- Hochschulabschluss
- Bachelor of Science
- 2. Hochschulabschluss
- Master of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 60 von 120
Einsendeaufgaben EA-Besprechung SS 2017 EA1 42500 (01.06.2017)
- Ersteller Kiomi
- Erstellt am
- Hochschulabschluss
- Bachelor of Arts
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 40 von 120
Hi, also Aufgabe 1 habe ich genauso gelöst wie du!
Aufgabe 4 habe ich nur eine Atnwort anders. :)
4.1) F
4.2) F
4.3) F
4.4) F
4.5) R
4.6) R
4.7) F (Risikoinventur nicht Risikoidentifikation, siehe S. 61)
4.8) F
4.9) F
4.10) R
Aufgabe 4 habe ich nur eine Atnwort anders. :)
4.1) F
4.2) F
4.3) F
4.4) F
4.5) R
4.6) R
4.7) F (Risikoinventur nicht Risikoidentifikation, siehe S. 61)
4.8) F
4.9) F
4.10) R
Hallo zusammen,
die Aufgaben 1 und 4 habe ich genauso gelöst.
Bei der 2.1 ist mir unklar, was mit zwei bekannten Methoden gemeint wurde?
Risikoanalyse kann qualitativ und quantitativ durgeführt werden.
Risikomanagement allgemein kann strategische und operative Methoden umfassen.
Im Skript sind 4 Methoden genannt.
Welche zwei Methoden will der Lehrstuhl?
Was denkt ihr, habt ihr schon die Aufgabe erarbeitet?
LG
Ira
die Aufgaben 1 und 4 habe ich genauso gelöst.
Bei der 2.1 ist mir unklar, was mit zwei bekannten Methoden gemeint wurde?
Risikoanalyse kann qualitativ und quantitativ durgeführt werden.
Risikomanagement allgemein kann strategische und operative Methoden umfassen.
Im Skript sind 4 Methoden genannt.
Welche zwei Methoden will der Lehrstuhl?
Was denkt ihr, habt ihr schon die Aufgabe erarbeitet?
LG
Ira
@2.1 [Max. 400 Worte] Methoden des IT-Risikomanangements erklären:
IT-Risikomanagement sollte im Unternehmen als Prozeß verankert sein.
Die Informatik hat Einfluß auf fast alle, auch erfolgskritische Prozeße.
2 Die CRAMM Methode:
Akronym für die Herkunft: Centre for Information Systems Risk Analysis and Management Method
Aufgabe/Zielsetzung: CRAMM in Software umsetzen. Risikoanalyse, Schutzbedarf ermitteln, Risiken identifizieren und Gegenüberstellung geeigneter Maßnahmen zu deren Beseitigung.
Werkzeuge: Fragebögen, Risikomatrizen, Fragebögen etc. für die Analyse. Maßnahmenkataloge mit Beseitigungsvorschlägen.
Risk Management Review-Prozeß im Detail (umfaßt beide Bereiche: Analyse und Gegenmaßnahmen): Vgl. Abb.22 @ KE2, S. 64
1. Festlegung der Rahmenbedingungen und Systemgrenzen
2. Identifikation der Schutzobjekte
3. Bewertung der Schutzobjekte
4. Erhebung und Einstufung der Bedrohungen und jeweils vorhandenen Schwachstellen
5. Bestimmung des Risikos
6. Zuordnung von Maßnahmen
7. Erstattung eines Abschlussberichts
Vorteil einer Softwarelösung: Ermöglicht Berücksichtigung von Test-Szenarien (What-If), Speicherung der möglichen Folgen
1 IT-Risikokonzept (Methode):
Aufgabe/Zielsetzung: Reduzierung von Risiken auf tragbare Restrisiken.
Aufbau/Struktur/Umfang/Grenzen: Das Konzept umfaßt die konzeptionelle Einbindung der Sicherheitsmaßnahmen innerhalb der versch. IT-Prozeße. Zusätzlich Anforderungen an Sicherheitsmaßnahmen (Qualität etc.) Organisatorische Aspekte: Zuständigkeiten definieren?
Dokumentation: Risiken werden bewertet und die Bewältigungsstrategie dokumentiert.
Dauer: ges. Lebenszyklus eines Systems oder nur auf einzelen Phasen, wenn diese stark risikobehaftet sind. Einsatzszenarien: Einführung von / Änderungen an Applikationen, Outsourcing v. Geschäfts- und Informatikprozeßen
Vorteile: Ermittlung des jew. Risikos am jeweiligen Objekt, in der Folge orientiert man sich autom. am bestehenden Risiko gemäß des Umsetzungsplanes des IT-Risikokonzeptes.
@2.2 [Max. 350 Worte] Prozesskreislauf beschreiben, Ziele und Kernaufgaben der 4 Phasen erklären.
Es gibt mehrere Konzepte mit unterschiedlicher Benennung der einzelnen Phasen, diese Phasen sind aber meist gleich bzgl. des Inhalts und der berücksichtigten Aufgaben.
Abb. 21 @KE2 S. 59 (nach Schmitz, Wehrheim)
bzgl. Ziele und Kernaufgaben
1) Risiko-Identifikation: @Ziel: Erstellung einer Liste mit allen Risiken für ein konkretes Projekt (Kurzbeschreibung) Aufgabe: Risikoindikatoren für jedes Risiko identifizieren
2) -bewertung/-analyse: @Ziel: Durchführung Risikoanalyse, Eintrittswahrscheinlichkeiten und Schadensschätzungen @Aufgabe: Ermittlung einer Schadenskennziffer aus Eintrittsw'keit * Schaden. Je größer, desto mehr Zeit sollte man dem jew. Risiko im weiteren Verlauf des Prozeßes widmen.
3) -steuerung: Analyse der bisherigen Ergebnisse aus Schritt 1-2 @Ziel: Ausarbeitung einer Strategie für jedes Risiko aus folgenden vier Grundstrategien 1_Risikoakzeptanz: Ignorieren 2_Risikoverlagerung: Evtl. Versicherung oder Outsourcing? 3_Risikoverminderung: Optionen aus 2 nicht möglich, also keine Verlagerung, darum Schadensbegrenzung und -eintrittsw'keit senken. 4_Risikovermeidung: Hohe Schadenskennziffer, Maßnahmen werden zwingend benötigt! @Aufgabe: Risiken sollen in diesem Schritt soweit abgemildert werden, daß ein eintretendes Ereignis nicht mehr real schädigen kann.
4) -überwachung: "Risiko-Radar" @Ziel: Ausrichtung auf erfolgskritische Schlüsselfaktoren unternehmerischer Leistungen wie Kosten, Zeit Qualität und Umfang. @Aufgabe: Überwachung der zurzeit existierenden Risiken und deren Entwicklung im Zeitablauf.
Fortlaufender Prozeß, die Aufgaben des Kreislaufes können in eine gesamtunternehmerische Risikoüberwachugnsstrategie eingebettet sein.
@2.3 [Max. 350 Worte] Zur These in vielen (nicht aber >50%, häufig nur in großen Unternehmen gilt) der IT sind klassische Risikofelder erkannt & Maßnahmen wurden ergriffen:
@S. 52 KE2
Viele Unternehmen sind sich der bestehenden Risiken bewusst, allerdings zieht dieses Bewusstsein nicht immer die notwendigen Maßnahmen nach sich:
Bsp. Stromausfall: ca. 150.000 € je Std. (Durschn. aller Branchen), jedoch 8% machen keine Erhebung
IT-Risikomanagement sollte im Unternehmen als Prozeß verankert sein.
Die Informatik hat Einfluß auf fast alle, auch erfolgskritische Prozeße.
2 Die CRAMM Methode:
Akronym für die Herkunft: Centre for Information Systems Risk Analysis and Management Method
Aufgabe/Zielsetzung: CRAMM in Software umsetzen. Risikoanalyse, Schutzbedarf ermitteln, Risiken identifizieren und Gegenüberstellung geeigneter Maßnahmen zu deren Beseitigung.
Werkzeuge: Fragebögen, Risikomatrizen, Fragebögen etc. für die Analyse. Maßnahmenkataloge mit Beseitigungsvorschlägen.
Risk Management Review-Prozeß im Detail (umfaßt beide Bereiche: Analyse und Gegenmaßnahmen): Vgl. Abb.22 @ KE2, S. 64
1. Festlegung der Rahmenbedingungen und Systemgrenzen
2. Identifikation der Schutzobjekte
3. Bewertung der Schutzobjekte
4. Erhebung und Einstufung der Bedrohungen und jeweils vorhandenen Schwachstellen
5. Bestimmung des Risikos
6. Zuordnung von Maßnahmen
7. Erstattung eines Abschlussberichts
Vorteil einer Softwarelösung: Ermöglicht Berücksichtigung von Test-Szenarien (What-If), Speicherung der möglichen Folgen
1 IT-Risikokonzept (Methode):
Aufgabe/Zielsetzung: Reduzierung von Risiken auf tragbare Restrisiken.
Aufbau/Struktur/Umfang/Grenzen: Das Konzept umfaßt die konzeptionelle Einbindung der Sicherheitsmaßnahmen innerhalb der versch. IT-Prozeße. Zusätzlich Anforderungen an Sicherheitsmaßnahmen (Qualität etc.) Organisatorische Aspekte: Zuständigkeiten definieren?
Dokumentation: Risiken werden bewertet und die Bewältigungsstrategie dokumentiert.
Dauer: ges. Lebenszyklus eines Systems oder nur auf einzelen Phasen, wenn diese stark risikobehaftet sind. Einsatzszenarien: Einführung von / Änderungen an Applikationen, Outsourcing v. Geschäfts- und Informatikprozeßen
Vorteile: Ermittlung des jew. Risikos am jeweiligen Objekt, in der Folge orientiert man sich autom. am bestehenden Risiko gemäß des Umsetzungsplanes des IT-Risikokonzeptes.
@2.2 [Max. 350 Worte] Prozesskreislauf beschreiben, Ziele und Kernaufgaben der 4 Phasen erklären.
Es gibt mehrere Konzepte mit unterschiedlicher Benennung der einzelnen Phasen, diese Phasen sind aber meist gleich bzgl. des Inhalts und der berücksichtigten Aufgaben.
Abb. 21 @KE2 S. 59 (nach Schmitz, Wehrheim)
bzgl. Ziele und Kernaufgaben
1) Risiko-Identifikation: @Ziel: Erstellung einer Liste mit allen Risiken für ein konkretes Projekt (Kurzbeschreibung) Aufgabe: Risikoindikatoren für jedes Risiko identifizieren
2) -bewertung/-analyse: @Ziel: Durchführung Risikoanalyse, Eintrittswahrscheinlichkeiten und Schadensschätzungen @Aufgabe: Ermittlung einer Schadenskennziffer aus Eintrittsw'keit * Schaden. Je größer, desto mehr Zeit sollte man dem jew. Risiko im weiteren Verlauf des Prozeßes widmen.
3) -steuerung: Analyse der bisherigen Ergebnisse aus Schritt 1-2 @Ziel: Ausarbeitung einer Strategie für jedes Risiko aus folgenden vier Grundstrategien 1_Risikoakzeptanz: Ignorieren 2_Risikoverlagerung: Evtl. Versicherung oder Outsourcing? 3_Risikoverminderung: Optionen aus 2 nicht möglich, also keine Verlagerung, darum Schadensbegrenzung und -eintrittsw'keit senken. 4_Risikovermeidung: Hohe Schadenskennziffer, Maßnahmen werden zwingend benötigt! @Aufgabe: Risiken sollen in diesem Schritt soweit abgemildert werden, daß ein eintretendes Ereignis nicht mehr real schädigen kann.
4) -überwachung: "Risiko-Radar" @Ziel: Ausrichtung auf erfolgskritische Schlüsselfaktoren unternehmerischer Leistungen wie Kosten, Zeit Qualität und Umfang. @Aufgabe: Überwachung der zurzeit existierenden Risiken und deren Entwicklung im Zeitablauf.
Fortlaufender Prozeß, die Aufgaben des Kreislaufes können in eine gesamtunternehmerische Risikoüberwachugnsstrategie eingebettet sein.
@2.3 [Max. 350 Worte] Zur These in vielen (nicht aber >50%, häufig nur in großen Unternehmen gilt) der IT sind klassische Risikofelder erkannt & Maßnahmen wurden ergriffen:
@S. 52 KE2
Viele Unternehmen sind sich der bestehenden Risiken bewusst, allerdings zieht dieses Bewusstsein nicht immer die notwendigen Maßnahmen nach sich:
Bsp. Stromausfall: ca. 150.000 € je Std. (Durschn. aller Branchen), jedoch 8% machen keine Erhebung
Hi Ira,
ich denke, daß Du zwei Methoden von diesen hier frei auswählen kannst: CRAMM, FEMA,FTA und IT-Risikokonzept
Gruß Markus
- Hochschulabschluss
- Bachelor of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 10 von 120
Hat jemand eine Lösung für Aufgabe 3 (Teilaufgaben)
Vielen Dank!
Vielen Dank!
- Hochschulabschluss
- Bachelor of Science
- Studiengang
- M.Sc. Wirtschaftswissenschaft
- ECTS Credit Points
- 10 von 120
kann jemand ein Beispiel zu Verfügbarkeit und Vertraulichkeit denn nennen? Vielen Dank im Voraus.
