Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

IKT-Risikomanagement

Reifegrad

Reifegradmodell, Bewertung und kontinuierliche Verbesserung.

Management-Zusammenfassung

  • DORA Art. 8 Abs. 3 verlangt eine kontinuierliche Verbesserung des IKT-Risikomanagements auf Basis von Monitoring, Audit-Ergebnissen und Vorfällen.
  • Ein Reifegradmodell hilft, den aktuellen Stand zu bewerten und gezielte Massnahmen zur Weiterentwicklung zu definieren.
  • Die Bewertung sollte jährlich durchgeführt und dem Leitungsorgan vorgelegt werden.
  • CMMI, COBIT oder ISO 33004 können als Orientierung dienen; die DORA-Kernanforderungen müssen in jedem Fall abgedeckt sein.

Reifegrad-Dimensionen

Die Reifegradbewertung umfasst acht Dimensionen, die das gesamte IKT-Risikomanagement abbilden. Jede Dimension wird unabhängig bewertet.

Governance

Rahmenwerk, Rollen, Strategie, Risikoappetit und Eskalation sind definiert und wirksam.

Risikoidentifikation

Risikoinventar und Schutzbedarfsfeststellung sind vollständig, aktuell und verknüpft.

Risikoanalyse und -bewertung

Methodik, Priorisierung, Risikomatrix und Szenarioanalyse sind standardisiert.

Risikobehandlung

Massnahmen, Akzeptanz und Restrisiken sind dokumentiert und nachverfolgt.

Kontrollsystem

Kontrollziele, Wirksamkeitsprüfung und Nachweise sind etabliert und geprüft.

Monitoring und Reporting

Frühwarnung, Berichte und Eskalation funktionieren und werden verbessert.

Integration

DORA, MaRisk und ISO 27001 sind abgestimmt; Doppelarbeiten vermieden.

Kultur

Schulung, Sensibilisierung und Risikobewusstsein sind messbar und gefördert.

Bewertungsstufen

Das Modell orientiert sich an CMMI-ähnlichen Stufen. Jede Stufe definiert Kriterien für Prozesse, Dokumentation und Kultur.

Stufe 1

Initial

Ad-hoc-Ansätze, keine formalen Prozesse. Reaktives Handeln, keine systematische Dokumentation.

Stufe 2

Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt. Teilweise Dokumentation und Verantwortlichkeiten.

Stufe 3

Managed

Prozesse vollständig umgesetzt und dokumentiert. Klare Verantwortlichkeiten, regelmässige Reviews.

Stufe 4

Monitored

Prozesse werden überwacht und gemessen. KPIs und KRIs sind etabliert. Abweichungen werden frühzeitig erkannt.

Stufe 5

Optimized

Kontinuierliche Verbesserung und Anpassung auf Basis von Daten, Audits und Vorfällen. Innovationsfähigkeit.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung

Umsetzungsschritte Reifegrad

  • Reifegradmodell mit Dimensionen und Stufen definieren und freigeben (Art. 8 Abs. 3 DORA).
  • Selbstbewertung für alle acht Dimensionen durchführen und dokumentieren.
  • Entwicklungsplan mit Massnahmen, Verantwortlichen und Fristen erstellen.
  • Jährliche Reifegradbewertung etablieren und dem Leitungsorgan vorlegen.
  • Vorjahresvergleich und Trendanalyse in die Bewertung integrieren.
  • Best Practices aus Branchenvergleichen und Audit-Findungen einarbeiten.

Nachweise Reifegrad

EVD-IRM-014 Reifegradbewertung (aktuell, mit Vorjahresvergleich) Qualitätsmanagement · Jährlich
EVD-IRM-011 Leitungsorganbericht mit Reifegrad Risikocontrolling · Jährlich
EVD-IRM-015 Schulungsnachweise (Kultur-Dimension) Personalentwicklung · Jährlich

Hinweis

Diese Inhalte sind eigenständig formulierte Umsetzungshilfen und ersetzen keine Rechtsberatung.