Enterprise Risk Register®: Informationssicherheitsmanagement
Risikomanagementsoftware für ISO 27001 / ISO 17799 / ISO 27005

Enterprise Risk Register® verbindet aussagekräftige Risikoinformationen mit einfacher Handhabung, um maximalen Nutzen aus dem Risikomanagement zu bekommen.

Enterprise Risk Register® Software zum Risikomanagement: Information Center

	Ihre Auswahl:
	Laden Sie Informationsmaterial herunter und registrieren Sie sich für die Produktvorstellung

Enterprise Risk Register® risk management software

	Klicken und Produktvorstellung mit vielen Screenshots von Enterprise Risk Register® anfragen.
	Klicken und Produktbroschüre zu Enterprise Risk Register®, Software zum Risikomanagement, herunterladen.
	Klicken und Produktpräsentation zu Enterprise Risk Register®, Software zum Risikomanagement, herunterladen.
	Klicken und Online-Produktpräsentation zu Enterprise Risk Register®, Software zum Risikomanagement, herunterladen.

Informationssicherheitsmanagement und Risikomanagement

Information und Informationsverarbeitung gehören zu den kritischsten Erfolgsfaktoren von Organisationen. Entsprechend ist die Informationssicherheit und deren Management von erheblicher Bedeutung für den Schutz der Vermögenswerte. Zum Schutz von Informationen und Informationsverarbeitung müssen mögliche zukünftige Gefahren betrachtet werden: Informationssicherheitsrisiken. Ein effektives wie effizientes Risikomanagementsystem ist eine notwendig Bedingung für ein erfolgreiches Informationssicherheitsmanagement. Standards wie ISO 27001 / ISO 17799 fordern eine Risikobewertung und ein Risikomanagement als Bestandteil des Informationssicherheitsmanagementsystems (ISMS). Weitere Standards wie BS 7799-3 (ISO 27005) skizzieren ein Risikomanagement für das Informationssicherheitssystem. Es soll ein systematischer Ansatz zum Risikomanagement Anwendung finden, um Risiken zu identifizieren und zu bewerten sowie entsprechende Maßnahmen einzuleiten. Risikomanagementsoftware kann die Arbeit des Risikomanagement erleichtern. Enterprise Risk Register® ist eine solche Risikomanagementlösung, die auch im Management der Informationssicherheit genutzt werden kann.

Der Risikomanagementprozeß im Informationssicherheitsmanagement

Risikomanagement der Informationssicherheit unterscheidet sich formal nicht vom allgemeinen Management operationeller Risiken. Zur Darstellung der Schritte im Risikomanagement von Informationssicherheit wird häufig der PDCA-Ansatz (Plan-Do-Check-Act) aus dem Qualitätsmanagement entliehen. Die folgende Übersicht stellt die Hauptschritte des IT-Sicherheitsrisikomanagements dar:

Es ist sehr wichtig, das Risikomanagement als einen kontinuierlichen Prozeß zu verstehen. Beim Risikoreview geht es um das Überdenken bestehender Risiken und deren Bewertung sowie der Aufdeckung neuer Risiken. Die folgende Tabelle bietet weitere Informationen zu den Prozeßschritten im Risikomanagement:

Schaffung der Grundlagen	Inventur von Informationen und Informationsverarbeitung
Risikoidentifikation	- Identifikation der Bedrohungen (Was ist bedroht?) - Identifikation von Schwachstellen (Wo gibt es Lücken?) - Analyse der Controls (Welche Steuerungsmaßnahmen gibt es?)
Risikobewertung	- Wahrscheinlichkeit (Schätzung der Wahrscheinlichkeit) - Auswirkung (Welches sind die Konsequenzen?)
Maßnahmenidentifikation	- Kosten-Nutzen-Analyse - Entscheidung für Maßnahmen
Überwachung	- Risikoreview - Maßnahmenverfolgung
Risikokommunikation	Risikoberichte, Risikocharts, Risiko-Dashboard

Risikoidentifikation im Informationssicherheitsmanagement

Die Risikoidentifikation im Informationssicherheitsmanagement umfaßt drei Hauptschritte:

Identifikation der Vermögenswerte: ein Vermögenswert ist jeder Gegenstand, materiell (Ressource) oder immateriell (Prozeß), der einen Wert für die Organisation hat. Dieser Wert ist nicht notwendigerweise ein monetärer Wert. Beispielsweise hat ein Prozeß keinen Wert in der Bilanz, aber ein unterbrochener Prozeß kann zu erheblichen Gewinneinbußen führen;
Identifikation der Bedrohungen: eine Bedrohung ist schlicht alles, was den Wert des Vermögenswertes beeinträchtigen könnte. Bedrohungen können einen natürlichen Ursprung haben (Flut, Feuer, etc.) oder auf Grund menschlicher Aktionen entstehen;
Identifikation von Schwachstellen: Es muß eine Schwachstelle im Vermögenswert geben, da anderenfalls die Bedrohung keinen Schaden anrichten könnte. Zumeist suchen Risikomaßnahmen die Schwachstellen zu beseitigen, da die Bedrohung selber nicht beseitigt werden kann;

Risikobewertung im Informationssicherheitsmanagement

Um eine Risikobewertung durchführen zu können, müssen die Risiken eindeutig identifiziert sein. Für die Bewertung ergeben sich dann zwei Fragen:

Was ist die Auswirkung eines eintretenden Risikos?
Wie hoch ist Wahrscheinlichkeit, daß ein Risiko eintreten wird?

Das Ergebnis der Risikobewertung ermöglicht eine Einstufung der Risiken und Festlegung der Rangfolge, nach welcher die Risiken abgearbeitet werden sollen.

Risikomaßnahmen im Informationssicherheitsmanagement

Es ist eine Grundregel für Risikomaßnahmen, daß ihr Return-on-Investment größer als eins sein muß. In anderen Worten: der Nutzen der Maßnahmen muß größer als deren Kosten sein. Risikomaßnahmen können wie folgt kategorisiert werden:

Risikobeseitigung;
Risikomeidung;
Risikotransfer auf einen Dritten oder eine Versicherungsgesellschaft;
Maßnahmen zur Verringerung der Auswirkung und/oder der Wahrscheinlichkeit eines Risikos;
Risikoakzeptanz;

Der Nutzen des Einsatzes von Enterprise Risk Register®

Enterprise Risk Register® ist eine webbasierte Mehrplatzanwendung, die eine relationale SQL Server-Datenbank benutzt, so daß Hunderte von Entscheidungsträgern innerhalb einer Organisation unterstützt werden können.

Enterprise Risk Register® unterstützt den Anwender bei der Erfassung aller für ein erfolgreiches Risikomanagement relevanten Daten. Neben der Datenerfassung unterstützt die Software bei der Risikoanalyse, unterhält eine Risikohistorie, hilft bei der Überwachung von Risiken und Maßnahmen und hält alle Daten für eine umfassende Berichterstattung bereit.

Enterprise Risk Register® wird benutzt, um allgemein Unternehmensrisiken in Bezug auf Personen, Eigentum, Reputation, Vermögen und Umwelt in den Griff zu bekommen. Dies schließt das Risikomanagement in der Informationssicherheit ein, ist aber nicht darauf beschränkt rauf. Enterprise Risk Register® unterstützt auch die Risikomanagementanforderungen vieler anderer internationalen Standards einschließlich ISO 17799 / ISO 27001 / ISO 27005.

Enterprise Risk Register® ist eine sehr effektive Software für das Risikomanagement, da sie ...

hilft, Risiken zu reduzieren und Kosten der Risikomaßnahmen zu senken;
nachverfolgt, wer für welche Risiko oder welche Maßnahme verantwortlich ist;
Risiken nach Kontext überwacht - Abteilung, Division, Standort, Projekt, Prozeß, Gegenstand oder Risikokategorie;
Kosten und Effektivität jeder Maßnahmen bewertet;
eine unverzichtbare Managementsoftware, deren Return um ein vielfaches größer als die Kosten der Investition ist;
dokumentierten Nachweis liefert, welche Maßnahmen zu welchem Risiko getroffen werden.

In brief: Enterprise Risk Register® hilft dem Anwender, den Anforderungen von ISO 17799 / ISO 27001 / ISO 27005 gerecht zu werden.

Enterprise Risk Register®: Im Informationssicherheits-Risikomanagement nützliche Features

Enterprise Risk Register® führt zu Verbesserungen der Performance des Risikomanagements von Informationssicherheit, weil:

das Risikomanagement von Informationssicherheit konsistent mit dem unternehmensweiten Risikomanagement ist;
es die administrative Arbeit deutlich erleichtert;
es den Risikomanagementprozeß beschleunigt;
eine Risikohistorie das Geschehnisse nachvollziehbar macht;
Alarm ausgelöst wird, wenn Risikoreviews oder Maßnahmen überfällig sind.
der Risikostatus der Informationssicherheit im Dashboard und zahlreichen Charts auch graphisch abgebildet werden kann;

Enterprise Risk Register®, Software für das Risikomanagement, ist eine Entwicklung von

Enterprise Risk Register®: InformationssicherheitsmanagementRisikomanagementsoftware für ISO 27001 / ISO 17799 / ISO 27005