Risikomanagement: Unterschied zwischen den Versionen

Aus IT Process Wiki
Keine Bearbeitungszusammenfassung
Zeile 8: Zeile 8:
<br style="clear:both;"/>
<br style="clear:both;"/>


== ITIL Risikomanagement: Übersicht ==
<p>&nbsp;</p>


'''Prozessziel:''' Ziel des Prozesses Risk Management (Risikomanagement) ist das Identifizieren, Bewerten und Überwachen von Risiken. Dazu gehört es, den Wert von Assets für das Unternehmen zu analysieren, mögliche Bedrohungen für diese Assets zu identifizieren und die jeweilige Gefährdung der Assets einzuschätzen.
==<span id="ITIL Risikomanagement">Überblick</span>==


'''Englische Bezeichnung''': Risk Management
'''Ziel:''' Ziel von ''ITIL Risk Management (Risikomanagement)'' ist das Identifizieren, Bewerten und Überwachen von Risiken. Dazu gehört es, den Wert von Assets für das Unternehmen zu analysieren, mögliche Bedrohungen für diese Assets zu identifizieren und die jeweilige Gefährdung der Assets einzuschätzen.
 
'''Deutsche Bezeichnung''': Risiko-Management


'''Teil von''': [[ITIL V3 Service Design|Service Design]]
'''Teil von''': [[ITIL V3 Service Design|Service Design]]


'''Prozess-Verantwortlicher''': [[Risikomanagement#ITIL-Rollen|Risikomanager]]
'''Prozess-Verantwortlicher''': [[Risikomanagement#Risikomanager|Risikomanager]]


<p>&nbsp;</p>
<p>&nbsp;</p>


== ITIL Risikomanagement: Prozess-Beschreibung ==
== Prozess-Beschreibung ==
 
Risiken werden in ITIL in unterschiedlichen Prozessen betrachtet; ein spezifischer Risikomanagement-Prozess ist jedoch nicht vorgesehen.
[[Image:Itil-risiko-management.jpg|right|thumb|370px|alt=Risiko-Management ITIL|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_risikomanagement_itilv3.pdf ITIL Risikomanagement]]]
 
Jedoch fordert ITIL koordinierte Mechanismen zur Risiko-Kontrolle; bei IT Process Maps entschieden wir uns deshalb zur Einführung eines eigenen Risikomanagement-Prozesses in der [https://de.it-processmaps.com/produkte/itil-prozesslandkarte.html ITIL&reg;-Prozesslandkarte]. Damit wird die Verantwortung für die Risiko-Kontrolle klar geregelt. Mit der Einführung eines grundlegenden Risikomanagement-Prozesses wird auch die Basis für einen weiteren Ausbau des Risikomanagements geschaffen; ITIL empfiehlt in diesem Zusammenhang das M_o_R Framework der OGC.


[[Image:Itil-risiko-management.jpg|left|thumb|350px|alt=Risiko-Management ITIL|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_risikomanagement_itilv3.pdf ITIL Risikomanagement]]]
Auf Grund der Einführung von [[ITIL Design-Koordinierung|Design-Koordinierung]] in '''''ITIL 2011''''' haben sich die Datenflüsse in Risikomanagement leicht geändert. Das Übersichts-Diagramm zu [[Media:Itil-risiko-management.jpg|ITIL Risikomanagement (.JPG)]] illustriert die wichtigsten Schnittstellen des ITIL-Prozesses (''siehe Abbildung 1'').


Risiken werden sowohl in ITIL V2 als auch in ITIL V3 in unterschiedlichen Prozessen betrachtet; ein spezifischer Risikomanagement-Prozess ist jedoch nicht vorgesehen.
<p>&nbsp;</p>


ITIL V3 jedoch fordert koordinierte Mechanismen zur Risiko-Kontrolle; bei IT Process Maps entschieden wir uns deshalb zur Einführung eines eigenen Risikomanagement-Prozesses in der [https://de.it-processmaps.com/produkte/itil-prozesslandkarte.html ITIL&reg;-Prozesslandkarte V3]. Damit wird die Verantwortung für die Risiko-Kontrolle klar geregelt. Mit der Einführung eines grundlegenden Risikomanagement-Prozesses wird auch die Basis für einen weiteren Ausbau des Risikomanagements geschaffen; ITIL empfiehlt in diesem Zusammenhang das M_o_R Framework der OGC.
== Teil-Prozesse ==


[[Risikomanagement|Risk Management (Risikomanagement)]] auf der Basis von ITIL V3 umfasst die folgenden Teilprozesse:
[[Risikomanagement|ITIL Risk Management (Risikomanagement)]] umfasst die folgenden Teilprozesse:
<br style="clear:both;"/>


=== Teil-Prozesse ===
<p>&nbsp;</p>


;Risikomanagement-Support
;<span id="ITIL Risiko-Management Support">Risikomanagement-Support</span>
:Prozessziel: Definieren eines Rahmenwerks für das Risiko-Management. Dieser Prozess legt insbesondere fest, wie Risiken bemessen werden, welche Risiken die Organisation einzugehen bereit ist, und wer für die unterschiedlichen Pflichten im Risikomanagement zuständig ist.
:Prozessziel: Definieren eines Rahmenwerks für das Risiko-Management. Dieser Prozess legt insbesondere fest, wie Risiken bemessen werden, welche Risiken die Organisation einzugehen bereit ist, und wer für die unterschiedlichen Pflichten im Risikomanagement zuständig ist.


;Business-Impact- und Risiokoanalyse
;<span id="ITIL Risiko-Management Risiko-Analyse">Business-Impact- und Risiokoanalyse</span>
:Prozessziel: Ziel der [[Risikomanagement#Business-Impact- und Risikoanalyse|Business-Impact- und Risiokoanalyse]] ist die Abschätzung der Auswirkungen bzw. der Schadenshöhe, die der Verlust eines Service oder eines IT-Assets nach sich zieht, sowie Ermitteln potentieller Bedrohungen und Schwachstellen für Services und IT-Assets. Das Ergebnis dieses Prozesses ist die Erstellung eines [[Risikomanagement#Risikoregister|Risikoregisters]]; dabei handelt es sich um eine priorisierte Liste von Risiken, für die Gegenmaßnahmen zu definieren sind.
:Prozessziel: Ziel der [[Risikomanagement#Business-Impact- und Risikoanalyse|Business-Impact- und Risiokoanalyse]] ist die Abschätzung der Auswirkungen bzw. der Schadenshöhe, die der Verlust eines Service oder eines IT-Assets nach sich zieht, sowie Ermitteln potentieller Bedrohungen und Schwachstellen für Services und IT-Assets. Das Ergebnis dieses Prozesses ist die Erstellung eines [[Risikomanagement#Risikoregister|Risikoregisters]]; dabei handelt es sich um eine priorisierte Liste von Risiken, für die Gegenmaßnahmen zu definieren sind.


;Bestimmung der zu mindernden Risiken
;<span id="ITIL Risiko-Management Risiken">Bestimmung der zu mindernden Risiken</span>
:Prozessziel: Ermitteln, in welchen Bereichen Maßnahmen der Risikominderung erforderlich sind und Identifizieren von Risiko-Verantwortlichen, die für deren Implementierung und Aufrechterhaltung zuständig sind.
:Prozessziel: Ermitteln, in welchen Bereichen Maßnahmen der Risikominderung erforderlich sind und Identifizieren von Risiko-Verantwortlichen, die für deren Implementierung und Aufrechterhaltung zuständig sind.


;Risiko-Überwachung
;<span id="ITIL Risiko-Management Risiko-Minderung">Risiko-Überwachung</span>
:Prozessziel: Überwachen des Fortschritts bei der Implementierung von Vorkehrungen zur Risiko-Minderung und – falls erforderlich -  Ergreifen korrigierender Maßnahmen.
:Prozessziel: Überwachen des Fortschritts bei der Implementierung von Vorkehrungen zur Risiko-Minderung und – falls erforderlich -  Ergreifen korrigierender Maßnahmen.


<p>&nbsp;</p>
<p>&nbsp;</p>


=== ITIL-Begriffe zum Risikomanagement ===
== Definitionen ==
 
Die folgenden ITIL-Begriffe and Acronyme (Informations-Objekte) werden in ITIL Risk Management (Risikomanagement) zur Darstellung der Prozess-Outputs und -Inputs verwendet:
 
<p>&nbsp;</p>


;<span id="Business-Impact- und Risikoanalyse">Business-Impact- und Risikoanalyse</span>
;<span id="Business-Impact- und Risikoanalyse">Business-Impact- und Risikoanalyse</span>
Zeile 53: Zeile 63:


;<span id="Prozess- und Asset-Bewertung">Prozess- und Asset-Bewertung</span>
;<span id="Prozess- und Asset-Bewertung">Prozess- und Asset-Bewertung</span>
:Eine Schätzung des Wertes, den ein (Geschäfts-) Prozess oder anderes Asset für das Unternehmen darstellt. Dieser Wert ist ein wichtiger Input für die Risikoanalyse.
:Eine Schätzung des Wertes, den ein (Geschäfts-) Prozess oder anderes Asset für das Unternehmen darstellt. Dieser Wert ist ein wichtiger Input für die [[Risikomanagement#Business-Impact- und Risikoanalyse|Risikoanalyse]].


;<span id="Risikomanagement-Richtlinie">Risikomanagement-Richtlinie</span>
;<span id="Risikomanagement-Richtlinie">Risikomanagement-Richtlinie</span>
:Die Risikomanagement-Richtlinie beschreibt und kommuniziert den Ansatz der Organisation zur Beherrschung von Risiken. Insbesondere wird hier definiert, wie Risiko bemessen wird und wer Verantwortung für die verschiedenen Aufgaben im Risiko-Management trägt.  
:Die Risikomanagement-Richtlinie beschreibt und kommuniziert den Ansatz der Organisation zur Beherrschung von Risiken. Insbesondere wird hier definiert, wie Risiko bemessen wird und wer Verantwortung für die verschiedenen Aufgaben im Risiko-Management trägt. Die Risikomanagement-Richtlinie wird vom [[Risikomanagement#Risikomanager|Risikomanager]] gepflegt, aber um effektiv wirken zu können, benötigt sie Rückendeckung vom oberen Management.  
:Die Risikomanagement-Richtlinie wird vom Risiko-Manager gepflegt, aber um effektiv wirken zu können, benötigt sie Rückendeckung vom oberen Management.  


;<span id="Risikoregister">Risikoregister</span>
;<span id="Risikoregister">Risikoregister</span>
:Das Risikoregister ist ein vom Risikomanagement genutztes Tool, das eine Übersicht über die identifizierten Risiken und die entsprechenden Gegenmaßnahmen bietet. Das Risikoregister wird manchmal auch als Risk Log bezeichnet.  
:Das Risikoregister ist ein vom Risikomanagement genutztes Tool, das eine Übersicht über die identifizierten Risiken und die entsprechenden Gegenmaßnahmen bietet. Das Risikoregister wird manchmal auch als ''Risk Log'' bezeichnet.  


<p>&nbsp;</p>
<p>&nbsp;</p>


== Zusatzinformationen zum Risk Management (Risikomanagement) ==
== Rollen | Verantwortlichkeiten ==
 
;<span id="Risikomanager">Risikomanager - Prozess-Verantwortlicher</span>
:Der Risikomanager ist verantwortlich für die Identifikation, Bewertung und Überwachung von Risiken. Dies umfasst eine Analyse des Wertes von Assets für das Unternehmen und die Identifikation möglicher Bedrohungen für diese Assets sowie die Einschätzung der jeweiligen Gefährdung der Assets.


==== ITIL-Rollen ====
<p>&nbsp;</p>


;Risikomanager - Prozess-Verantwortlicher
{| border="1" align="center" cellpadding="5" cellspacing="0" style="text-align:center;" valign="top"
:Der Risikomanager ist verantwortlich für die Identifikation, Bewertung und Überwachung von Risiken. Dies umfasst eine Analyse des Wertes von Assets für das Unternehmen und die Identifikation möglicher Bedrohungen für diese Assets sowie die Einschätzung der jeweiligen Gefährdung der Assets.
|-
| valign="top"  colspan="6" style="background:#ffffdd;" align="center"| '''Verantwortlichkeits-Matrix: ITIL Risikomanagement'''
|-
!  width="50%" align="center" style="background:#ffffee;" | ITIL-Rolle | Teil-Prozess
! style="background:#ffffee;" | [[Risikomanagement#Risikomanager|Risikomanager]]
! style="background:#ffffee;" | Andere beteiligte Rollen
|-
| align="left" |[[#ITIL Risiko-Management Support|Risikomanagement-Support]]
| A[[Risikomanagement#Accountable|<small>[1]</small>]]R[[Risikomanagement#Responsible|<small>[2]</small>]]
|
|-
| align="left" |[[#ITIL Risiko-Management Risiko-Analyse|Business-Impact- und Risiokoanalyse]]
| AR
| R[[Risikomanagement#ITIL-Rollen|<small>[3]</small>]][[#ITIL Risiko Management Gruppe|<small>[4]</small>]]
|-
| align="left" |[[#ITIL Risiko-Management Risiken|Bestimmung der zu mindernden Risiken]]
| AR
|
|-
| align="left" |[[#ITIL Risiko-Management Risiko-Minderung|Risiko-Überwachung]]
| AR
|
|-
|}


<p>&nbsp;</p>
<p>&nbsp;</p>


== Downloads ==
'''Erläuterungen'''


==== Übersicht ITIL Risikomanagement ====
<span id="Accountable">[1] ''A: Accountable'' i.S.d. RACI-Modells: Verantwortlich dafür, dass ITIL Risiko-Management als Gesamt-Prozess korrekt und vollständig ausgeführt wird.</span>


{|
<span id="Responsible">[2] ''R: Responsible'' i.S.d. RACI-Modells: Verantwortlich für die Ausführung bestimmter Aufgaben in Risikomanagement.</span>
| valign="top" |
Die folgenden Links verweisen auf das Übersichts-Diagramm zu ITIL Risk Management mit einer Darstellung der wichtigsten Schnittstellen des ITIL-Prozesses.


* [[Media:Itil-risiko-management.jpg|Risikomanagement (.JPG)]]
<span id="ITIL-Rollen">[3] siehe [[Rollen in ITIL V3|&#8594; Rollen-Beschreibungen]]</span>
* [https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_risikomanagement_itilv3.pdf Risikomanagement (.PDF)]''
| valign="top" |
[[Image:Itil-risiko-management.jpg|thumb|150px|left|none|alt=Risiko-Management ITIL|ITIL Risikomanagement im Überblick]]
|-
|}


<span id="ITIL Risiko Management Gruppe">[4] Availability Manager, IT Service Continuity Manager, Information Security Manager, Compliance Manager und Supplier Manager.


<p>&nbsp;</p>


<!-- Diese Seite liegt in folgenden Kategorien: -->
<!-- Diese Seite liegt in folgenden Kategorien: -->
[[Kategorie:ITIL V3]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Design]][[Kategorie:Risikomanagement|!]]
[[Kategorie:ITIL V3]][[Kategorie:ITIL 2011]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Design]][[Kategorie:Risikomanagement|!]]
<!-- keine Inhalte nach diesem Kommentar! -->
<!-- keine Inhalte nach diesem Kommentar! -->

Version vom 27. November 2011, 11:31 Uhr

<seo metakeywords="risikomanagement itil, itil risikomanagement, itil risk management, prozess risiko management" metadescription="ITIL Risiko-Management: Prozess-Definition, Teil-Prozesse. Zusatzinformationen zu Risiko-Management: Rollen, Checklisten, KPIs..." />

ES - EN - Risikomanagementesta página en españolthis Page in English
ES - EN - Risikomanagement


 

Überblick

Ziel: Ziel von ITIL Risk Management (Risikomanagement) ist das Identifizieren, Bewerten und Überwachen von Risiken. Dazu gehört es, den Wert von Assets für das Unternehmen zu analysieren, mögliche Bedrohungen für diese Assets zu identifizieren und die jeweilige Gefährdung der Assets einzuschätzen.

Deutsche Bezeichnung: Risiko-Management

Teil von: Service Design

Prozess-Verantwortlicher: Risikomanager

 

Prozess-Beschreibung

Risiken werden in ITIL in unterschiedlichen Prozessen betrachtet; ein spezifischer Risikomanagement-Prozess ist jedoch nicht vorgesehen.

Risiko-Management ITIL
ITIL Risikomanagement

Jedoch fordert ITIL koordinierte Mechanismen zur Risiko-Kontrolle; bei IT Process Maps entschieden wir uns deshalb zur Einführung eines eigenen Risikomanagement-Prozesses in der ITIL®-Prozesslandkarte. Damit wird die Verantwortung für die Risiko-Kontrolle klar geregelt. Mit der Einführung eines grundlegenden Risikomanagement-Prozesses wird auch die Basis für einen weiteren Ausbau des Risikomanagements geschaffen; ITIL empfiehlt in diesem Zusammenhang das M_o_R Framework der OGC.

Auf Grund der Einführung von Design-Koordinierung in ITIL 2011 haben sich die Datenflüsse in Risikomanagement leicht geändert. Das Übersichts-Diagramm zu ITIL Risikomanagement (.JPG) illustriert die wichtigsten Schnittstellen des ITIL-Prozesses (siehe Abbildung 1).

 

Teil-Prozesse

ITIL Risk Management (Risikomanagement) umfasst die folgenden Teilprozesse:

 

Risikomanagement-Support
Prozessziel: Definieren eines Rahmenwerks für das Risiko-Management. Dieser Prozess legt insbesondere fest, wie Risiken bemessen werden, welche Risiken die Organisation einzugehen bereit ist, und wer für die unterschiedlichen Pflichten im Risikomanagement zuständig ist.
Business-Impact- und Risiokoanalyse
Prozessziel: Ziel der Business-Impact- und Risiokoanalyse ist die Abschätzung der Auswirkungen bzw. der Schadenshöhe, die der Verlust eines Service oder eines IT-Assets nach sich zieht, sowie Ermitteln potentieller Bedrohungen und Schwachstellen für Services und IT-Assets. Das Ergebnis dieses Prozesses ist die Erstellung eines Risikoregisters; dabei handelt es sich um eine priorisierte Liste von Risiken, für die Gegenmaßnahmen zu definieren sind.
Bestimmung der zu mindernden Risiken
Prozessziel: Ermitteln, in welchen Bereichen Maßnahmen der Risikominderung erforderlich sind und Identifizieren von Risiko-Verantwortlichen, die für deren Implementierung und Aufrechterhaltung zuständig sind.
Risiko-Überwachung
Prozessziel: Überwachen des Fortschritts bei der Implementierung von Vorkehrungen zur Risiko-Minderung und – falls erforderlich - Ergreifen korrigierender Maßnahmen.

 

Definitionen

Die folgenden ITIL-Begriffe and Acronyme (Informations-Objekte) werden in ITIL Risk Management (Risikomanagement) zur Darstellung der Prozess-Outputs und -Inputs verwendet:

 

Business-Impact- und Risikoanalyse
Business-Auswirkungsanalyse (Business Impact Analysis) und Risikoanalyse sind Begriffe des Risikomanagements. Wichtigstes Ziel ist es, zu bestimmen, welche Risiken verwaltet und bei welchen Risiken Maßnahmen zur Risikominimierung ergriffen werden müssen.
Prozess- und Asset-Bewertung
Eine Schätzung des Wertes, den ein (Geschäfts-) Prozess oder anderes Asset für das Unternehmen darstellt. Dieser Wert ist ein wichtiger Input für die Risikoanalyse.
Risikomanagement-Richtlinie
Die Risikomanagement-Richtlinie beschreibt und kommuniziert den Ansatz der Organisation zur Beherrschung von Risiken. Insbesondere wird hier definiert, wie Risiko bemessen wird und wer Verantwortung für die verschiedenen Aufgaben im Risiko-Management trägt. Die Risikomanagement-Richtlinie wird vom Risikomanager gepflegt, aber um effektiv wirken zu können, benötigt sie Rückendeckung vom oberen Management.
Risikoregister
Das Risikoregister ist ein vom Risikomanagement genutztes Tool, das eine Übersicht über die identifizierten Risiken und die entsprechenden Gegenmaßnahmen bietet. Das Risikoregister wird manchmal auch als Risk Log bezeichnet.

 

Rollen | Verantwortlichkeiten

Risikomanager - Prozess-Verantwortlicher
Der Risikomanager ist verantwortlich für die Identifikation, Bewertung und Überwachung von Risiken. Dies umfasst eine Analyse des Wertes von Assets für das Unternehmen und die Identifikation möglicher Bedrohungen für diese Assets sowie die Einschätzung der jeweiligen Gefährdung der Assets.

 

Verantwortlichkeits-Matrix: ITIL Risikomanagement
ITIL-Rolle | Teil-Prozess Risikomanager Andere beteiligte Rollen
Risikomanagement-Support A[1]R[2]
Business-Impact- und Risiokoanalyse AR R[3][4]
Bestimmung der zu mindernden Risiken AR
Risiko-Überwachung AR

 

Erläuterungen

[1] A: Accountable i.S.d. RACI-Modells: Verantwortlich dafür, dass ITIL Risiko-Management als Gesamt-Prozess korrekt und vollständig ausgeführt wird.

[2] R: Responsible i.S.d. RACI-Modells: Verantwortlich für die Ausführung bestimmter Aufgaben in Risikomanagement.

[3] siehe → Rollen-Beschreibungen

[4] Availability Manager, IT Service Continuity Manager, Information Security Manager, Compliance Manager und Supplier Manager.