Information & Comunications Technology, ICT
ICT-Security Beratung, IT-Engineering, Audits
Direkt zum Seiteninhalt
IT-Compliance mit ICT-Security
IT-Sicherheit auf technische Massnahmen fokusieren - Reicht das?
IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozesse, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (ICT).

Bildquelle: PixaBay
Was kann man tun?
  • IT-Compliance als Instrument der Steuerung und Kontrolle verstehen und etablieren.
  • Eine optimale IT-Sicherheitsorganisation aufsetzen und den Sicherheitsprozess initiieren oder optimieren.
  • Ein Sicherheitsleitbild vereinbaren, daraus abgestimmte Sicherheitsrichtlinien ableiten und Regelungen an diese Leitlinien angleichen.
  • Informationen zur Sicherheitslage des Unternehmens oder der Institution beschaffen und analysieren, z.B. mit IT-Security-Audits.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Herausforderungen
IT-Compliance steht im Zusammenhang mit IT-Governance. IT-Governance zielt darauf ab, Unternehmenswert zu schaffen und die IT-Risiken zu minimieren.
Das Gesetz verlangt darüberhinaus "Ordnungsmässigkeit" und "Transparenz". Die Kunden und Partner wünschen sich "Sicherheit" und "Qualität" bei den IT-Services.
Beispiele für von aussen kommende Restriktionen
Handelsgesetze, Datenschutz, Telekommunikationsgesetz, KonTraG, MaRisk, Basel II, Sarbanes Oxley Act (SOX, SOA) in der je nach Land gültigen Variante.
Sicherheitsrichtlinien
Die von aussen kommenden Restriktionen und die eigenen Vorstellungen müssen in einem initialen Schritt auf interne Richtlinien abgebildet werden, z.B. "Datenschutzgesetz" auf "Datenschutzrichtlinie".
Die internen Richtlinien müssen so beschaffen sein, dass sie die vorgegebenen externen Anforderungen "Ordnungsmässigkeit", "Qualität" und "Sicherheit" stets ausreichend erfüllen.
Sicherheitskonzeption
Ein Sicherheitskonzept legt aufgrund der zuvor festgestellten Gefährdungslage Massnahmen fest. Es bleibt ein Restrisiko, welches aber bekannt ist und vom Unternehmen der Institution getragen werden kann.
Regelungen und Anweisungen
Sicherheitskonzepte werden zu Richtlinien, wenn die Geschäftsleitung die Empfehlungen unterschreibt und zugleich vorschreibt, dass die Vorgaben des Konzepts (die Massnahmen) befolgt werden müssen.
Die weitere Ausgestaltung erfolgt durch Regelungen und Weisungen, sowie technische Implementierung.
Unsere Leistungen bei IT-Compliance
Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit  Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.
Der erste Schritt
Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.
Priorisierung
Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.
Kontinuierlicher Prozess
Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.
Verantwortung, Delegation, Kompetenz
Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.
Sensibilisierung und Awareness
Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden
Beispiele
  • Die Geschäftsleitung bei der strategischen Ausrichtung von IT-Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten.
  • Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren.
  • Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten.
  • Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Zurück zum Seiteninhalt