(IT) Compliance/(IT) Governance

Ist es wirklich nötig, ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheits­aufwendungen im Bereich der digitalen Infrastruktur zu animieren?

Die Bundesregierung hat, durch das Bundesministerium des Inneren, einen der elementaren Bausteine ihrer „Digitalen Agenda“, vorgestellt am 20.08.2014, am 19.08.2014 als Referentenentwurf  veröffentlicht – das „IT-Sicherheitsgesetz“ (Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)).

Dokumentation der Geschäftsprozesse, um interne, aufsichtsrechtliche bzw. gesetzliche Vorgaben zu erfüllen: Mehrwertverbundene Tätigkeit oder lästige Pflichtaufgabe?

Die Meinungen gehen oft auseinander und die Frage ist in Einzelfällen nicht einfach zu beantworten. Die Dokumentation der Aufbau- und Ablauforganisation ist grundsätzlich mit einem Mehrwert verbunden und sollte immer aktuell vorhanden sein. Sie kann jedoch das Ziel verfehlen, wenn in einem Unternehmen ein „Dokumentationswahn“ ohne strukturiertes Vorgehen herrscht und der Durchblick verloren geht bzw. die notwendigen Kapazitäten nicht vorhanden sind, um die Anforderungen umzusetzen. Die Begleiterscheinungen sind dann oft die folgenden:

• fehlende Aktualisierung in einem sich schnell wandelnden Umfeld
• Organisationen erstellen ohne klare Vorgaben Dokumentationen mit unterschiedlicher Struktur und Umfang
• fehlende Ordnung und Transparenz, da in den Dokumenten nicht auf Schnittstellenpapiere verwiesen wird
• zentrale, wesentliche Punkte verlieren sich in langen und umfangreichen Ausführungen
• Mitarbeiter werden von der Vielzahl an Dokumenten „erschlagen“, da eine zielgruppengerechte Verteilung nicht stattfindet
• fehlende Abgrenzungen zwischen Papieren führen dazu, dass Themen doppelt aufgegriffen werden und mit unterschiedlichen Ständen oder widersprüchlich vorliegen
• Dokumente können nicht aufgefunden werden bzw. die aktuelle Version ist nicht eindeutig erkennbar

Die Grundlage für die Vermeidung der eben aufgeführten Punkte bildet ein effektives Rahmenwerk für Dokumentenerstellung und -verwaltung (Richtlinienmanagement), welches in einfacher Ausprägung Nachfolgendes berücksichtigt:

Cloud Computing ist ein wachsendes Geschäftsfeld, welches die klassischen Strukturen und bestehenden Geschäftsmodelle in der IT nachhaltig verändern wird. Herausforderungen stellen insbesondere die Themen Finanzplanung (für Anbieter) und Governance (für Endkunden) dar.

Der nachfolgende Beitrag soll die beiden Prüfungs- bzw. Berichtsstandards nicht im Detail untersuchen und analysieren, sondern dem Leser einen Überblick verschaffen, in welchem Kontext diese Begrifflichkeiten zu sehen sind und was sich dahinter verbirgt.

Im Zuge der immer stärkeren Fokussierung auf interne Kontrollsysteme stellt sich die Frage, wie die Prozesse und internen Kontrollen bei Shared-Service Centern oder Outsourcing-Dienstleistern geprüft und beurteilt werden sollen. Immer öfter stellt sich die Frage nach einer "Zertifizierung" nach PS 951, ISAE 3402 oder auch SSAE 16.

Die Internationale Organisation für Standardisierung (ISO) und die Internationale Electrontechnical Commission (IEC) haben den Standard "Information technology - Security techniques - Information security management systems - Requirements", bekannt auch als ISO-27001-Standard, überarbeitet und im Oktober 2013 in der finalen Version ISO 27001:2013, als Mitglied der ISO 2700x-Famile veröffentlicht, durch welche die Vorgängerversion ISO 27001:2005 abgelöst wird.

Die Frage, die sich stellt, ist, ob es sich hierbei um "alten Wein in neuen Schläuchen" handelt oder ob sich tatsächlich Veränderungen ergeben haben.

In diesem Beitrag werden Ihnen die Veränderungen an dem Standard, die mit der Überarbeitung des Standards ISO/ICE 27001:2005 einhergegangen sind, stichpunktartig aufgezeigt bzw. anhand von Grafiken und Tabellen entsprechend visualisiert.

Welche Ziele verfolgt ein Compliance Management System?

Ist das Compliance Management System tatsächlich sicher?

Welche Art der Wirksamkeitsprüfung des Compliance Management Systems (nicht zu verwechseln mit "Compliance-Audits" wird durchgeführt?

Diese und andere Fragen stellt eine aktuelle Studie, die Klaus-Dieter Krause, Partner der compliance-net GmbH, interpretiert und in einen Kontext rückt.

Das Dokument steht zum Download zur Verfügung und beinhaltet eine Reihe von Quellenangaben und weiterführende Links.