Schlagwortarchiv für: ISO

Die drei Säulen des Risikomanagements nach DIN ISO 31000

Neue DIN ISO 31000 Risikomanagement

Zum 1. Oktober 2018 ist die DIN ISO 31000 „Risikomanagement – Leitlinien“ erschienen. Es handelt sich um die deutsche Übersetzung der im Februar erschienenen Neufassung der ISO 31000. Mit der neuen Norm steht nun auch deutschen Unternehmen eine der weltweit erfolgreichsten Normen zur direkten Anwendung zur Verfügung.

Risikomanagement ist ein wesentliches Element einer guten und verantwortungsvollen Unternehmensführung (Deutscher Corporate Governance Codex). Die Pflicht, ein angemessenes Risikomanagement zu implementieren, findet sich in zahlreichen Gesetzen. Ohne Risikomanagement läuft die Unternehmensführung Gefahr, in eine Haftung für Organisationsverschulden zu geraten. Die neue Norm hilft, ein angemessenes Risikomanagement in drei Schritten zu implementieren: Grundsätze, Rahmenwerk und Prozess. Der Anspruch der Norm ist die Schaffung und Bewahrung von Werten. Dabei geht sie nicht nur von der negativen Bedeutung des Risikobegriffs aus, sondern umschließt auch die positiven Abweichungen von dem Erwarteten. Zentrales Thema der Norm ist die Integration von Risikomanagement in alle Prozesse und Aktivitäten der anwendenden Organisation, weg von der Silomentalität vieler Unternehmen und weg vom bloßen nachträglichen Risiko-Reporting, das zumeist als ungeliebte, die Prozesse störende Zusatzaufgabe verstanden wird. Das Risiko kann damit auch neue Chancen bieten.

Für die Norm verantwortlich ist der NA 175‑00‑04 AA im DIN. Der Normenausschuss erarbeitet auch die Folgenormen (Companion Standards). Neue Mitarbeiter aus der Wissenschaft sind willkommen.

Autor: Dr. Frank Herdmann, stellvertretender Obmann des NA 175 00 04 AA im DIN

DIN-Normenausschuss Organisationsprozesse (NAOrg)

NA 175-00-04 AA Grundlagen des Risikomanagements

Bei der neuen DIN ISO 31000:2018-10 „Risikomanagement – Leitlinien“ handelt es sich um die übernommene gemeinsam mit den Normungsgremien in Österreich und der Schweiz gefertigte Übersetzung der im Februar erschienenen Neufassung der ISO 31000. Verantwortlich für die Übernahme der Norm ist der Arbeitsausschuss NA 175‑00‑04 AA beim DIN, der auch die Arbeit an der Neufassung der Internationalen Norm bei ISO begleitet hat. Im NA‑175‑00‑04 AA wird derzeit an sogenannten Companion-Standards gearbeitet. Neue Mitarbeiter aus der Wirtschaft sind dort jederzeit willkommen. Interessenten können sicher gerne direkt an DIN wenden:

Veröffentlichungen von NA 175-00-04 AA

  • DIN ISO 31000:2018-10 Risikomanagement – Leitlinien (ISO 31000:2018)
  • ISO 31000:2018-02 Risikomanagement – Leitlinien
  • ISO/TR 31004:2013-10 Risikomanagement – Leitfaden zur Implemetierung der ISO 31000

Projekte von NA 175-00-04 AA

  • ISO/NP 31050 Leitlinien zum Umgang mit aufkommenden Risiken zur Erhöhung der Resilienz
  • NP IWA 31 Using ISO 31000 guidance on risk management in management systems
  • ISO/AWI 31030 Risikomanagement – Umgehen mit Reiserisiken – Leitfaden für Organisationen
  • ISO/CD 31022 Leitfaden zur Implementierung eines Unternehmensrechtsrisikomanagements

Schlagwortarchiv für: ISO

Mitarbeiter sorgen für IT-Sicherheit in Unternehmen

Informationssicherheit

Übersicht zu Informationssicherheit

Einführung | Cyber-Security | Normen und Vorschriften | Weitere Informationen

Einführung

Die Aufrüstung in sichere Informationstechnik in Unternehmen gewinnt vor allem für kleine und mittlere Unternehmen (KMU) an Relevanz, da diese einem erhöhten Risiko durch Cyber-Angriffen ausgesetzt sind. KMU’s verfügen oft nicht über ein eigenes IT-Team und haben nur begrenzt Erfahrung und Kenntnis über IT-Sicherheit. Die Sicherheit kann schon mit einfachen organsiatorischen Mitteln erheblich verbessert werden:

  • IT-Sicherheit als Unternehmensphilosophie
  • Erarbeitung einer Sicherheitsleitlinie
  • Regelmäßige Mitarbeiter-Schulungen und Geheimhaltungspflicht
  • Erstellung eines Notfallplans
  • E-Mail-Richtlinien
  • Verhaltenscodex für Soziale Medien
  • Umgang mit Passwörtern
  • Nutzung mobiler Endgeräte
  • Nutzung von externen Speichermedien (USB-Sticks, SD-Karten, HDD-Festplatten) und Cloud-Diensten
  • Sicherung von Geschäftsräumen und Unterlagen
  • Regelmäßige Software-Updates
  • Regelmäßige Datensicherungen

Cyber-Security für kleine und mittlere Unternehmen (KMU)

Viele Unternehmen des deutschen Mittelstandes haben sich eine Position als Weltmarktführer erarbeitet – und werden damit zum lohnenden Ziel für Spione und Hacker. Moderne Produktionsanlagen haben heute meist eine Verbindung zum Internet, zum Beispiel für Fernwartung oder Prozessoptimierung. Das macht sie angreifbar. Aber auch auf organisatorischer Ebene gibt es Sicherheitslücken, etwa wenn Mitarbeiter auf Freigaben, Verzeichnisse und Dateien zugreifen können, die sie für ihre Arbeit gar nicht benötigen.

Wenn Daten gestohlen oder Produktionsanlagen sabotiert werden, könnte ein Angriff einen hohen Kostenaufwand für die Unternehmen bedeuten. Mangelnde Cyber-Security kostet rund 1,6 Prozent des Bruttoinlandsproduktes.

Die Richtlinie VdS 10000 „Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ bietet Hilfe zum Selbstschutz für ein vollständiges, pragmatisches Informationssicherheits-Managementsystem. Die aktuell gültige Richtlinie VdS 10000 ist im Dezember 2018 in Kraft getreten und ersetzt die Richtlinie VdS 3473 vom Juli 2015.

Normen und Vorschriften

Für die Informationssicherheit in Unternehmen gelten eine Reihe von Normen und Vorschriften:

Weiterführende Informationen