisherigen Maßnahmen nur einen Bruchteil dessen darstellen, was für eine Zertifizierung nötig ist, und dass ein erfolgreiches Audit in der unmittelbaren Zukunft eher unwahrscheinlich bleibt, da bisher die Unterstützung der Geschäftsführung für eine umfassende IRM-Strategie fehlt.