IKS

IKS-Internes Kontrollsystem

ISO27001: Nach dem Audit ist vor dem Audit

Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.

ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance

Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT.

Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance – Grundlagen, Regelwerke, Umsetzung“ auf der Homepage veröffentlicht.

Vorteile einer ISO/IEC 27001 Zertifizierung

PDCA CycleDie Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage.

Compliance Management - Eine Standortbestimmung

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

SSAE 18 ersetzt SSAE 16

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18

Hintergrund

Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.

Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.

EU-DSGVO: Das neue Datenschutzrecht – Wissenswertes zusammengefasst

DSGVO: Maßnahmen zur DatensicherheitDie neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Verglichen mit anderen Ländern wird sich in Deutschland nicht alles grundsätzlich ändern. Viele der datenschutzrechtlichen Konzepte und Grundsätze der EU-DSGVO sind ähnlich dem in Deutschland bisher geltenden Bundesdatenschutzgesetz (BDSG). 

KRITIS – was bedeutet das für uns?

KRITIS – Ist mein Unternehmen betroffen und was heißt das?

Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um

  1. einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen,
  2. schnell auf Probleme reagieren zu können,
  3. die Cyber-Sicherheitsstrategie des Bundes zu unterstützen und
  4. die NIS-Richtlinie zu erfüllen.

Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT in diesem Fall wird über das IT-Sicherheitsgesetz unter der Schirmherrschaft des BSI abgedeckt.

Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung

Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Das BSI empfiehlt, zumindest die nachfolgenden Punkte bei der Erstellung von SLAs zu berücksichtigen:

  • Ort der Leistungserbringung durch den Cloud-Anbieter

Der Standort, an dem die beauftragten Cloud-Services erbracht werden, muss vertraglich festgehalten werden. Dabei sind beispielsweise nationale Einschränkungen, Einschränkungen auf EU oder auf bestimmte Rechenzentren möglich.

  • An der Erbringung des Services beteiligte Subunternehmer oder andere Dritte

Werden Subunternehmer oder andere Dritte an der Leistungserbringung beteiligt, so ist dies vertraglich festzuhalten und bei Änderungen der Cloud-Anwender zu informieren.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance

Datenschutz

Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.

Seiten