Anforderungen an ein zeitgemäßes IT Risikomanagement

Bei der 3. Security Conference im Dezember 2005 in Krems, welcher von der Donauuniversität Krems gemeinsam mit der Computerwelt veranstaltet wurde, kam von den Vortragenden unisono die Forderung nach einer aktiveren Kommunikation des Nutzens des IT-Risikomanagements.

Grundlage jedes Nutzens sind die Anforderungen der involvierten Beteiligten (Stakeholder).

Zusammenfassend lassen sich diese wie folgt darstellen:

- Abbildung des klassischen Risikomanagement sowohl in der Methode und als auch beim Tool, betreffend der Identifikation, der Bewertung, der Kontrolle und der Steuerung von Risikoobjekten.
 - Praxistaugliche Abbildung der Risikolandschaft (IT-Struktur).
- Berücksichtigungen der Abhängigkeiten von Risikoobjekten untereinander und Vererbung von Risikoeigenschaften.
- Ausbau bzw. Integration zum Corporate Risk Management Bewertungsschema muss international vergleichbar sein (Beispielsweise das Standard & Poors Ratingmodell).
- Unterstützung durch Tool (effiziente Dokumentation, Verwaltung, Reporting und Simulationsberechnungen).
- Integration aller bestehenden Normen & Standards der IT-Security (ITIL, ISO17799:2005, ISO27000, Grundschutzhandbuch, Österr. Sicherheitshandbuch, Cobit, SOX).
- Schnittstelle zu bestehenden Managementprozessen (ISO9000, TS16949, ISO14000, BSC, ...).

Zusatznutzen:

- Unterstützung für M&A und IT-DueDilligence.
- Grundlage für das Notfallmanagement, für Service Level Agreements, für Betriebshandbücher.
- Tool liefert Report für Wirtschaftsprüfungen nach Cobit.
- Risikobewertung erfolgt auf Basis eines qualitativen Schemas - dem Stand der Technik (nicht nach fiktiven Eintrittswahrscheinlichkeiten).
- Ausrichtung der IT auf die Unternehmensstrategien.
- Neue Normen und Standards können modulartig integriert werden.