secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

IT-Compliance mit IT-Security

Sicherheit ist mehr als die Summe der

Einzelmassnahmen

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozessen, deren IT- Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (IKT).

Unsere Leistungen

Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.

Der erste Schritt

Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.

Priorisierung

Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.

Kontinuierlicher Prozess

Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.

Verantwortung, Delegation, Kompetenz

Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.

Sensibilisierung und Awareness

Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden.
Auf einer Kreisfläche sind die vier Phasen des IT-Compliance-Prozesses dargestellt: Ist-Aufnahme, Analyse, Priorisierung und Entscheidung. Danach beginnt die Sequenz erneut.
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

IT-Compliance mit IT-Security

Sicherheit ist mehr als die Summe der

Einzelmassnahmen

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozessen, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (IKT).

Unsere Leistungen

Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.

Der erste Schritt

Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.

Priorisierung

Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.

Kontinuierlicher Prozess

Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.

Verantwortung, Delegation, Kompetenz

Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.

Sensibilisierung und Awareness

Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden.
Auf einer Kreisfläche sind die vier Phasen des IT-Compliance-Prozesses dargestellt: Ist-Aufnahme, Analyse, Priorisierung und Entscheidung. Danach beginnt die Sequenz erneut.
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

IT-Compliance mit IT-Security

Sicherheit ist mehr als die Summe der Einzelmassnahmen

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozessen, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (IKT).
Blick entlang der Glasfassade eines Hochhauses in Richtung Himmel. Es soll das Top-Down-Prinzip bei IT-Compliance symbolisiert werden.
Bildquelle: PixaBay

Was kann man tun?

IT-Compliance als Instrument der Steuerung und Kontrolle verstehen und etablieren. Eine optimale IT-Sicherheitsorganisation aufsetzen und den Sicherheitsprozess initiieren oder optimieren. Ein Sicherheitsleitbild vereinbaren, daraus abgestimmte Sicherheitsrichtlinien ableiten und Regelungen an diese Leitlinien angleichen. Informationen zur Sicherheitslage des Unternehmens oder der Institution beschaffen und analysieren, z.B. mit IT- Security-Audits. Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.

Herausforderungen

IT-Compliance steht im Zusammenhang mit IT-Governance. IT- Governance zielt darauf ab, Unternehmenswert zu schaffen und die IT-Risiken zu minimieren. Das Gesetz verlangt darüberhinaus "Ordnungsmässigkeit" und "Transparenz". Die Kunden und Partner wünschen sich "Sicherheit" und "Qualität" bei den IT-Services.

Beispiele für von aussen kommende Restriktionen

Handelsgesetze, Datenschutz, Telekommunikationsgesetz, KonTraG, MaRisk, Basel II, Sarbanes Oxley Act (SOX, SOA) in der je nach Land gültigen Variante.

Sicherheitsrichtlinien

Die von aussen kommenden Restriktionen und die eigenen Vorstellungen müssen in einem initialen Schritt auf interne Richtlinien abgebildet werden, z.B. "Datenschutzgesetz" auf "Datenschutzrichtlinie". Die internen Richtlinien müssen so beschaffen sein, dass sie die vorgegebenen externen Anforderungen "Ordnungsmässigkeit", "Qualität" und "Sicherheit" stets ausreichend erfüllen.

Sicherheitskonzeption

Ein Sicherheitskonzept legt aufgrund der zuvor festgestellten Gefährdungslage Massnahmen fest. Es bleibt ein Restrisiko, welches aber bekannt ist und vom Unternehmen der Institution getragen werden kann.

Regelungen und Anweisungen

Sicherheitskonzepte werden zu Richtlinien, wenn die Geschäftsleitung die Empfehlungen unterschreibt und zugleich vorschreibt, dass die Vorgaben des Konzepts (die Massnahmen) befolgt werden müssen. Die weitere Ausgestaltung erfolgt durch Regelungen und Weisungen, sowie technische Implementierung.

Unsere Leistungen

Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.

Der erste Schritt

Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.

Priorisierung

Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.

Kontinuierlicher Prozess

Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.

Verantwortung, Delegation, Kompetenz

Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.

Sensibilisierung und Awareness

Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden.

Beispiele

Die Geschäftsleitung bei der strategischen Ausrichtung von IT- Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten. Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren. Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten. Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen. Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Auf einer Kreisfläche sind die vier Phasen des IT-Compliance-Prozesses dargestellt: Ist-Aufnahme, Analyse, Priorisierung und Entscheidung. Danach beginnt die Sequenz erneut.
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

IT-Compliance mit IT-Security

Sicherheit ist mehr als die Summe der Einzelmassnahmen

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozessen, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (IKT).
Blick entlang der Glasfassade eines Hochhauses in Richtung Himmel. Es soll das Top-Down-Prinzip bei IT-Compliance symbolisiert werden.
Bildquelle: PixaBay

Was kann man tun?

IT-Compliance als Instrument der Steuerung und Kontrolle verstehen und etablieren. Eine optimale IT-Sicherheitsorganisation aufsetzen und den Sicherheitsprozess initiieren oder optimieren. Ein Sicherheitsleitbild vereinbaren, daraus abgestimmte Sicherheitsrichtlinien ableiten und Regelungen an diese Leitlinien angleichen. Informationen zur Sicherheitslage des Unternehmens oder der Institution beschaffen und analysieren, z.B. mit IT-Security-Audits. Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.

Herausforderungen

IT-Compliance steht im Zusammenhang mit IT-Governance. IT-Governance zielt darauf ab, Unternehmenswert zu schaffen und die IT-Risiken zu minimieren. Das Gesetz verlangt darüberhinaus "Ordnungsmässigkeit" und "Transparenz". Die Kunden und Partner wünschen sich "Sicherheit" und "Qualität" bei den IT-Services.

Beispiele für von aussen kommende Restriktionen

Handelsgesetze, Datenschutz, Telekommunikationsgesetz, KonTraG, MaRisk, Basel II, Sarbanes Oxley Act (SOX, SOA) in der je nach Land gültigen Variante.

Sicherheitsrichtlinien

Die von aussen kommenden Restriktionen und die eigenen Vorstellungen müssen in einem initialen Schritt auf interne Richtlinien abgebildet werden, z.B. "Datenschutzgesetz" auf "Datenschutzrichtlinie". Die internen Richtlinien müssen so beschaffen sein, dass sie die vorgegebenen externen Anforderungen "Ordnungsmässigkeit", "Qualität" und "Sicherheit" stets ausreichend erfüllen.

Sicherheitskonzeption

Ein Sicherheitskonzept legt aufgrund der zuvor festgestellten Gefährdungslage Massnahmen fest. Es bleibt ein Restrisiko, welches aber bekannt ist und vom Unternehmen der Institution getragen werden kann.

Regelungen und Anweisungen

Sicherheitskonzepte werden zu Richtlinien, wenn die Geschäftsleitung die Empfehlungen unterschreibt und zugleich vorschreibt, dass die Vorgaben des Konzepts (die Massnahmen) befolgt werden müssen. Die weitere Ausgestaltung erfolgt durch Regelungen und Weisungen, sowie technische Implementierung.

Unsere Leistungen

Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.

Der erste Schritt

Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.

Priorisierung

Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.

Kontinuierlicher Prozess

Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.

Verantwortung, Delegation, Kompetenz

Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.

Sensibilisierung und Awareness

Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden.

Beispiele

Die Geschäftsleitung bei der strategischen Ausrichtung von IT- Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten. Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren. Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten. Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen. Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Auf einer Kreisfläche sind die vier Phasen des IT-Compliance-Prozesses dargestellt: Ist-Aufnahme, Analyse, Priorisierung und Entscheidung. Danach beginnt die Sequenz erneut.
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)