Rezension

Praxisorientiertes Management von Informationssicherheits- und IT-Risiken

IT-Risiko-Management mit System

Hans-Peter Königs, 4. Auflage, 454 Seiten, Springer-Vieweg Verlag 2013.03.07.2013, 18:01

Das IT-Risiko-Management ist ein Baustein im gesamten Risikomanagement-Prozess eines Unternehmens. Folgerichtig skizziert der Autor zunächst den gesamten Prozess eines Enterprise-Risk-Managements und vertieft dann die spezifischen Anforderungen an das IT-Risiko-Management. Hierdurch unterscheidet sich das Buch von den meisten Publikationen, die sich mehr oder weniger isoliert mit dem Themenkomplex IT-Risiko-Management beschäftigen und sich daher nicht vom klassischen IT-Security-Ansatz gelöst haben. Wie der Autor korrekt darstellt, wäre eine isolierte Behandlung des IT-Risiko-Managements in der Umsetzung zum Scheitern verurteilt.

Im einführenden Teil A des Buches werden die Grundlagen eines ganzheitlichen Risiko-Managements skizziert. Hierbei wird der Risikomanagement-Prozess im Detail dargestellt sowie die Werkzeuge im Risikomanagement überblicksartig beschrieben. Der zweite Teil (Abschnitt B) skizziert die wesentlichen gesetzlichen und regulatorischen Anforderungen an das Risikomanagement. Auf die in der Praxis wichtige Business Judgment Rule geht der Autor allerdings nicht ein. Zur Beurteilung einer persönlichen Haftung der Organe wird in der Praxis die "Business Judgement Rule" (BJR) herangezogen.  Diese "Regel für unternehmerische Entscheidungen" beruht auf den "Principles of Corporate Governance" des "American Law Institute" aus dem Jahr 1994 und der deutschen höchstrichterlichen Rechtsprechung des BGH. Der BGH hatte in seinem Urteil vom 21. April 1997 entschieden, dass ein Unternehmensleiter hinsichtlich der zu treffenden unternehmerischen Entscheidungen einen bestimmten Spielraum hat. Das Organ trifft danach keine persönliche Haftung, wenn er ausreichend gut informiert ist und eine Entscheidung nachvollziehbar im besten Sinne des Unternehmens getroffen hat. Kurzum: Der Entscheider muss bei jeder unternehmerischen Entscheidung Chancen und Risiken bewerten und abwägen. Hierbei kann ein Risikomanagement eine wertvolle Unterstützung bieten.

Im dritten Abschnitt (Teil C) beschäftigt sich Hans-Peter Königs mit der Erkennung und Bewältigung von Informations-Risiken. Teil D konzentriert sich auf Unternehmens-Prozesse, beispielsweise im Bereich des Geschäftskontinuitätsmanagements sowie in Outsourcing-Prozessen.

Die 4. Auflage geht in einem neuen Kapitel auf die Chancen und Risiken beim Cloud-Computing ein und zeigt einen beispielhaften Ansatz für das Risikomanagement. Unter die zahlreichen Aktualisierungen fallen auch Anpassungen an die inzwischen erschienenen Standards ISO 31000 (Risk Management), ISO/IEC 27005:2011 (Information Security Risk Management) und ISO 22301 (Business Continuity Management).

Kontrollfragen nach jedem Kapitel unterstützen den Lernerfolg. Jedoch wird der eine oder andere Leser die Musterantworten vermissen. Im Anhang findet der Praktiker Muster-Ausführungsbestimmungen zum Informationsschutz sowie verschiedene Formulare zur Bewertung von IT-Risiken.

Das Buch kann jedem IT-Leiter, IT-Sicherheitsbeauftragten, Chief Information Officer, Projekt- oder Risikomanager empfohlen werden, der sich praxisbezogen mit den Methoden des IT-Risiko-Managements sowie der Integration in das unternehmensweite Risikomanagement beschäftigen möchte.


Details zur Publikation

Autor: Hans-Peter Königs
Auflage: 4. Auflage
Seitenanzahl: 454
Verlag: Springer-Vieweg Verlag
Erscheinungsdatum: 2013

RiskNET Rating:

sehr gut Gesamtbewertung

Jetzt bestellen