9. Arbeitstreffen - 5./6. Mai 2015

Management und Controlling von IT-Risiken

Das Arbeitstreffen fand gemeinsam mit der User Group "Governance, Risk, Compliance" statt, um den Erfahrungsaustausch noch umfassender zu gestalten. Am zweiten Tag planen wir daher eine intensive Diskussionsrunde zum Schwerpunktthema.

Ralf Loos – Deutsche Bank AG: IT Compliance & Risk Management in der Deutschen Bank

  • Die IT der Deutschen Bank: Global Tech & Operations (GTO) – Globaler Footprint
  • Prinzipieller Kontrollansatz der Deutschen Bank – „Three Lines of Defence“
  • IT Compliance & Risk Control in der Deutschen Bank – Applikationszentriert entlang des SW-Lebenszyklus
  • Abbildung regulatorischer und anderer Vorgaben in internen Richtlinien
    • IT Security: ISO27xx
    • IT Management: COBIT
    • IT Produktion: ITIL

Christian Öhlmann und Gregor Suhr – Axel Springer SE:
Information Security & Risk Management bei der Axel Springer SE

  • Der Medienkonzern Axel Springer
  • Auswirkungen des "digitalen Wandels" auf Information Security & Risk Management
  • Einfluss der Unternehmensstruktur & -kultur auf das Information Security & Risk Management
  • IT-Governance Sturkturen innerhalb der Axel Springer SE
  • Nutzung von Frameworks in der IT-Governance
    • ISO2700x
    • COBIT
    • CMMI
  • Aktuelle Themen und Projekte
    • Einfluss von Outsourcing-Projekten auf die Risikolandschaft
    • Risiken durch die Nutzung von Cloud-Diensten und Micro-soft Office 365
    • Steuerung und Messbarkeit von Dienstleistern im Bereich IT Security und ihre technische Unterstützung (Tools)

Sebastian Klipper – KPMG AG Wirtschaftsprüfungsgesellschaft:
Das Risk-Assessment als Teil der ISO/IEC 27000-Normenreihe

  • Die Normenreihe der ISO/IEC 27000:2014
  • Die Normenreihe der ISO/IEC 27000:2014
  • Risikomanagement nach ISO/IEC 27005:2011
  • Abgrenzung zum BSI IT-Grundschutz
  • Schwerpunkt: Risiko-Assessment-Methoden der ISO in der Praxis
  • Schwerpunkt: Vom Assessment zum gemanagten Risiko-Inventar

Gruppendiskussion unter der Moderation von Prof. Dr. Martin Kütz - Hochschule Anhalt

  • Wie ist das allgemeine Risikomanagement in Ihre Organisation eingebettet? Wie wird das IT-Risikomanagement wahrgenommen? (Zuständigkeiten, Verantwortung, Prozesse)
  • Wie wird das IT-Risikomanagement durch das Controlling, wie das IT-Risikomanagement durch das IT-Controlling unterstützt?
  • Wie werden Risiken bzw. IT-Risiken in Ihrer Organisation erkannt, bewertet, dokumentiert, behandelt und verfolgt? (im laufenden Geschäft, bei Audits / Reviews, im Rahmen der Jahresabschlussprüfung)
  • Was passiert bei Eintritt von (IT-) Risiken? (im Sinne von IT- und Business Continuity)
  • Welche Kosten verursacht das (IT-) Risikomanagement?
  • Wie könnte oder müsste man das (IT-) Risikomanagement bzw. das entsprechende (IT-) Risikocontrolling verbessern?

Ansprechpartnerin

Yvonne Weißflog, Veranstaltungsmanagerin
Bild von Yvonne Weißflog