|
Modellierung und Analyse von IT-Geschäftsprozessen in der Risikoanalytik
(DA: D-MTEC)
Dr. R. Mock
Februar 2005
Informationssysteme prägen mehr denn je den betrieblichen Alltag; sie sind zu einer Schlüsselaufgabe im Unternehmen geworden. Aber es ist schwierig, Schwachstellen zu finden sowie Risiken abzuschätzen und zu minimieren. Da in den etablierten Modellierungsmethoden von Informationssystemen keine Risikoabschätzung vorgesehen ist, werden in dieser Diplomarbeit Ansätze erarbeitet und vorgestellt, wie eine Risikoanalyse in einen IT-GP (GP) integriert werden kann.
Um die versagensorientierte Methode der Risikoanalytik in einen erfolgsorientierten IT-GP zu integrieren, wird von einem Fehlereignis ausgegangen, das durch eine falsche Ausführung einer GP-Funktion eintritt. Als GP-Modellierungsmethode dient ARIS, die erfolgsorientierte Funktionen beinhaltet, und als Risikomethode die Ursachenfolgeanalyse, die vom Fehlereignis zu dessen Ursachen und Folgen führt.
Ein erster Ansatz schlägt vor, für jede Funktion innerhalb eines GP eine quantitative Ursachenfolgeanalyse eines Fehlereignisses vorzunehmen. Als Ergebnis erhält man von jeder Funktion das Risiko, indem man eine Fehlereigniswahrscheinlichkeit (aus einer Fehlerbaumanalyse) mit dem Schadenserwartungswert (aus einer Ereignisablaufanalyse) multipliziert.
Ein zweiten Ansatz schlägt eine vereinfachte Vorgehensweise vor. Zuerst erfolgt die Bewertung und Gewichtung einzelner Funktionen. Dadurch sind die Risiken der Funktionen vorab abgeschätzbar und es werden nur noch die Funktionen mit möglichst hohem Risiko durch eine qualitative Ursachenfolgeanalyse untersucht. Das Ergebnis ist die Auflistung der verschiedenen Ursachen und Folgen von diesen Funktionen.
Die Fallstudie "Software Security Vulnerability Management (SSVM) Prozess" bei cablecom umfasst und veranschaulicht die Kombination beider Ansätze. Eine Modellierung und Untersuchung dieses Prozesses findet mit dieser Arbeit erstmals statt. Da der SSVM-Prozess ein unterstützender Prozess ist, benötigt dieser Ansatz Änderungen, da kein Schadenserwartungswert berechnet werden konnte. Als Schadensindikator dient die Beeinträchtigung des SSVM-Prozesserfolgs. Anstelle des Risiko einzelner Funktionen wird die Prozessversagenswahrscheinlichkeit dieser Funktionen ermittelt. Dieses Ergebnis gibt an, mit welcher Wahrscheinlichkeit die Funktion den Prozess zum Versagen bringt.
Wichtiger Hinweis:
Diese Website wird in älteren Versionen von Netscape ohne
graphische Elemente dargestellt. Die Funktionalität der
Website ist aber trotzdem gewährleistet. Wenn Sie diese
Website regelmässig benutzen, empfehlen wir Ihnen, auf
Ihrem Computer einen aktuellen Browser zu installieren. Weitere
Informationen finden Sie auf
folgender
Seite.
Important Note:
The content in this site is accessible to any browser or
Internet device, however, some graphics will display correctly
only in the newer versions of Netscape. To get the most out of
our site we suggest you upgrade to a newer browser.
More
information