CRISAM® - Step by Step

CRISAM® ist einerseits eine Vorgehensmethode, andererseits eine Bewertungsmethode. Die Vorgehensmethode hat das Ziel, Risikomanagement im Unternehmen möglichst effizient und effektiv einzuführen und besteht im Initialprojekt aus den in der folgenden Abbildung dargestellten Phasen.

Das Vorgehensmodell beinhaltet folgende Vorteile:

  • Klare Vorgehensweise sowohl zur Einführung von Risikomanagement als auch für den laufenden Risikomanagement Prozess.
  • Gemischter Top-Down und Bottom Up Ansatz.
  • Durchgängigkeit und Nachvollziehbarkeit von der Policy bis zur laufenden Umsetzung der Maßnahmen.
  • Hohe Verbindlichkeit in jeder einzelnen Stufe.
CRISAM® Vorgehensmodell

Mit dem erstmaligen Durchlaufen aller sechs Schritte im Vorgehensmodell wird der IT-Risikomanagement Prozess im Unternehmen eingeführt.

Schritt 1: Risikopolitik

Im ersten Schritt wird vom verantwortlichen Management eine „Risikopolitik“ (bzw. „Informationssicherheitspolitik“ im Kontext IT-Risk Management) aus den Unternehmensstrategien abgeleitet, in schriftlicher Form festgelegt und freigegeben. Das bedeutet, dass der letztendlich Verantwortliche in CRISAM® ein Schutzziel festlegt, dessen Abweichung ausschließlich als Risiko gewertet wird. In der „Risikopolitik“ sind aus Sicht der Unternehmensführung alle erforderlichen Vorgaben für die strategische Ausrichtung und den Betrieb der Unternehmens-IT festgelegt. Darin ist auch eine SOLL-Vorgabe für die Risikopositionierung beschrieben, die das Schutzziel in einer für den Vorstand oder Geschäftsführer verständlichen Kennzahl bestimmt. Werden Anforderungen für Investitionen aus dem IT-Betrieb beantragt, so sind diese aus der Zielvorgabe zu begründen.

 

Ihr Nutzen besteht vor allem darin, dass der Projekterfolg durch eine klare Vorgabe der Geschäftsführung gesichert wird.

Schritt 2: Geltungsbereich

Schritt 2 wird mit „Geltungsbereich“ bezeichnet. Im Dialog mit den Prozess- und Informationseignern wird ein möglicher Schaden aus dem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität der IT-Unterstützung abgeschätzt und dokumentiert. Das Ergebnis der Gespräche ist eine plausible und nachvollziehbare Einstufung möglicher, IT-verursachter Schäden je betrachtetem Geschäftsprozess (Business Impact). Aus den potenziellen Bedrohungen werden die Anforderungen an die Unternehmens-IT abgeleitet und dokumentiert.

 

Ihr Nutzen besteht vor allem in einer detaillierten und neutralen Erhebung der Anforderungen der Prozesseigner an die IT in punkto Verfügbarkeit, Vertraulichkeit, Integrität und Rechtskonformität. Weiters kommt aus den operativen Unternehmensbereichen eine Service Level Anforderung (SLA) die als Auftrag an die Unternehmens-IT anzunehmen ist.

Schritt 3: Risikoanalyse

Im dritten Schritt, der „Risikoanalyse“, wird die potentielle Bedrohung eines Verfügbarkeits-, Vertraulichkeits- und Integritätsverlustes der betrachteten IT-Applikationen und darin gespeicherte und/oder verarbeitete Daten bewertet.  Im CRISAM® werden IT-Systeme, IT-Infrastrukturen und auch IT-Prozesse in ihrer Ursache-Wirkungskette modelliert.

Dazu werden die komplexen Strukturen aus IT-Systemen, IT-Prozessen und unterstützenden Infrastrukturen analysiert. Das Ergebnis der Risikoanalyse ist eine kontextneutrale Kennzahl des Risikos der jeweils betrachteten  IT-Applikation. Zusätzlich wird ein elektronisches Modellabbild der Unternehmens-IT erstellt, an dem sowohl „Was wäre wenn?“ Szenarien simuliert als auch zu implementierende Maßnahmen auf Effizienz überprüft werden können. Die detaillierte Analyse Ihrer IT-Infrastruktur erfolgt durch Interviews und Vorort-Kontrollen. Hierbei werden alle relevanten Standards und Normen des IT-Risikomanagements  und unternehmensinterne Prüfmodelle abgefragt und das Ergebnis ist einerseits eine S&P Ratingkennzahl in der Kommunikation des IST-Zustandes zur Geschäftsleitung/zum Vorstand, andererseits werden Maßnahmen identifiziert, die für den operativen Bereich des Unternehmens Verbesserungspotentiale darstellen.

Schritt 4 und 5: Risikomanagement

In den Schritten 4 und 5 „Risikomanagement“ „strategisch“ und „operativ“ wird die Ratingkennzahl aus der Risikoanalyse mit dem Gewichtungsfaktor der identifizierten Risikoklasse aus Schritt 2, zum jeweils unterstützten Prozess gewichtet.

In den Prozessschritten 4 und 5, „Risikomanagement“ „strategisch“ und „operativ“, wird das ermittelte IT-Risiko je Anwendung und Geschäftsprozess der vom Vorstand oder Geschäftsführer festgelegten Zielkennzahl gegenübergestellt und Abweichungen analysiert. Abweichungen ergeben sich aus IT-Systemen und IT-Prozessen, deren Qualitätsanforderungen nicht den Vorgaben aus der Informationssicherheitspolitik entsprechen. Das Ergebnis dieser „GAP-Analyse“ ist eine Liste aller Risikoquellen. Aus der Liste aller Abweichungen wird ein entsprechender Maßnahmenkatalog erstellt. Dieser Maßnahmenkatalog wird im letzten Schritt „Implementierung“ in Implementierungsprojekte überführt. Eine regelmäßige Überprüfung der Prozesse und der Infrastruktur führen Sie zu einem kontinuierlichen Verbesserungsprozess.

 

Ihr Nutzen besteht vor allem in einer übersichtlichen und leicht verständlichen Dokumentation der Ergebnisse bzw. Maßnahmen.

Schritt 6: Implementierung

Der, im Rahmen des Risikomanagements erstellte, Maßnahmenkatalog wird im letzten Schritt „Implementierung“ in Implementierungsprojekte gruppiert. Für jedes Projekt wird eine Projektplanung durchgeführt. Als Ergebnis des letzten Prozessschrittes werden Projektspezifikationen, Kosten-, Ressourcen- und Zeitabschätzungen ausgearbeitet, die dem verantwortlichen Management als Entscheidungsgrundlage im Sinne des Decision Engineerings dienen.

 

Ihr Nutzen besteht vor allem in der hochwertigen Ausarbeitung von Teilaufgaben aufgrund des langjährigen Know-Hows unserer Berater in der Informationstechnologie sowie im Projektmanagement.

Rückkoppelungen

Zwei Rückkoppelungen stellen sicher, dass Veränderungen im Unternehmen, oder im Umfeld des Unternehmens, auch dem IT-Risikomanagement Prozess zugeführt werden. Veränderungen in der Unternehmensstrategie oder neue Märkte erfordern ein Nachjustieren der strategischen Ausrichtung des IT-Risikomanagement Prozesses (anlassbezogene Feedbackschleife). Technologische Veränderungen oder neue Bedrohungsprofile verlangen eine Anpassung der technologisch-organisatorischen IT-Strukturen (periodisch auszuführende Feedbackschleife).

Mit den implementierten Rückkoppelungen entspricht ein, nach der Methode CRSIAM® implementierter Risikomanagement Prozess, den von normkonformen Managementsystemen geforderten „Plan-Do-Check-Act“ (PDCA) Prozess. Aufgrund der beiden Rückkoppelungen kann der kaskadierte Regelkreis sowohl anlassbezogen auf technologische Veränderungen und auch Veränderungen der Bedrohungsprofile, als auch auf strategische Neupositionierungen des Unternehmens reagieren.

CRISAM® erhebt den Anspruch, Risiken aus dem Einsatz der IT im Unternehmen nachvollziehbar zu quantifizieren und in Bezug zu anderen strategischen, sowie operationalen Risiken im Unternehmen mit einem validierten Ratingverfahren vergleichbar darzustellen. Dazu wurden anerkannte Standards und Best Practice Ansätze der Anwendung auf IT-relevante Risiken im Unternehmen zugrunde gelegt und soweit erforderlich adaptiert.

CRISAM® zeichnet sich somit dadurch aus, dass bekannte und bewährte Methoden und Techniken  in adaptierter Form herangezogen wurden, um sowohl auf den Reifegrad, als auch auf die Akzeptanz der übernommenen Methoden und Techniken aufsetzen zu können.