Cloud Compliance Management Roadmap für die Versicherungsbranche

Transkript

1 Cloud Compliance Management Roadmap für die Versicherungsbranche Peter Heidkamp Neuss, 25. Juni

2 Was ist IT-Compliance? Einordnen der an die IT IT-Compliance bezeichnet einen Zustand, in dem alle für die IT des Unternehmens relevanten bzw. als relevant akzeptierten internen und externen Regelwerke nachweislich eingehalten werden. 1 Rechtliche und regulatorische Vorgaben Interne Vorgaben Verträge Optionale a. Rechtliche und regulatorische Vorgaben Rechtliche und regulatorische Vorgaben oder auf gesetzlicher Grundlage erlassene Vorschriften und rechtliche Auslegungen b. Verträge Allgemeine und service-spezifische Verträge c. Interne Vorgaben Unternehmenseigene Richtlinien, die dazu dienen, die Einhaltung anderer Vorgaben zu gewährleisten und gegenüber externen Interessengruppen zu dokumentieren d. Optionale Rahmenwerke, Normen und Standards, die sich in der Versicherungsbranche durchgesetzt haben und derzeit in der IT eine wichtige Rolle einnehmen 1 Prof. Dr. Michael Klotz 1

3 Beispielhafte Compliance- an die IT IT-spezifische Vorschriften BDSG 5 (Datengeheimnis): Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). MaRisk AT 7.2 (Technisch-organisatorische Ausstattung): Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme: Die Ordnungsmäßigkeit einer DVgestützten Buchführung ist grundsätzlich nach den gleichen Prinzipien zu beurteilen wie die einer manuellenbuchführung Nicht IT-spezifische Vorschriften (AktG): Regelt elektronische Übermittlung von Eintragungen und Dokumenten; Einsatz elektronischer Kommunikationsmittel für Durchführung der Hauptversammlung; Veröffentlichungen von Informationen zur Hauptversammlung auf der Internetseite Abgabenordnung (AO): Regelt Aufzeichnungs- und Aufbewahrungspflichten; Datenzugriff durch die Finanzbehörde (Basis für GDPdU) Strafgesetzbuch (StGB): Beinhaltet zahlreiche IT-spezifische Tatbestände, die Daten und IT-Systeme schützen sollen, z.b. Ausspähen, Abfangen Nationale Vorschriften Internationale Vorschriften Externe Rahmenwerke Normen und Standards Compliance MaRisk (VA) BDSG StGB AktG HGB AO, GoBS, GoBD VAG TKG SigG Sarbanes-Oxley Act (SOX) Solvency II FATCA COBIT 4.1 / 5 IDW RS FAIT 1-3 ITIL BSI Grundschutz ISO 27001/27002 ISO ISO Rahmenwerke, Normen und Standards COBIT Control Objectives for Information and Related Technology IT Governance and IT Management ISO 25010: Systems and software engineering Systems and software Quality Requirements and Evaluation (SQuaRE) ISO 27001: Information security management systems ISO 27002: Code of practice for information security controls ISO 27005: Information security risk management BSI IT-Grundschutz: Die Basis für Informationssicherheit Gesetze anderer Staaten Foreign Account Tax Compliance Act (FATCA): Herausforderungen hinsichtlich Datenschutzes (wg. zustimmungspflichtiger Weitergabe personenbezogener Daten) und Datenmanagement (bspw. Identifikation des betroffenen Personenkreises und damit verbundene Berechnungen und Berichtspflichten) Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act (USA PATRIOT Act): Herausforderungen hinsichtlich Datenschutz (FBI-Zugang zu Daten aller Art bei Internet-Providern oder Cloud-Anbietern in den USA) 2

4 Compliance: Sand im Cloud-Getriebe? 3

5 Compliance-Steuerung von Service-Providern Die Compliance-Steuerung von Serviceprovidern kann durch konkrete Maßnahmen in fünf Bereichen erfolgreich realisiert werden. Beispielhafte Service- Vertrag SLA Implementierung durch: Governance- Struktur Einsicht-und Prüfrechte Managementprozesse Risikomanagement Kontrollen Informationssicherheit Datenschutz Integrationsfähigkeit Verfügbarkeit Skalierbarkeit Verbrauchsabhängige Abrechnung 4

6 IT-Compliance aktiv und effizient managen Kontrolle der Nachhaltigkeit Identifikation der Verbesserung der bestehenden Prozesse IT - Compliance Management Messung des Erfüllungsgrades der Anforderung Zuständigkeiten Compliance IT Operations Analyse der Abweichungen 5

7 Im Verantwortungsbereich von Microsoft Im Verantwortungsbereich des Versicherungsunternehmens Cloud-Compliance-Komponenten Beispiel Microsoft O365 Compliance-Audit Rechtliche und regulatorische Vorgaben Verträge Einführungsbegleitendes Compliance Management Office 365 ist eine Cloud-basierte Lösung von Microsoft und rückt immer mehr in den Fokus von Unternehmen aus den unterschiedlichen Branchen. Um O365 erfolgreich und nachhaltig am Markt zu etablieren, ist ein an die Bedürfnisse von Microsoft und des potenziellen Kunden angepasstes und modular aufgebautes Compliance-Vorgehen sinnvoll. Interne Vorgaben Optionale O365 Compliance Readiness Report Qualitätssichernde Begleitung der Umsetzung Analyse der Compliance- Um die Cloud-Lösung O365 entsprechend der gesetzlichen im Unternehmen zu implementieren, sollte spezifische erhoben und ein Compliance Management eingeführt werden. Ziel des Projektes kann eine abschließende Prüfung und Zertifizierung der Umsetzung im individuellen Kundenumfeld sein. 6

8 Compliance-Roadmap in die Cloud Beispiel Microsoft O365 Ziel: O365 Full Compliance in Clients Enterprise Start: O365 Compliance Readiness Report General & Specific Sector Cloud Compliance Strategie Organisation für die Cloud Providersteuerung Risikoprofil aus der Strategie Konzeption und Implementierung der Compliance Management Prozesse Phase II Versicherer Cloud Compliance Readiness Check Phase I Cloud Betreiber 7

9 Peter Heidkamp Partner, Consulting CISA, SO/IEC Lead Auditor 2014 KPMG AG Wirtschaftsprüfungsgesellschaft, a subsidiary of KPMG Europe LLP and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. KPMG member firms have acquired the business and subsidiaries of advisory firm EquaTerra, Inc. EquaTerra and the EquaTerra logo refers to the Shared Service & Outsourcing Centre of Competence within KPMG. The KPMG name, and logo are registered trademarks or trademarks of KPMG International Cooperative ( KPMG International ). Tel Mobile pheidkamp@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft, a subsidiary of KPMG Europe LLP

10 Peter Heidkamp arbeitet seit 2002 für KPMG und berät als Partner unsere Kunden zu Prozess- und IT- Fragestellungen. Im Fokus seiner Projekte stehen die aktuellen Herausforde-rungen der Versicherungsbranche. Zu den Kernthemen von Peter Heidkamp zählen IT Steuerung und -Organisation, IT Compliance, Digitalisierung und Data Analytics sowie Enter-prise Architecture Management.