Risikomanagement


Risikomanagement ist nach der Norm ISO 31000: 2009[1] eine Führungsaufgabe, im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und bewertet werden. Hierzu sind übergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festzulegen. Im Einzelnen betrifft dies die Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden, die Methoden der Risikoermittlung, die Verantwortlichkeiten bei Risikoentscheidungen, die Bereitstellung von Ressourcen zur Risikoabwehr, die interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung) sowie die Qualifikation des Personals für das Risikomanagement. 2018 ist eine aktualisierte Version der Norm ISO 31000 erschienen. (Quelle: Wikipedia)


Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. (Quelle: BSI)


Unterstützung bei der Einführung eines Risikomanagements im Bereich der IT. 

Analyse der Infrastruktur und Erstellung einer Risikomatrix mit den einzelnen Services auf Basis des Servicekatalogs.

Abgeleitet von der Risikomatrix eine Darstellung aller relevanten Services und Risiken die NICHT gemanagt werden können. Auf Basis dieser Darstellung kann im Rahmen eines jährlichen Reviews die Geschäftsführung entscheiden, wie mit den Risiken umzugehen ist (Vermeidung von Risiken, Risikoreduktion, Risikooptimierung, Risikotransfer, Festhalten an Risikostruktur), und die Entscheidung dokumentiert werden.