CRISAM® Prozessmodell ///

CRISAM® basiert auf einem 6-stufigen Prozessmodell, auch Vorgehensmodell genannt. Dieses ermöglicht durch einen Top-Down- und Bottom-Up-Ansatz eine gesamtheitliche Betrachtung ermöglicht von: Strategie, Organisation, Prozess und Infrastruktur.

DAS CRISAM® PROZESSMODELL

Dieses Modell ist das Kernstück der CRISAM® Methode und bietet einen hohen Mehrwert in der Einführung, Aktualisierung und Weiterentwicklung eines Risiko-Managementsystems für Projektverantwortliche und Entscheidungsträger.

Warum? Es dient als Leitfaden, anhand dessen Sie Ihren unternehmensweiten Risikomanagementprozess implementieren können. Das genutzte Prozessmodell erfüllt sowohl die Anforderungen aus dem internationalen Standard der ISO 31000 als auch die gemäß dem PDCA Deming Zyklus geforderten Prozessschritte.

Zur Auswertung Ihrer Risiken stehen Ihnen eine Vielzahl moderner Analysemethoden, sowie ein umfangreiches Set an individualisierbaren Standard-Reports zur Verfügung.

Das CRISAM® Prozessmodell an einem ISMS Projektbeispiel:

Schritt 1 | Rahmenbedingungen

• Das verantwortliche Management leitet auf Basis der Unternehmensstrategie eine Risikopolitik ab
• Die Informationssicherheitspolitik gibt den Rahmen vor, innerhalb dessen das verantwortliche Management die IT-Sicherheit auszurichten hat

Schritt 2 | Geltungsbereich

• Identifikation und Dokumentation möglicher Schäden aus dem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität
• Ergebnis: plausible und nachvollziehbare Einstufung möglicher IT-verursachter Schäden
• Einstufung anhand vorher festgelegten Bedrohungsklassen der IT-Applikationen
• Ableitung von Anforderungen an die IT des Unternehmens

Schritt 3 | Risikoanalyse

• Bewertung potentieller Bedrohungen eines Verfügbarkeits-, Vertraulichkeits- und Integritätsverlustes der betrachteten IT-Applikationen und darin gespeicherte und/oder verarbeitete Daten
• Erstellung der Baumstruktur von Risikoquellen sowie qualitative, quantitative oder semiquantitative Bewertung
• Ergebnis: Modell der Unternehmens-IT und eine Ratingkennzahl

Schritt 4 & 5 | Risikomanagement

• Ratingkennzahl aus der Risikoanalyse wird gewichtet und der ermittelte Ist-Wert einer Sollvorgabe aus der Informationssicherheitspolitik gegenübergestellt
• Analyse von Abweichungen (GAP Analyse)
• Ergebnis: Liste aller Risikoquellen & Erstellung eines Maßnahmenkatalog

SCHRITT 6 | Maßnahmenumsetzung

Der im Rahmen des Risikomanagements erstellte Maßnahmenkatalog wird im letzten Schritt „Implementierung“ in Implementierungsprojekte gruppiert. Ergebnis der Stufe sind Projektspezifikationen, Kosten-, Ressourcen- und Zeitabschätzungen, die dem verantwortlichen Management als Entscheidungsgrundlage dienen.

Qualität und Kontinuität sind durch zwei Prüfzyklen gewährleistet

Vorteile

• kontinuierliche Verbesserung durch den zyklischen Durchlauf der einzelnen Prozessschritte
• Anpassungen durch Veränderungen in der Strategie oder technologischer Veränderungen können schnell durchgeführt werden

Mit den implementierten Prüfzyklen von CRISAM® setzen Sie gleichzeitig auch den für normkonforme Managementsysteme geforderten „Plan-Do-Check-Act“ (PDCA) Zyklus der ISO 31000 um.

Reagieren Sie mit Ihrem Risikomanagement mittels der kaskadierten Regelkreise auf allen drei Ebenen:

• technologische Veränderungen
• Veränderungen der Bedrohungsprofile
• Strategische Neupositionierungen des Unternehmens

Möchten Sie mehr erfahren?