|
|
|
Compliance - Nur ein Schlagwort? Nur für IT?
oder unternehmensweite firmenstrategische Aufgabe? |
|
Was ist Compliance
Unter IT-Compliance versteht man die Sicherstellung des gesetzes- und richtlinienkonformen IT-Betriebs im Rahmen des Risikomanagements durch die Unternehmensführung.
Hierzu muss das Management Vorgaben an die IT-Organisation sowie an die Mitarbeiter formulieren und die Umsetzung kontrollieren. IT-Compliance bietet Schutz vor
finanziellen Nachteilen (Schadensersatz, Geldbußen, Bildung von Rückstellungen, Geschäftsausfällen, Missbrauch etc.), und kann darüber hinaus auch für das Marketing
genutzt werden.
Allerdings müssen die Anforderungen an die IT erkannt und mögliche Schwachstellen identifiziert werden. Diese Aufgabe gestaltet sich oftmals schwierig wegen der Vielfalt
von Anforderungen aus unterschiedlichen Bereichen (z.B. BDSG, KonTrag, Arbeitsrecht etc.).
Diese Richtlinien gelten analog für alle Firmenprozesse.
!! Compliance ist kein einmaliges, sondern ein permanent lebendes Projekt!!
|
| | Bitte klicken Sie für eine größere Ansicht auf das Bild.
|
Gesetze / Verordnungen / Institutionen
Basel II
|
IT-Prüfungen Bestandteil für Firmenrating
|
BSI
|
Bundesamt für Sicherheit in der Informationstechnik
|
BDSG
|
Bundesdatenschutzgesetz, Auftragsdatenverarbeitung
|
COBIT
|
Control Objectives for Information and Related Technology (IT-Ressourcen, IT-Prozesse,Geschäftliche Anforderungen)
|
GDPdU
|
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
|
GoBS
|
Grundsätze ordnungsmäßiger DV-gestützter
Buchführungssysteme Achtung: Verfahrensdokumentation
erforderlich für Archivierung!
|
ISO 27001
|
auf Basis von IT-Grundschutz (seit Anfang 2006)
|
IT Compliance
|
Sicherstellung des Gesetzes- und Richtlinienkonformen
IT Betriebes im Rahmen des
Risikomanagements durch die Unternehmensführung
|
IT Governance
|
Ausrichtung von IT-Organisation, -Prozessen und -
Systemen eines Unternehmens an der allgemeinen
Unternehmensstrategie (Vermeidung von IT-Risiken)
|
KonTrag
|
Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich. Überwachungssystem zur
Früherkennung existenzgefährdender Risiken - darunter
auch IT-Sicherheitsrisiken - einzurichten.
|
MaRisk
|
Mindestanforderungen an das Risikomanagement(Kreditinstitute)
|
Sarbanes Oxley Act
|
Internationale Unternehmen sind verpflichtet,
Maßnahmen zur Erkennung und (USA)
Vermeidung von Risiken zu treffen und ein internes
Kontrollsystem zu errichten.
|
und manches mehr
|
|
Was ist / fordert Compliance ?
Einhaltung der rechtsverbindlichen Mindestanforderungen in Bezug auf Sicherheit und Verfügbarkeit von Informationen
Weitere Verschärfung dieser Anforderungen in BASEL II. KonTrag, Sarbanes-Oxley
Manipulationssicherheit und allgemeine Zugänglichkeit für bestimmte Berichte
Laufende Dokumentation der Verantwortlichkeiten im Risiko-Management
technisch / rechtlich
Elastizität und Robustheit der Systeme bei Ausfällen
Notfallkonzepte im Schadensfall
Steuer- und beweisrechtliche Organisationsprozeduren für relevante Daten
availability, information lifecycle management
Rechtliche Verantwortung des Managements für Fehler, wie unter anderem
technisch und rechtlich sichere Aufbewahrung von Daten
jederzeitige Integrität und Verfügbarkeit von Daten
Konsequenzen können Geld- und/oder Haftstrafen sein
Fakten
Nach einer Katastrophe, verursacht durch Feuer, Erdbeben oder andere externe Einwirkungen öffnen 30 % der Unternehmen nie wieder die Türen.
Weitere 29 %stellen die Geschäftstätigkeit innerhalb der folgenden 2 Jahre ein, weil sie sich von den finanziellen Verlusten nicht erholen.
Bereits ein 10-tägiger Ausfall von Schlüssel-Systemen der IT schädigt ein Unternehmen so nachhaltig, dass es mit 50 % Wahrscheinlichkeit innerhalb von
5 Jahren vom Markt verschwindet.
Quelle: META Group Studie bereits aus dem Jahre 2002.
Wir unterstützen Sie bei
- der Ist-Aufnahme in Ihrem Betrieb
- Vorschlagserarbeitung der Umsetzung im richtigen Kosten-Nutzenverhältnis
- Begleitung bei der Realisierung
- Managementpräsentationen
|
|
|
Kontakt
