CRISAM® Managementprozess

Der CRISAM® Managementprozess wird im Unternehmen als kontinuierlicher Verbesserungsprozess betrieben und zyklisch durchlaufen. Zwei Rückkoppelungen stellen sicher, dass Veränderungen im Unternehmen oder im Umfeld des Unternehmens, auch dem IT-Risikomanagement-Prozess zugeführt werden. Veränderungen in der Unternehmensstrategie oder neue Märkte erfordern ein Nachjustieren der strategischen Ausrichtung des IT-Risikomanagement-Prozesses (anlassbezogene Feedbackschleife). Technologische Veränderungen oder neue Bedrohungsprofile verlangen eine Anpassung der technologisch- organisatorischen IT-Strukturen (periodisch auszuführende Feedbackschleife).

CRISAM® Implementierungsmodell

Mit den implementierten Rückkoppelungen entspricht ein, nach der Methode CRSIAM® implementierter Risikomanagement-Prozess, den von normkonformen Managementsystemen geforderten „Plan-Do-Check-Act“ (PDCA) Prozess. Aufgrund der beiden Rückkoppelungen kann der kaskadierte Regelkreis sowohl anlassbezogen auf technologische Veränderungen und auch Veränderungen der Bedrohungsprofile, als auch auf strategische Neupositionierungen des Unternehmens reagieren.

CRISAM® ist aufgrund seiner ganzheitlichen Betrachtung der Unternehmens-IT im Kontext des Gesamtunternehmens nicht auf die Implementierung eines IT-Risikomanagement Prozesses beschränkt. Über diese wichtige und zentrale Aufgabenstellung im IT-Management liefert CRISAM® jene wesentlichen „Key-Aspekts“, die für ein Zertifizierungsprojekt nach ISO 2700x, ein nachvollziehbares Service Level Management, ein Business Continuity Management aus IT-Sicht und für eine Nutzwert- bzw. ROI-Analyse erforderlicher organisatorischer und/oder infrastruktureller Aufwendungen zwingend erforderlich sind.

 

Damit der CRISAM® Managementprozess im Unternehmen implementiert werden kann, sind folgende Rahmenbedingungen zu schaffen:

  • Von der Geschäftsleitung im Unternehmen wird mit der Informationssicherheitspolitik eine Vorgabe für den Umgang mit IT-relevanten Risiken gegeben. Eine Qualitätskennzahl definiert darin den Zielwert des akzeptierten Risikos.

  • Die IT wird als Werkzeug für direkt oder indirekt Wertschöpfung generierende Prozesse betrachtet. Der erwartete Nutzen aus dem IT-Einsatz liegt in der Steigerung der Prozessqualität und Prozessperformance, sowie einer Senkung der Prozesskosten. Risiken werden aus einer negativen Beeinflussung des erwarteten Nutzens bewertet.

  • IT-Systeme, Ressourcen und Infrastrukturen werden mit ihrer Qualität bewertet und auf Abweichungen zum aktuell gültigen Stand der Technik überprüft.

  • Abweichungen vom Stand der Technik werden über die Relevanz zum unterstützten Geschäftsprozess (IT-Durchdringung) durch ein Risikogewicht relativiert.

  • Identifizierte Abweichungen von der Zielvorgabe aus der Informationssicherheitspolitik repräsentieren das Risiko aus dem IT-Einsatz.