Logo der isecure GmbH, Therwil (CH)
Information & Comunications Technology, ICT
Security Consulting, Engineering, Audits
Direkt zum Seiteninhalt

Hauptmenü:

ICT-Security

IT-Compliance mit ICT-Security

Für die Sicherheit bestimmend sind Verfügbarkeit und Integrität

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozesse, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Die sinngemässe deutsche Übersetzung des Wortes "Compliance" bedeutig "Zustimmung aufgrund von Notwendigkeit oder Unvermeidlichkeit". Das Management muss bei der Erreichung der Geschäftsziele sicherstellen, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (ICT).

Bildquelle: PixaBay
Was kann man also tun?
  • Die Geschäftsleitung bei der strategischen Ausrichtung von IT-Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten.
  • Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren.
  • Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten.
  • Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.

Herausforderungen
IT-Compliance ist im Zusammenhang mit dem Begriff "IT-Governance" zu sehen. IT-Governance zielt darauf ab, Unternehmenswert zu schaffen und die IT-Risiken zu minimieren. Um Letzteres geht es bei IT-Compliance. Das Gesetz verlangt vom Unternehmen "Ordnungsmässigkeit". Die Kunden wünschen sich "Sicherheit" und "Qualität" bei den IT-Services.
Beispiele für von aussen kommende Restriktionen
Handelsgesetze, Datenschutz, Telekommunikationsgesetz, KonTraG, MaRisk, Basel II, Sarbanes Oxley Act (SOX, SOA) in der je nach Land gültigen Variante.
Sicherheitsrichtlinien
Die von aussen kommenden Restriktionen müssen in einem initialen Schritt auf interne Richtlinien abgebildet werden, z.B. "Datenschutzgesetz" auf "Datenschutzrichtlinie". Die internen Richtlinien müssen so beschaffen sein, dass sie die vorgegebenen externen Anforderungen "Ordnungsmässigkeit", "Qualität" und "Sicherheit" stets ausreichend erfüllen. Die freiwilligen Sicherheitsrichtlinien des Unternehmens leiten sich aus der allgemeinen IT-Sicherheitsleitlinie des Unternehmens ab.
Sicherheitskonzeption
IT-Sicherheitsrichtlinien werden durch allgemeine, unternehmensübergreifende IT-Sicherheitskonzepte erzeugt. Ein Sicherheitskonzept ist eine Empfehlung an das Management, welche Massnahmen ergriffen werden sollten, um bestehende oder vermutete Risiken für die Erfüllbarkeit der Geschäftsziele  des Unternehmens zu vermeiden oder zu vermindern, so dass die verbleibenden Restrisiken für das Unternehmen tragbar werden.
Regelungen und Anweisungen
Wenn die Geschäftsleitung das Sicherheitskonzept (die Empfehlung) unterschreibt und zugleich vorschreibt, dass die Vorgaben des Konzepts (die Massnahmen) befolgt werden müssen, dann wird aus dem Sicherheitskonzept eine Richtlinie (Vorschrift). Aus dieser Richtlinie können sich in weiteren Schritten weitere Richtlinien ableiten. Dadurch entsteht eine Verästelung in alle Bereiche hinein.

Unsere Leistungen bei IT-Compliance
Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit  Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption. Unsere Informationen zur Sicherheitslage können zu einer Höhereinstufung des Unternehmens durch den Wirtschaftsprüfer führen.
Der erste Schritt für IT-Compliance
Es muss durch Ist-Aufnahme und Bewertung überprüft werden, ob die vorhandenen Richtlinien in ausreichendem Masse auch eingehalten werden. Die Überprüfung der Richtlinien erfolgt üblicherweise mittels IT-Sicherheitsaudits. Bei festgestellten Defiziten muss das Management für die Abstellung der Mängel sorgen. Dies geschieht, indem den im Bericht zum Audit gegebenen Empfehlungen gefolgt wird.
Priorisierung
Nach Ist-Aufnahme und Analyse kristalisieren sich Handlungsempfehlungen heraus. Diese müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.
Kontinuierlicher Prozess
Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.
Verantwortung, Delegation, Kompetenz
Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.
Sensibilisierung und Awareness
Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden

Beispiele für unsere Leistungen
  • Die Geschäftsleitung bei der strategischen Ausrichtung von IT-Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten.
  • Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren.
  • Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten.
  • Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.

Zurück zum Seiteninhalt | Zurück zum Hauptmenü