Quelle: ISACA
IKS im IT-Umfeld - eine CRISC-Ausbildung hilft!
Artikel erschienen in Swiss IT Magazine 2018/06
Artikel erschienen in Swiss IT Magazine 2018/06
Der lesenswerte Artikel von Sandra Schlöffel zeigt auf, wie viele gesetzliche und regulatorische Bestimmungen konkrete Anforderungen an ein internes Kontrollsystem stellen. Bei dieser Vielfalt ist es ein Leichtes, den Überblick zu verlieren.
Schwierig wird es aber erst recht, wenn es um die konkreten Auswirkungen dieser Anforderungen auf die Informatik geht: verstehen wir wirklich, welche (IT-) Risiken die Einhaltung der gesetzlichen und regulatorischen Anforderungen gefährden? Die Informatik umfasst ja nicht nur die eigentlichen Produktionsprozesse (informationsverabeitenden Anwendungen) sondern auch die sie unterstützenden IT-Systeme: Hier gilt es, alle wesentlichen Risiken zu identifizieren, zu bewerten und mit entsprechenden risikomindernden Massnahmen zu optimieren.
Ein solches umfassendes IKS benötigt ein geordnetes Zusammenspiel unterschiedlichster Disziplinen, wie z.B. operationelles Risikomanagement, Informationssicherheitsmanagement, IT-Governance usw. – für alle diese Themen benötigen wir eine entsprechende Aufbau- und Ablauforganisation. Das stellt höchste Anforderungen an die entsprechenden Fachkräfte.
Nur mit einem umfassenden und systematischen Ansatz kann man diese unterschiedlichen Problemstellungen vernünftig angehen. Dies bedingt entsprechend qualifizierte Mitarbeiter im Kernteam, eine offene Risikokultur und eine offene Kommunikation über Risiken sowie ausreichende Kapazität und Knowhow zur Umsetzung der notwendigen Massnahmen. Darüber hinaus sind klar definierte Verantwortlichkeiten für Risikomanagement von zentraler Bedeutung.
Schwierig wird es aber erst recht, wenn es um die konkreten Auswirkungen dieser Anforderungen auf die Informatik geht: verstehen wir wirklich, welche (IT-) Risiken die Einhaltung der gesetzlichen und regulatorischen Anforderungen gefährden? Die Informatik umfasst ja nicht nur die eigentlichen Produktionsprozesse (informationsverabeitenden Anwendungen) sondern auch die sie unterstützenden IT-Systeme: Hier gilt es, alle wesentlichen Risiken zu identifizieren, zu bewerten und mit entsprechenden risikomindernden Massnahmen zu optimieren.
Ein solches umfassendes IKS benötigt ein geordnetes Zusammenspiel unterschiedlichster Disziplinen, wie z.B. operationelles Risikomanagement, Informationssicherheitsmanagement, IT-Governance usw. – für alle diese Themen benötigen wir eine entsprechende Aufbau- und Ablauforganisation. Das stellt höchste Anforderungen an die entsprechenden Fachkräfte.
Nur mit einem umfassenden und systematischen Ansatz kann man diese unterschiedlichen Problemstellungen vernünftig angehen. Dies bedingt entsprechend qualifizierte Mitarbeiter im Kernteam, eine offene Risikokultur und eine offene Kommunikation über Risiken sowie ausreichende Kapazität und Knowhow zur Umsetzung der notwendigen Massnahmen. Darüber hinaus sind klar definierte Verantwortlichkeiten für Risikomanagement von zentraler Bedeutung.
Das aktuelle internationale Zertifikat und Berufsbild CRISC (Certified in Risk and Information Systems Control) deckt die 39 Aufgaben eines Risikomanagers in fünf übergeordneten Themenbereichen ab: Es geht einerseits um die Identifikation, Einschätzung und Bewertung von Risiken sowie um deren Management und Überwachung. Anderseits geht es um Design und Implementation von IT-Kontrollen sowie deren Überwachung und Unterhalt. Spannend ist auch das Spezialthema Risiko-Monitoring: Alleine für diesen Teilbereich definiert CRISC vier Aufgaben: die Sammlung und Validierung von Risikoschlüsselindikatoren über deren Überwachung, die Berichterstattung an relevante Stakeholder, die Durchführung unabhängiger Risikobewertungen und Reviews sowie die Überwachung von Compliance-Risiken.
Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Der CRISC-Kurs wird jeweils im Sommer (Juni/Juli) als Kompaktkurs durchgeführt – mit einem strukturierten Selbststudium ab Februar und einem separaten Prüfungstraining im Spätherbst zur Vorbereitung auf die internationale Zertifikatsprüfung (insgesamt 12 Kurstage).
Der Kurs richtet sich an alle Personen, die sich mit unterschiedlichsten Risikomanagement-Fragen und Frameworks oder mit dem Design, der Implementation, der Überwachung und Wartung von Sicherheitsmassnahmen und anderen Kontrollen beschäftigen – also Risikomanager und Sicherheitsbeauftragte innerhalb und ausserhalb der IT, Compliance-Officer, IKS-Verantwortliche, erfahrene Informatikrevisoren, IT-Anwendungsentwickler oder Projektcontroller.
Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Der CRISC-Kurs wird jeweils im Sommer (Juni/Juli) als Kompaktkurs durchgeführt – mit einem strukturierten Selbststudium ab Februar und einem separaten Prüfungstraining im Spätherbst zur Vorbereitung auf die internationale Zertifikatsprüfung (insgesamt 12 Kurstage).
Der Kurs richtet sich an alle Personen, die sich mit unterschiedlichsten Risikomanagement-Fragen und Frameworks oder mit dem Design, der Implementation, der Überwachung und Wartung von Sicherheitsmassnahmen und anderen Kontrollen beschäftigen – also Risikomanager und Sicherheitsbeauftragte innerhalb und ausserhalb der IT, Compliance-Officer, IKS-Verantwortliche, erfahrene Informatikrevisoren, IT-Anwendungsentwickler oder Projektcontroller.
Artikel kommentieren
