IT-SECURITY COMMUNITY XCHANGE2011itsecx.fhstp.ac.at/downloads_2011/03_Mueller.pdf · SIMPLIFY...

S I M P L I F Y C O M P L E X I T Y

IT- (Risiko) Management

Markus Müller

[email protected]

IT-SECURITY COMMUNITY

XCHANGE 2011

Seite 2 © 2011 calpana business consulting RESTRICTED

� calpana business consulting ist Entwickler und Hersteller der Risikomanagement- bzw. Decision Engineering Methodologie CRISAM®.

� Wir konzentrieren uns als Software- und Beratungsunternehmen ausschließlich auf Risiko- und Sicherheitsmanagement aus einer Unternehmensgesamtsicht.

� Derzeit beschäftigen wir 12 Vollzeitmitarbeiter, wobei etwa die Hälfte mit der Entwicklung und Weiterentwicklung der Methode CRISAM® beschäftigt ist.

� Wir verstehen uns als international tätiges Unternehmen, indem wir Partner bei der Umsetzung von Projekten unterstützen und unsere Kunden in deren strategischen Zielmärkten rund um den Globus begleiten.

� DI Dr.Dr. Manfred Stallinger, MBA gründete 2005 das Unternehmen, das seither als eigentümergeführtes Unternehmen seine Kompetenz am Unternehmensstandort in Linz bündelt.


� Herausforderung IT-Risiko Management

� BCM

� Service Level Management


Herausforderung IT-(Risiko) Management

1. Wie viel IT braucht das Unternehmen

wirklich?

2. Ist die IT im Unternehmen sicher genug?

3. Ist das Unternehmen bezogen auf IT-

Sicherheit überinvestiert?

4. Sind alle relevanten Risiken zueinander

ausgewogen, oder verursacht die IT ein

höheres Risiko als andere wichtige

Unternehmensbereiche?


Wozu IT-Notfallmanagement?

� „Bei uns ist noch nie etwas passiert.“

� „Uns kann nichts passieren.“

� „Wir sind eh versichert.“

� „Wir sind zu groß um unterzugehen.“

� „Wir werden überleben – das war schon immer so.“

� „Wir haben so schon genug zu tun. Wozu sich damit zusätzlich belasten.“


IT-Notfallmanagement setzt sich zunehmend auch in Standards als eigene Disziplin durch

BSI-Standard 100-4 (Notfallmanagement)

BS 25999 (Business Continuity

Management)ISO 27001

(Information Security Management)

ISO 20000 (IT-Servicemanagement)

BCI GPG08 (Business Continuity

Management)

BS… British StandardBSI…Bundesamt für Sicherheit in der InformationstechnikCOBIT…Control Objectives for Information and related TechnologyISO…International Standardization OrganizationITIL … IT Infrastructure LibraryBCI…Business Continuity InstituteGPG…Good Practices Guide

ISO 22399 Guideline for incident

preparedness and operational continuity

management

ISO 27031 Guidelines for information and communications

technology readiness for business continuity

ITIL (IT Service Continuity

Management)

COBIT (DS4 EnsureContinous Service)

Unternehmensweit IT-Spezifisch


IT-Notfallmanagement ist Teil des übergeordneten Business Continuity Managements

� BSI-Standard 100-4� Das Notfallmanagement ist ein Managementprozess mit dem Ziel, gravierende Risiken für

das Unternehmen, die das Überleben gefährden, frühzeitig zu erkennen und Maßnahmen dagegen zu etablieren. Es umfasst das geplante und organisierte Vorgehen, um die Widerstandsfähigkeit der (zeit-)kritischen Geschäftsprozesse eines Unternehmens nachhaltig zu steigern, auf Schadensereignisse angemessen reagieren und die Geschäftstätigkeiten so schnell wie möglich wieder aufnehmen zu können.

� Das Notfallmanagement wird auch als „Business Continuity Management“ (BCM) oder „betriebliches Kontinuitätsmanagement“ bezeichnet.

� IT-Notfallmanagement ist ein Teil des Notfallmanagements.

� ITIL V3 IT Service Continuity Management (ITSCM)� Der Prozess, der für die Verwaltung von Risiken verantwortlich ist, die zu schwerwiegenden

Auswirkungen auf IT Services führen können.

� Das ITSCM stellt sicher, dass der IT Service Provider stets ein Mindestmaß an vereinbarten Service Levels bereitstellen kann, indem die Risiken auf ein akzeptables Maß reduziert werden und eine Wiederherstellungsplanung für IT Services erfolgt.

� Das ITSCM sollte so konzipiert sein, dass es das Business Continuity Management (BCM) unterstützt.


Je nach Auswirkung auf das Unternehmen werden für ein Notfallereignis unterschiedliche Begriffe angewendet

Katastrophe

•Zeitlich und örtlich nicht begrenzt

•Katastrophenschutz gefordert

•Im Unternehmen als Krise behandelt

Krise

•Auf Unternehmen beschränkt

•Einmaligkeit des Ereignisses

•Notfälle können zu Krisen eskalieren

Notfall

•Geschäftsbetrieb ist stark beeinträchtigt

•SLAs können nicht eingehalten werden

•Es entstehen hohe bis sehr hohe Schäden

Störung

•Prozesse oder Ressourcen funktionieren nicht

•Geringe Schäden entstehen

•Durch standardisierten IT-Prozess behoben

� Mögliche Ursachen

� Feuer

� Blitzeinschlag

� Wasserschaden

� Einbruch

� Stromausfall

� Terror

� Virusinfektion / Wurm aus dem Internet

� Sabotage

� Vandalismus

� Eingeschränkter Zugang

� Epidemien

� Erdbeben


Der BSI-Standard 100-4 setzt sich im deutschen Sprachraum zunehmend durch

� Version 1.0 wurde 2008 vom deutschen Bundesamt für Sicherheit in der Informationstechnik herausgegeben

� 123 Seiten

� Gliederung entsprechend Notfallmanagement-Prozess


Der Notfallmanagement-Prozess nach BSI-Standard 100-4 deckt alle Aspekte des Notfallmanagements ab

• Zuständigkeiten, Art und Umfang festlegen• Abhängigkeiten und Anforderungen identifizieren• Voraussetzungen schaffen, Leitlinien festlegen

Initiierung des Notfallmanagements

Konzeption

Umsetzung des Notfallvorsorgekonzepts

Notfallbewältigung

Tests und Übungen

Aufrechterhaltung und Verbesserungdes Notfallmanagements

Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


Die Leitlinie zum Notfallmanagement beschreibt, warum ein Notfallmanagement etabliert werden soll und welche Ziele damit angestrebt werden.

� Empfehlungen� Einbeziehung der Fachbereiche sinnvoll

� Notfallbeauftragter koordiniert

� Kurz & prägnant

� Inhalte� Definition und Stellenwert des Notfallmanagements

� Zielsetzung

� Kernaussagen der Notfallstrategie

� Geltungsbereich

� Zugrunde gelegtes Vorgehensmodell / Standards

� Notfallorganisation mit den wichtigsten Rollen und deren Zuständigkeiten

� Verpflichtung der Institutionsleitung, durch regelmäßige Überprüfungen, Tests und Übungen, das Notfallmanagement zu optimieren

� Relevante Gesetze, Richtlinien und Vorschriften, die zu beachten sind

� Übernahme der Verantwortung durch oberste Leitung




• Übergreifendes Notfallkonzept (-handbuch) erstellen


Konzeption


Notfallbewältigung

Tests und Übungen


Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


Die Business Impact Analyse (BIA) stellt den Bezug zum Unternehmen her

� Für jeden relevanten Prozess werden die Auswirkungen von vordefinierten Szenarien untersucht und klassifiziert

� Ergebnis für das IT-Notfallmanagement sind � die Wiederanlaufpunkte der

Geschäftsprozesse,

� eine Priorisierung für den Wiederanlauf und damit die

� Kritikalität der Geschäftsprozesse festzulegen und die

� benötigten Ressourcen zu identifizieren.

� Ergebnis für das IT-Risikomanagement sind� Schadenshöhen und

� Schadensverteilungen


Zur Bewertung der potentiellen Schäden bei der Schadensanalyse werden Schadenskategorien verwendet

Kategorie Auswirkung für Bewertung „Hoch“

Finanzielle Auswirkungen Der Schaden bewirkt beachtliche finanzielle Verluste, ist jedoch nicht existenzbedrohend (z. B. Verlust unter 20-30% des Umsatzes)

Beeinträchtigung der Aufgabenerfüllung

Nicht tolerierbare Unterbrechungen bzw. Einschränkungen / Minderung der Arbeitsqualität / Fristversäumnisse nach außen wirksam / Rückstandsaufholung nicht innerhalb der normalenArbeitszeit möglich / andere Organisationseinheiten oder Vertragspartner werden in ihrer Arbeit erheblich gestört, auch dort müssen Rückstände aufgeholt werden / Konventionalstrafen in akzeptablem Rahmen

Verstoß gegen Gesetze,etc.

Verstoß gegen Gesetze und Bestimmungen mit tolerierbaren Konsequenzen / Verstöße werden auch außerhalb der Institution bemerkt

Negative Innen- und Außenwirkung

Störungen bzw. Ausfälle werden von Kunden und Geschäftspartnern deutlich bemerkt und in der Brache wahrgenommen / Image und Vertrauen in die Institution sind bei einzelnen Kunden und Geschäftspartnern beeinträchtig / Image- bzw. Vertrauensverluste sind mit hohem Aufwand wieder auszugleichen / einzelne Kunden und Geschäftspartner ziehen Konsequenzen und beenden die Geschäftsbeziehung / merkliche Verluste von Marktanteilen / Verluste sind mitAufwand wieder zurückzugewinnen

� Schadenskategorien� unbedeutend, gering, mittel, hoch, sehr hoch

� Definition für Schadenskategorie „Hoch“ (Beispiel)


Ergebnis der Schadensanalyse inkl. Bericht in CRISAM®


Anschließend Festlegung der maximal tolerierbaren Ausfallzeit (MTA), der Wiederanlaufzeit (WAZ) und des Wiederanlauf-Niveaus

Kapazität

Ereignis

100%

Wieder-

anlauf-

niveau

letzte Datensicherung

max. zulässiger

Datenverlust

Wiederanlaufzeit (WAZ) =

Recovery Time Objective (RTO)Notbetriebszeit

max. tolerierbare Ausfallszeit

(MTA)

Zeit

0%

Wiederherstellungszeit

Notbetrieb

Wiederherstellung

Wiederanlauf

Reaktionszeit

Rückführung

Nacharbeiten

NormalbetriebNormalbetrieb

Innerhalb dieser muss der Wiederanlauf

spätestens erfolgen


Identifikation und Bewertung der Risiken in CRISAM®

� Systematische Risikoerfassung mit standardisierten Katalogen und Berücksichtigung der Abhängigkeiten von IT-Services


Das Notfallvorsorgekonzept bildet die Grundlage zur Umsetzung der Kontinuitätsstrategien

� Inhalte� Allgemeines

� Definitionen

� Genehmigungsverfahren

� Organisation und Vorgehensmodell� Ziele, Zuständigkeiten, Kompetenzen und Einordnung in

andere Managementsysteme

� Beschreibung der Notfallvorsorge- und Notfallbewältigungsorganisation

� Beschreibung der Ablauforganisation und der Umsetzung

� Geschäftsprozess- und Schadensanalyse� Notfallszenarien und ihre Auswirkungen

� Kritische Geschäftsprozesse und deren Wiederanlauf-Anforderungen

� Kontinuitätsstrategien

� Organisatorische und technische Vorsorgemaßnahmen

� Dokumentation von Vorsorgemaßnahmen wie die Meldetechnik, im Notfall relevante Vereinbarungen, …

� Aufrechterhaltung und Kontrolle





• Notfallorganisation und Notfallprozess einführen• Technische und organisatorische Maßnahmen umsetzen


Konzeption


Notfallbewältigung

Tests und Übungen


Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


Bei der Umsetzung des Notfallvorsorgekonzepts werden die Maßnahmen geplant, durchgeführt und überwacht

� Kosten- und Aufwandsschätzung� Wie viel? Wie lange?

� Festlegung der Umsetzungsreihenfolge der Maßnahmen� Wann?

� Festlegung der Aufgaben und der Verantwortung� Wer?

� Realisierungsbegleitende Maßnahmen� Sensibilisierungs- und Schulungsmaßnahmen müssen rechtzeitig eingeplant werden






• Notfallorganisation und Notfallprozess eingeführt• Bei Eintreten eines Notfalles wird vorbereitetes

Notfallmanagement genutzt


Konzeption


Notfallbewältigung

Tests und Übungen


Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


DerNotfallbewältigungsprozess

� Zentrale Meldestelle� Rund um die Uhr erreichbar

� Eindeutig definierte Meldewege

� Meldung nach vorher definiertem Format� Zeitpunkt und Ort des Ereignisses,

� meldende Person oder Stelle,

� eventuell betroffene Personen, Bereiche oder Prozesse,

� mögliche Ursache oder Auslöser sowie

� die aktuellen Auswirkungen.


Sobald ein Schadensereignis eine gewisse Schwelle übersteigt, wird dessen Bewältigung an die dafür Zuständigen eskaliert

� Beispiele für Alarm- oder Eskalationsstufen

� Sofortmaßnahmen� Werden sofort eingeleitet (Feuerwehr, Polizei, Rettung, etc.)

� Die Rollen und Verantwortlichkeiten sind auch im Vorfeld zu planen

� Alarmierungs- und Eskalationsverfahren� Es muss im Vorfeld festgelegt werden, wer wann wen alarmiert

� Der Alarmierende muss die Alarmierung inkl. Namen und deren Erreichbarkeit und Verfügbarkeit dokumentieren

Eskalationsstufe Beispiele

1 – Normalbetrieb -

2 – Störmeldungen Ereignisse, die gemeldet, geprüft, dokumentiert und gegebenenfalls behoben werden müssen.

3 – Voralarm Ereignisse, die bereits erste Gefahren abwehrende oder Risiko reduzierende Maßnahmen erfordern, z. B. singulärer Brandlöschung.

4 – Notfall Ereignisse, die den Geschäftsbetrieb stark beeinträchtigt und nicht mehr innerhalb der geforderten Zeit behoben werden können

5 – Krise Ereignisse mit Krisenpotential, die eine übergeordnete Koordinierung erfordern und die Existenz der Institution oder Leben gefährden.

6 – Katastrophe Großschadensereignisse, die nicht auf die Institution beschränkt sind.


Das Notfallhandbuch ist die Gesamtheit aller für die Notfallbewältigung benötigter Dokumente und fasst die benötigten Strukturen, Informationen, Maßnahmen und Aktionen nach Eintritt eines Notfalles und zur Wiederaufnahme des Geschäfts zusammen

� Einleitung� Allgemeine Informationen: Name der Organisation, Geltungsbereich, etc.� Dokumentenkontrolle: Version, Verteiler, Verantwortliche, Klassifizierung

� Sofortmaßnahmen� Konkrete Aufgaben für einzelne Personen/Rollen im Notfall� Handlungsanweisungen für spezielle Notfälle

� Krisenmanagement� Rollen, Zuständigkeiten und Kompetenzen� Meldewege und Eskalation� Krisenstabsraum / Lagezentrum� Krisenstabsarbeit� Lagebeurteilung� Dokumentation im Krisenstab� Deeskalation� Analyse und Bewertung der Notfallbewältigung

� Kommunikation und Öffentlichkeitsarbeit im Krisenfall

� Wiederherstellung� Wiederherstellung der Bürofläche� Wiederherstellung der Infrastruktur� Wiederherstellung der IT� Wiederherstellung der Kommunikationsanbindungen

� Geschäftsfortführung� Verfügbarkeitsanforderungen der Organisationseinheiten� Geschäftsfortführungspläne� Analyse des Wiederanlaufs und der Wiederherstellung

� Anhang� Erreichbarkeit der Notfallteam-Mitarbeiter� Notrufnummern � Weitere/unterstützende Pläne und Listen








• Notfallübungen ansetzen• Organisation und Prozesse überprüfen und bewerten


Konzeption


Notfallbewältigung

Tests und Übungen


Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


Um die Angemessenheit, Effizienz und Aktualität der Pläne, Strukturen und Maßnahmen sicherzustellen, sind regelmäßig Tests und Übungen durchzuführen

� Wozu Übungen� Bestätigen zugrunde gelegter Annahmen

� Trainieren von Abläufen

� Erkennen, ob die Notfalldokumentation brauchbar ist

� Erkennen, ob die Rollen verstanden werden

� Erkennen, ob die Alternativlösungen funktionieren

� Verbessern der Handlungssicherheit der Beteiligten

� Übungsplanung erforderlich

� Übungsarten








• Notfallübungen ansetzen• Organisation und Prozesse überprüfen und bewerten

• Ergebnisse aus Tests und Übungen auswerten, Abweichungen beseitigen und Verbesserungsmaßnahmen einleiten

• Notfall nacharbeiten, zusätzliche Vorsorgemaßnahmen bewerten und umsetzen


Konzeption


Notfallbewältigung

Tests und Übungen


Fort

sch

reib

un

g d

er

No

tfal

lpla

nu

ng

un

d V

ors

org

em

aßn

ahm

en

Be

seit

igu

ng

de

r A

bw

eic

hu

nge

n


Nur die kontinuierliche Aktualisierung und Verbesserung ermöglichen ein effektives Notfallmanagement

� Aufrechterhaltung� Kontinuierliche Überwachung, Steuerung

und Aktualisierung des Notfallmanagements

� Beispiele für Kennzahlen� Anzahl durchgeführter Übungen

(erfolgreich/nicht erfolgreich)

� Anzahl durchgeführter Tests (erfolgreich/nicht erfolgreich)

� Anzahl aufgetretener Notfälle (davon erfolgreich bewältigt)

� Anzahl durchgeführter Schulungen

� erforderliche Zeit zur Alarmierung des Krisenstabs

� Anzahl reduzierter Risiken im Vergleich zur Gesamtanzahl der Risiken

� Überprüfungen� Selbstbewertung

� Interne Revision

� Externe Revision

� Informationsfluss und Managementbewertung� Informieren des Managements über den

aktuellen Stand und die Entwicklung des Notfallmanagements

� Aspekte� Test- und Übungsergebnisse

� Vorschläge zu Maßnahmen nach bewältigten Notfällen

� Maßnahmenstatus

� Risiken

� neue Lösungen zur Verbesserung der Effektivität

� Ergebnisse des Schulungs- und Sensibilisierungsprogramms

� neue Standards oder Best Practices


CRISAM® BCM Catalog

� Enthält alle Bausteine und Kontrollziele zur Bewertung Ihres Business-Continuity-Management-Systems (BCMS)

� Entwickelt und herausgegeben durch governance & continuuuitygmbh

� Behandelt den gesamten BCM Lebenszyklus

� Detaillierte Abdeckung durch über 150 Kontrollziele.

� Basiert auf umfangreicher Praxiserfahrung.

� Enthält umfangreiche Bewertungsleitfäden.


Service Level Management

� Der Prozess, der für das Verhandeln von Service Level Agreements sowie deren Einhaltung verantwortlich ist.

� Das SLM soll sicherstellen, dass alle IT Service Management Prozesse, Operational Level Agreements und Underpinning Contracts für die vereinbarten Service Level Ziele angemessen sind.

� SLM ist für das Monitoring und die Berichterstattung in Bezug auf Service Levels sowie für die regelmäßige Durchführung von Kunden-Reviews zuständig.


Konzepte und Begriff im Service Level Management

� Service Level� Messbare und nachweisbare Ergebnisse, die im Hinblick auf ein oder mehrere Service

Level Ziele erreicht werden. Der Begriff „Service Level“ wird im Sprachgebrauch auch als Synonym für Service Level Ziel (Service Level Target) verwendet.

� Service Level Anforderung (Service Level Requirement, SLR)� Eine Kundenanforderung für einen Aspekt eines IT Service

� SLR werden zur Aushandlung vereinbarter Service Level Ziele eingesetzt

� Service Level Vereinbarung (Service Level Agreement, SLA)� Eine Vereinbarung zwischen einem IT Service Provider und einem Kunden. Das SLA

beschreibt den jeweiligen IT Service, dokumentiert Service Level Ziele und legt die Verantwortlichkeiten des IT Service Providers und des Kunden fest. Ein einzelnes SLA kann mehrere IT Services oder mehrere Kunden abdecken.

� Vereinbarung auf Betriebsebene (Operational Level Agreement, OLA)� Eine Vereinbarung zwischen einem IT Service Provider und einem anderen Teil derselben

Organisation. Ein OLA unterstützt die Bereitstellung von IT Services durch den IT Service Provider für den Kunden (z.B. zum Einkauf, um Hardware innerhalb vereinbarter Zeitspannen zu erhalten).


Einordnen der Begriffe

Abteilung X Lieferant B

UnderpinningContract (UC)

Operational Level Agreement (OLA)

IT Service Provider

Abteilung Y


Lieferant A

UnderpinningContract (UC)

Kunde

Service Level Agreement (SLA)


Input, Aktivitäten und Output im SLM

Service Level Agreement (SLA)


Nachfrage des Kunden

Service Level Requirement (SLR)Bedarf identifizieren

Definieren

Vertraglich festlegen:- verhandeln

-erstellen-anpassen-festlegen

Überwachender Service Level

Evaluieren

Service Spezifikation

Service Quality Plan

Service Reports

Serviceverbesserungs-plan (SIP)


Entwurf eines SLM Frameworks

� Servicebasierte SLA‘s� Ein SLA für einen Service

� Einfache Administration aber oft nicht ausreichend flexibel

� Kundenbasierte SLA‘s� Ein SLA für einen Kunden oder eine Gruppe von Kunden

� Von Kunden häufig bevorzugt

� Multilevel SLA‘s� Auslagern von spezifischen Anpassungen in eigenen SLA‘s

� Z.B. 3-stufigGlobal SLA

(für alle Kunden)

Kunden SLA (Kunden-spezifisch)

Individual SLA(Service-spezifisch)


Kennzahlen und kritische Erfolgsfaktoren

� Kennzahlen� Laufende Verringerung von Verletzungen von Service Level Zielen

� Selbst verursacht

� Durch OLA-Verletzung verursacht

� Durch UC-Verletzung verursacht

� Gesteigerte Kundenzufriedenheit

� Anteil der Services, die von SLA‘s erfasst sind und mit SLA‘s gesteuert werden

� Kritische Erfolgsfaktoren� Gesamtbetrachtung der IT-Services, keine punktuellen SLA‘s

� Intakte Schnittstelle zu den Anwendern und zu den Fachbereichen

� Entwickelter Dienstleistungsgedanke

� Kostenverrechnung auf SLA basierend (nicht pauschal) einführen

� Kein künstliches „Hochschrauben“ der Anforderungen

� Marketing, Hervorhebung des Beitrags der IT zum Unternehmenserfolg


SLM-Prozess in CRISAM®

IMPLEMENTIERUNG

Schritt 6

RISIKOMANAGEMENT

Schritt 4 und 5

strategisch operativ

RISIKOPOLITIKSchritt 1

GELTUNGSBEREICH

Schritt 2

RISIKOANALYSE

Schritt 3

CRISAM® quantifiziert die Zielvorgabe aus Managementsicht

CRISAM® spezifiziert den geforderten Service Level aus Nutzersicht

CRISAM® strukturiert den IT-Service und macht ihn messbar

CRISAM® liefert Berichte über die Erfüllung des SLA‘s

CRISAM® identifiziert die erforderlichen ToDo‘s, um den SLA punktgenau erfüllen

zu können


Zusammengefasste Beiträge des IT Risikomanagements zum IT Management

1. Trotz Kostendruck die richtigen und notwendigen Investitionen und Maßnahmenherausfinden.

2. Die geforderte Betriebssicherheit und Zuverlässigkeit sicherstellen.

3. Erforderliche Notfallvorsorgen, Notfallhandbücher und Notfallplanung bereitstellen.

4. Die nötige Transparenz und Nachvollziehbarkeit für Informationssicherheit in unternehmensübergreifenden Geschäftsprozessen herstellen.

5. Die vom Service Provider gelieferte Service-Qualität(SLA-Management) überprüfen.

6. Die kontinuierliche Verbesserung der Prozessqualität sicherstellen.

7. Die Komplexität und Vernetztheit der IT bewältigen.

S I M P L I F Y C O M P L E X I T Y

Vielen Dank für Ihre Aufmerksamkeit

CRISAM® ACADEMY

IT-SECURITY COMMUNITY XCHANGE2011itsecx.fhstp.ac.at/downloads_2011/03_Mueller.pdf · SIMPLIFY...

Documents

Transcript of IT-SECURITY COMMUNITY XCHANGE2011itsecx.fhstp.ac.at/downloads_2011/03_Mueller.pdf · SIMPLIFY...