Home IT-Security Consulting

IT-Compliance mit IT-Security

Sicherheit ist mehr als die Summe der Einzelmassnahmen

IT-Compliance bezieht sich auf alle IT-basierten Geschäftsprozessen, deren IT-Objekte und das Verhalten der Mitarbeitenden in bestimmten Situationen. Das Management stellt bei der Erreichung der Geschäftsziele sicher, dass Gesetze und Normen vom Unternehmen eingehalten werden. Dazu gehört auch die Befolgung freiwilliger Richtlinien beim Einsatz von Informations- und Kommunikationstechnik (IKT).

Blick hoch zum blauen Himmel. Wolken spiegeln sich im Glas eines Hochhauses.

Bildquelle: pixabay.com

Was kann man tun?

  • IT-Compliance als Instrument der Steuerung und Kontrolle verstehen und etablieren.
  • Eine optimale IT-Sicherheitsorganisation aufsetzen und den Sicherheitsprozess initiieren oder optimieren.
  • Ein Sicherheitsleitbild vereinbaren, daraus abgestimmte Sicherheitsrichtlinien ableiten und Regelungen an diese Leitlinien angleichen.
  • Informationen zur Sicherheitslage des Unternehmens oder der Institution beschaffen und analysieren, z.B. mit IT-Security-Audits.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Herausforderungen

IT-Compliance steht im Zusammenhang mit IT-Governance. IT-Governance zielt darauf ab, Unternehmenswert zu schaffen und die IT-Risiken zu minimieren.Das Gesetz verlangt darüberhinaus "Ordnungsmässigkeit" und "Transparenz". Die Kunden und Partner wünschen sich "Sicherheit" und "Qualität" bei den IT-Services.

Beispiele für von aussen kommende Restriktionen

Handelsgesetze, Datenschutz, Telekommunikationsgesetz, KonTraG, MaRisk, Basel II, Sarbanes Oxley Act (SOX, SOA) in der je nach Land gültigen Variante.

Sicherheitsrichtlinien

Die von aussen kommenden Restriktionen und die eigenen Vorstellungen müssen in einem initialen Schritt auf interne Richtlinien abgebildet werden, z.B. "Datenschutzgesetz" auf "Datenschutzrichtlinie". Die internen Richtlinien müssen so beschaffen sein, dass sie die vorgegebenen externen Anforderungen "Ordnungsmässigkeit", "Qualität" und "Sicherheit" stets ausreichend erfüllen.

Sicherheitskonzeption

Ein Sicherheitskonzept legt aufgrund der zuvor festgestellten Gefährdungslage Massnahmen fest. Es bleibt ein Restrisiko, welches aber bekannt ist und vom Unternehmen oder der Institution getragen werden kann.

Regelungen und Anweisungen

Sicherheitskonzepte werden zu Richtlinien, wenn die Geschäftsleitung die Empfehlungen unterschreibt und zugleich vorschreibt, dass die Vorgaben des Konzepts (die Massnahmen) befolgt werden müssen. Die weitere Ausgestaltung erfolgt durch Regelungen und Weisungen, sowie technische Implementierung.

Unsere Leistungen

Wir beraten CIO ’s und das Management bei der organisatorischen Verankerung von IT-Compliance im Unternehmen. Wir unterstützen Ihr Fachpersonal mit  Sicherheits- und Risikoanalysen und geben Empfehlungen für Ihre Sicherheitskonzeption.

Der erste Schritt

Ein IT-Sicherheitsaudit. Aufnahme der Sicherheitstatbestände und Sicherheitsanalyse. Feststellung des aktuellen IT-Sicherheitsstatus und Bericht mit Handlungsempfehlungen an das Management.

Schaubild für IT-Compliance Prozess. Vier Phasen: Ist-Aufnahme von Daten und Informationen, Analyse, Priorisierung, Entscheidung.

Bildquelle: iSecure GmbH, Therwil, Schweiz

Priorisierung

Die Handlungsempfehlungen müssen priorisiert und dem Management zur Entscheidung vorgelegt werden. Die Entscheidungen des Managements sind der eigentliche Startschuss für IT-Compliance.

Kontinuierlicher Prozess

Compliance mündet in einen kontinuierlichen Prozess. Dieser Prozess muss in der Organisation fest etabliert werden. Der Prozess muss angemessen mit Ressourcen in Form von Personal, Zeit des Managements für die Sorgen und Nöte der Verantwortlichen, und Geld ausgestattet werden.

Verantwortung, Delegation, Kompetenz

Die Verantwortung für IT-Compliance liegt und bleibt bei der Geschäftsleitung, die Aufgaben können aber deligiert werden. Es ist Fachpersonal erforderlich. Die Buchführung wird man auch nur in Ausnahmefällen der Sekretärin anvertrauen.

Sensibilisierung und Awareness

Dem Fachpersonal muss Gelegenheit gegeben werden, sich fachlich weiterzubilden, um auf dem Stand der Technik und der gängigen Verfahren zu bleiben. Das übrige Personal muss mit Hilfe von Awareness Massnahmen für die Notwendigkeit der Sicherheit sensibilisiert werden.

Exemplarische Beispiele
  • Die Geschäftsleitung bei der strategischen Ausrichtung von IT-Compliance beraten und bei der Umsetzung für einen definierten Zeitraum nach Einführung begleiten.
  • Eine optimale IT-Sicherheitsorganisation etablieren und den Sicherheitsprozess initiieren oder optimieren.
  • Die Sicherheitsleitlinie entwickeln und die aus der Leitlinie abgeleitete Sicherheitsrichtlinien aufstellen oder bestehende Richtlinien an der Leitlinie ausrichten.
  • Die Sicherheitsverantwortlichen bei der Informationsbeschaffung und / oder -aufbereitung unterstützen, z.B. mit Audits und Risikoanalysen.
  • Führungskräfte und IT-Mitarbeitende schulen, Personal sensibilisieren, Awareness-Veranstaltungen organisieren.
Anfrage, Erstberatung, Termin vereinbaren
Mann mit Headset nimmt freundlich lächelnd Anrufe entgegen.

Bildquelle: Yan Kruko auf pexels.com

Haben Sie eine Frage zum Thema "IT-Compliance mit IT-Security" oder möchten Sie ein IT-Projekt starten und benötigen Sie Unterstützung?

Sprechen Sie gleich mit einem kompetenten Berater:

Telefon: +41 (0) 61 302 3031 (Vorwahl Schweiz)

Schreiben Sie uns eine E-Mail: info@isecure.ch

Teilen Sie uns bitte mit, wie und wann wir Sie erreichen können.

Für Ihre Anfrage gelten unsere Datenschutzrichtlinien.

Die Erstberatung ist kostenlos!