NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG

Größe: px
Ab Seite anzeigen:

Download "NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG"

Transkript

1 NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG IT-Infrastruktur Compliance Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche Michael Kranawetter Chief Security Advisor Microsoft Deutschland GmbH

2

3

4 Dieses Dokument dient lediglich der Information. MICROSOFT ÜBERNIMMT KEINE HAFTUNG FÜR DIE IM DOKUMENT ENTHALTENEN INFORMATIONEN, UNGEACHTET OB EXPLIZIT, IMPLIZIT ODER VOM GESETZ VORGESCHRIEBEN. Microsoft ist unter Umständen im Besitz von Patenten, Patentanmeldungen, Warenzeichen, Copyrights oder sonstigem Anspruch auf geistiges Eigentum hinsichtlich der Inhalte des vorliegenden Dokuments. Außer im Fall einer ausdrücklichen Lizenzvereinbarung mit Microsoft berechtigt Sie die Bereitstellung des Dokuments nicht zur Nutzung dieser Patente, Warenzeichen, Copyrights oder sonstigen Ansprüche Microsoft Corporation. Alle Rechte vorbehalten Experton Group AG bezogen auf Experton Grafiken. Die Schlussfolgerungen über Ansichten von Entscheidern des deutschen Marktes basieren auf den Ergebnissen der Experton Group Umfrage und obliegen der Experton Group AG. Trotz der gewissenhaften und mit größter Sorgfalt ermittelten Informationen und Daten kann für deren Vollständigkeit und Richtigkeit keine Garantie übernommen werden. Alle Rechte am Inhalt dieser Umfrage liegen bei der Experton Group AG. Die Daten und Informationen bleiben aus Gründen des Datenschutzes Eigentum der Experton Group AG. Vervielfältigungen, auch auszugsweise, bedürfen des Quellenhinweises.

5

6

7 PROLOGUE PROLOGUE Werte Leserin, werter Leser, Februar 2009 immer wieder werde ich auch von Sicherheits-Entscheidern gefragt, wie mit dem Thema Compliance umgegangen werden soll. Diese Frage wirft jedoch bereits einige andere Fragen auf; Warum ist das Thema für einen Sicherheitsexperten relevant? Von welcher Compliance ist hier die Rede? Wie relevant ist das Thema überhaupt? Wie viel wird es kosten (cost of compliance)? Und die Frage, die zu Beginn über all diesen Fragen steht: Wie fange ich mit dem Thema an? Dabei existiert dazu sehr viel Literatur, doch meistens bietet sie keine Lösungswege, sondern bildet die bekannten Anforderungen nur unterschiedlich strukturiert ab. Als führender Anbieter von Softwarelösungen sehen wir uns über die Bereitstellung von Produkten hinaus jedoch auch verantwortlich, Sie bei der Umsetzung von IT-Compliance-Anforderungen zu unterstützen. Hierbei sehen wir vor allem drei Aspekte, die uns als Lösungsanbieter in die Lage versetzten Ihnen zu helfen. Zum einen basieren nahezu alle Geschäftsprozesse auf IT-Systemen, somit liegt es nahe die Wirksamkeit von internen Kontrollen durch elektronische Maßnahmen sicherzustellen, zum zweiten ist durch die Automatisierung - das elementare Ziel der EDV - gegeben, dass Maßnahmen beschleunigt, reproduzierbar und nachvollziehbar werden. Ergänzend kommt noch hinzu, dass Compliance so in die Handhabung von IT eingebaut wird, dass Anforderungen quasi am Arbeitsplatz ohne aktives Zutun angefordert und erfüllt werden, also compliancegerecht eingestellt und selbstgesteuert sind (compliance at the desk). Denn die relevanten Informationen liegen in den Systemen immanent und inhärent vor. Das vorliegende Dokument beschreibt also einen Ansatz, der wie das Pareto-Prinzip das Modell der Aufwandsverteilung in Betracht zieht. Behält man die elementaren Punkte im Blick und konzentriert sich auf deren Lösungen, so rückt das Ziel nämlich Konformität ein großes Stück näher. Fokussierung liegt hierbei auf Aspekten der IT-Infrastruktur Compliance, die naturgemäß sehr eng mit den Punkten Verfügbarkeit, Vertraulichkeit und Integrität zusammenhängt und so wird auch die Brücke zur Informationssicherheit geschlagen. Richtet sich das Dokument nun ausschließlich an Sicherheitsexperten? Ganz im Gegenteil: Am Ende soll eine fundierte Kommunikationsbasis zur gemeinsamen Verständigung stehen, die den Einstieg in das Thema Compliance von verschieden Ebenen und auf unterschiedliche Weise ermöglicht. So kann das Dokument von Geschäftsführern, Technischen Entscheidern und IT-Experten gelesen werden. Steigen Sie dort ein, wo Sie sich am wohlsten fühlen. Ihr

8 VORWORTE Rechtliche Anforderungen nehmen für Unternehmen in der jüngeren und jüngsten Vergangenheit einen zunehmenden Stellenwert ein. Auf nationaler, europäischer und internationaler Ebene ist es ein Anliegen des Gesetzgebers, verbindliche Standards für die Risikovorsorge in Unternehmen, für das Etablieren von unternehmensinternen Systemen zur Kontrolle dieser Risiken und für eine interne und externe Berichterstattung über die Wirksamkeit solcher Kontrollsysteme festzulegen. Prominente Beispiele sind sicherlich der Sarbanes Oxley Act (SOX) in den USA, der Basel II-Akkord der Europäischen Union, der sich an die Kreditinstitute wendet sowie das deutsche Bilanzrechtsmodernisierungsgesetz (BilMoG), mit dem die 8. EU-Richtlinie, die auch als Euro-SOX bezeichnet wird, umgesetzt wurde. Die Einhaltung dieser rechtlichen Anforderungen mit dem Begriff Compliance belegt ist für die Unternehmen eine zunehmende Herausforderung. DR. CHRISTOPH CAPELLARO Im Zusammenhang mit Compliance hat die IT einen hohen Stellenwert im Unternehmen. Die mittlerweile in den Unternehmen erreichte enge Integration der IT in die wesentlichen Geschäftsprozesse gestattet es z. B. Workflows so zu gestalten, dass Kontrollaufgaben wie etwa Genehmigungsverfahren automatisiert ablaufen können. Weiter ermöglicht es die IT, relevante Daten über einzelne Geschäftsvorfälle automatisiert zu erfassen und aufzubereiten, womit den geforderten Veröffentlichungspflichten Genüge geleistet werden kann. Dass mit dieser Automatisierung hohe Einsparpotentiale genutzt werden können, zeigen nicht zuletzt die Erfahrungen aus SOX. Die dort geforderten Tests der Kontrollen, wie z. B. hinsichtlich der Einhaltung von Vorgaben zum Change Management, erfolgten anfangs mit hohem Aufwand manuell und werden mittlerweile nicht selten durch geeignete Berechtigungsvergaben, systemseitig erzwungene Workflows und automatisierte Reports in effizienter Weise realisiert. Schließlich unterliegt die Informationsverarbeitung zunehmend selbst gesetzlichen und regulatorischen Anforderungen. Der Datenschutz oder auch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), mit denen u. a. der elektronische Zugriff von Steuerbehörden auf digitale Daten geregelt wird, seien an dieser Stelle als Beispiele genannt. Die Entwicklung, die die IT in den Unternehmen damit in den letzten Dekaden durchgemacht hat, ist konsequent, nichtsdestoweniger aber bemerkenswert. In den Anfangszeiten war die IT-Abteilung im Unternehmen weitestgehend selbstorganisiert. Die IT musste funktionieren, wie die IT-Abteilung dies bewerkstelligte, blieb ihr überlassen. Die zunehmende Verzahnung zwischen IT und Business führte dann zur Einführung des Service-Gedankens. Die IT-Abteilung mutierte zum internen (dann später auch externen) Dienstleister. Damit einher gingen die Definition von IT-Services und die Einführung von IT-Prozessen. Mit der Einbeziehung in das regulatorische Umfeld hat die IT eine Reifeprüfung abgelegt. Sie ist als etablierter Bestandteil des Unternehmens ebenso der Gesetzgebung unterworfen wie etwa die Buchhaltung oder das Personalwesen. Die Auseinandersetzung mit dem regulatorischen Umfeld ist für die IT Herausforderung aber auch Chance. Wegen der engen Verzahnung mit den Geschäftsprozessen bietet sich die IT-gestützte Automatisierung von internen Kontrollen geradezu an. Der IT-Einsatz im Unternehmen erhält so einen neuen Stellenwert. Die IT wird zum Enabler für die Compliance und die IT-Abteilung wandelt sich vom Dienstleister für die anderen Unternehmensbereiche zu einem Kernbereich des Unternehmens, der gegenüber regulatorischen Anforderungen und internen wie externen Prüfern im selben Maß unterworfen ist, wie etwa die Buchhaltung oder das Personalwesen. Im Hinblick auf diese besondere Rolle der IT bei der Erfüllung regulatorischer Anforderungen wünsche ich interessante und neue Einsichten bei der Lektüre des vorliegenden Dokuments. Dr. Christoph Capellaro ist seit 1999 im Münchner Büro von Ernst & Young beschäftigt. Er verantwortet dort innerhalb der Technology & Security Risk Services die Dienstleistungen zur IT-Security für die Länder Deutschland, Österreich und Schweiz. Der Fokus dieser Dienstleistungen liegt in der Prüfung und Beratung rund um den sicheren Einsatz der IT, wobei besonderer Wert darauf gelegt wird, rechtliche, betriebswirtschaftliche und technische Aspekte gleichermaßen zu berücksichtigen. Hierzu betreut Hr. Capellaro Mandanten aus der Privatwirtschaft und dem öffentlichen Bereich, für die IT-Sicherheit einen hohen Stellenwert hat,

9 VORWORTE da sie z.b. im internationalen Umfeld agieren, kritische Datenverarbeitungsprozesse verantworten, mit sensiblen Informationen arbeiten oder strengen regulatorischen Auflagen unterliegen. Hr. Capellaro ist Certified Information Security Manager (CISM), zertifizierter WebTrust-Auditor, Grundschutz-Auditor, Inhaber des ITIL Foundation Certificate und Datenschutzberater. Aus seiner mittlerweile knapp 20-jährigen Beschäftigung mit dem Thema IT-Sicherheit resultieren mehrere Patente, zahlreiche Beiträge zu Konferenzen, Fachzeitschriften und zu drei Fachbüchern. Dem vorliegenden Dokument gelingt es in hervorragender Weise aufzuzeigen, welchen Nutzen IT-Compliance für ein Unternehmen entfalten kann. Hierzu übersetzen die AutorInnen die geschäftsorientierten Ziele des Schutzes, der Verfügbarkeit, der Nachvollziehbarkeit, der Transparenz und der Sorgfalt in korrelierende Aktionsbereiche (Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflichten). Vor allem die weitere Verbindung dieser fünf Bereiche mit einem Reifegradmodell erweist sich für die Praxis als höchst handlungsrelevant, da sich der Weg der kontinuierlichen Verbesserung durch die Systematik der Darstellung quasi von selbst offenbart. Auch die integrative Sicht in Bezug auf die Bereiche Risiko-, Incident-, Problem-, Configuration- und Change-Management ist geeignet, IT-Compliance aus ihrem derzeit noch vorherrschenden Nischendasein zu erlösen. Hierdurch bieten die Ausführungen allen für die Informationsverarbeitung eines Unternehmens Verantwortlichen eine außerordentlich hilfreiche Orientierung. Prof. Dr. Michael Klotz, geboren 1960 in Berlin; Studium der Betriebswirtschaftslehre an der TU Berlin, Abschluss als Diplom-Kaufmann; nach dem Studium selbständiger EDV-Berater, dann wissenschaftlicher Mitarbeiter mit Lehrauftrag an der TU Berlin; Promotion zum Dr. rer. oec; über zehn Jahre verschiedene Tätigkeiten in IT-Beratungs- und -Vertriebsfirmen als Management-Berater, Projektmanager und Geschäftsführer; von 2005 bis 2007 Forschungsmanagement und transfer im Bereich mobiler Telekommunikationsdienste an der TU Berlin; ab 1998 an der FH Stralsund, seit 1999 als Professor für Informationsmanagement, Unternehmensorganisation und Datenverarbeitung; seit 2008 Leiter des Stralsund Information Management Team (SIMAT); seit 2009 stellvertretender Leiter des Institut für regenerative Energiesysteme (IRES); Tätigkeiten als Beirat, Referent, Berater und Gutachter; zahlreiche Veröffentlichungen zu Informationsmanagement, IT-Governance und IT-Compliance; Regionalverantwortlicher der gfo Gesellschaft für Organisation e.v.; Wissenschaftlicher Beirat der ISACA; Mitherausgeber der seit 2007 erscheinenden Zeitschrift IT-Governance. PROF. DR. MICHAEL KLOTZ

10 VORWORTE DR. JYN SCHULTZE- MELLING LL.M. Auf den Punkt gebracht bedeutet Compliance schlicht das Einhalten der einschlägigen rechtlichen und regulatorische Ge- und Verbote. Diese Darstellung verschleiert jedoch die enorme Komplexität dieses Unterfangens, der sich Unternehmen heutzutage bei der Bewältigung dieses Themas vor allem im Zusammenhang mit dem Einsatz ihrer IT ausgesetzt sehen. Das beginnt schon mit der Frage nach den im Einzelfall einschlägigen Rechtsgrundlagen, denn nur wer weiß, was von ihm konkret erwartet wird, kann diese Erwartungen auch erfüllen. Was so einfach klingt, ist oft schon das erste Hauptproblem in der Praxis: die korrekte Identifikation der tatsächlich einschlägigen gesetzlichen und regulatorischen Anforderungen an das Unternehmen ist hochkomplex und erfordert neben der nötigen Branchenkenntnis ebensoviel juristischen wie technischen Sachverstand. Die Materie wird dabei umso komplizierter, je weiter der Betrachtungsrahmen gezogen wird. Compliance zeichnet sich schon in einem rein europäischen Geschäftsumfeld nicht durch besondere Übersichtlichkeit aus. Kommen im Einzelfall weitere Jurisdiktionen wie die USA oder die aufstrebenden Staaten Mittel- und Osteuropas hinzu, steigt die Gefahr, den Überblick zu verlieren, enorm. Dies wiederum kann nicht nur zu erheblichen finanziellen Konsequenzen und geschäftlichen Nachteilen für das Unternehmen führen, sondern unter Umständen sogar seine Vorstände und Geschäftsführer in strafrechtliche Schwierigkeiten bringen. Die komplette Identifikation der gegebenen Anforderungen führt jedoch häufig zu der Erkenntnis, dass der ihrer vollständigen Umsetzung erforderliche Aufwand in einem krassen Missverhältnis zu den dafür vorgesehenen oder verfügbaren Ressourcen steht. Zudem widersprechen sich sogar manche Complianceanforderungen an die IT inhaltlich oder bereiten zumindest in technischer Hinsicht massive Umsetzungsprobleme. In diesen Fällen ist ein professionelles IT-Compliance- und Risikomanagement gefragt, das die gesetzlichen und regulatorischen Anforderungen an das Unternehmen nicht nur identifiziert, sondern diese dabei hinsichtlich ihrer konkreten rechtlichen und praktischen Bedeutung bewertet. Bei der Priorisierung der entsprechenden technischen und organisatorischen Maßnahmen spielen dann die möglichen rechtlichen und praktischen Schadenspotentiale eine ebenso entscheidende Rolle, wie die vielfältigen Vorteile und Chancen, die eine professionell ausgerichtete und konsequent umgesetzte IT-Compliancestrategie mit sich bringt. Wer dann schließlich nicht nur weiß, was von ihm tatsächlich verlangt wird und was ihm das konkret bringt, sondern auch, was ihm im Falle des Falles droht, tut sich erfahrungsgemäß wesentlich leichter, die nächsten Schritte zu planen und seine IT rechtskonform und revisionssicher aufzusetzen. Den ersten und zugleich den schwierigsten Schritt hat jedoch derjenige schon getan, der sich des Themas ernsthaft annimmt. Die Ihnen vorliegende Ausarbeitung bietet dafür eine sehr gute Grundlage und ich wünsche Ihnen viel Erfolg bei der Lektüre und eine glückliche Hand bei der strategischen Planung Ihrer IT-Compliancestrukturen. Dr. Jyn Schultze-Melling LL.M. ist Spezialist für IT-Compliance im Münchner Büro der internationalen Wirtschaftskanzlei Nörr Stiefenhofer Lutz und betreut in diesem Zusammenhang die öffentliche Hand, Großunternehmen und Konzerne in allen Fragen des IT-, Datenschutz- und Datensicherheitsrechts. Besonderer Schwerpunkt seiner Arbeit ist dabei die strategische Erarbeitung von IT-Compliancemodellen für global agierende Unternehmen. Er referiert und publiziert zudem regelmäßig in Fach- und Branchenmagazinen über IT-Compliancefragen und anderen Themen des IT-Rechts. Darüber hinaus engagiert er sich als Rechtsvorstand beim Kompetenzzentrum für Sicherheit (KoSiB e.g.), ist Dozent für den Fachanwaltslehrgang für IT-Recht bei der Deutschen Anwaltakademie (DAA) und Lehrbeauftragter der Universität Passau und zudem aktives Mitglied in verschiedenen Vereinen und Verbänden, insbesondere bei der Deutschen Gesellschaft für Recht und Informatik (DGRI), der Arbeitsgruppe IT-Recht des Deutschen Anwaltsvereins (DAVIT), der Gesellschaft für Informatik (GI) sowie der International Association of Privacy Professionals (IAPP).

11 KAPITEL 2 KAPITEL 1 INHALTSVERZEICHNIS EXECUTIVE SUMMARY COMPLIANCE IM JAHR UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT! SPIELREGELN EINHALTEN? MACHEN SIE DAS BESTE DRAUS! WORAUF SOLL MAN SICH KONZENTRIEREN? KERNBEREICHE! UND NUN DIE LÖSUNG QUO ESQUE QUO VADIS? COMPLIANCE, DIE UMSETZUNG AUTOREN COMPLIANCE-RELEVANTE IT-INFRASTRUKTUR-LÖSUNGEN IT-GLOSSAR KAPITEL wenden sich an alle Interessierten. Sie geben einen Überblick zum Status quo zu Compliance in Deutschland und zeigen den Zusammenhang zwischen Governance, Risk Management und Compliance (GRC) auf. KAPITEL 3 Dieses Kapitel richtet sich primär an die Geschäftsführung. Hier werden die gemeinsamen Ziele aus regulatorischen und geschäftlichen Anforderungen herauskristallisiert, zusammengeführt und detailliert erörtert. KAPITEL 4 Das Kapitel richtet sich an technische Entscheider. Hier geht es um die Beschreibung von fünf Kernbereichen zur Compliance-Umsetzung. KAPITEL 5 Dieses Kapitel adressiert in erster Linie IT-Experten, aber auch interessierte technische Entscheider. Kapitel 5 beschreibt im Detail die konkrete Umsetzung regulatorischer Anforderungen mittels IT-Maßnahmen. KAPITEL 5 KAPITEL 4 KAPITEL 3 KAPITEL 6 In Kapitel 6 wird das IT-Compliance Infrastruktur Reifegradmodell erklärt. Mithilfe dieser Darstellung kann sich jede Zielgruppe leicht selbst einschätzen und einen Handlungsplan für eine adäquate Weiterentwicklung erstellen. Anhand eines Beispiels wird dies zudem plausibel und exemplarisch dargestellt. KAPITEL 6

12

13 KAPITEL 1 EXECUTIVE SUMMARY 1. COMPLIANCE IM JAHR 2009

14

15 KAPITEL 1 EXECUTIVE SUMMARY Compliance als Treiber für eine dynamische IT Infrastruktur Der Handlungsbedarf bei der Umsetzung von Compliance-Anforderungen wächst unaufhaltsam. Eine von Microsoft bei der Experton Group in Auftrag gegebene Umfrage in deutschen Unternehmen ergab, dass fast 40 Prozent der Befragten genau mit diesem Bereich nur mäßig zufrieden sind. Das Ergebnis zeigt auch, dass die Unzufriedenheit bei den IT-Entscheidern tendenziell größer ist als bei Geschäftsentscheidern. Offensichtlich sieht die IT deutlicher einen Bedarf für Compliance- Maßnahmen als die Geschäftsführung. Das führt zu der Frage, welchen Nutzen und Gewinn Compliance-Lösungen auch für Geschäftsentscheider bergen. Die Antwort steckt in der Lösung der Frage: Wenn Regularien ohnehin umgesetzt werden müssen, wie kann auch Nutzen zur Geschäftsoptimierung aus dieser Umsetzung gezogen werden? Um genau diesen Punkt diskutieren zu können, müssen alle Beteiligten eine gemeinsame Sprache und ein gemeinsames Verständnis aufbauen. Erst wenn jede Partei weiß, welche Aspekte es zu berücksichtigen gilt und wie Pflicht und Kür einander bedingen, kann sich das Muss in ein Plus verwandeln. 15 IT INFRASTRUKTUR COMPLIANCE- MODELL Welche Schritte müssen unternommen werden, um dieses Ziel zu erzielen? Zur Vereinfachung haben wir ein IT-Infrastruktur Compliance Modell entwickelt, das es bisher in dieser Form noch nicht gab. Es reduziert die Bedenken, sich mit einem derart komplexen Thema zu befassen, und trägt zu einem besseren Verständnis von Compliance bei. In diesem Kontext ist zunächst die Erkenntnis wichtig, dass regulatorische und geschäftliche Anforderungen - mit Blick auf Informationenfünf gemeinsame Ziele verfolgen: Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt. Diese Ziele basieren auf gesetzlichen und regulatorischen Grundwerten, die es zu verstehen gilt. Denn sie liegen in der einen oder anderen Form den meisten Regelungen zugrunde. Lediglich die Ausprägung unterscheidet sich von Land zu Land und von Regelung zu Regelung. Dabei stehen regulatorische und geschäftliche Anforderungen nicht zwingend im Widerspruch zueinander. Im Gegenteil: Beide lassen sich auf gemeinsame Zielsetzungen und Intentionen zurückführen. Unternehmen können regulatorische Vorgaben als Ausgangspunkt nutzen, um Synergieeffekte zwischen den vorgegebenen Pflichten und den eigenen Zielsetzungen zu realisieren.

16 KAPITEL 1 16 Die IT kann die geschäftlichen und regulatorischen Vorgaben und Ziele leichter über folgende fünf Kernbereiche erfüllen: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Das sind die gemeinsamen Themenfelder, die sich aus den gesetzlichen und betriebswirtschaftlichen Anforderungen herauskristallisieren. Ein Unternehmen, das in diesen Kernbereichen gut aufgestellt ist, kann auch künftige Compliance-Anforderungen besser umsetzen. Wer sich also auf die fünf genannten Bereiche konzentriert, nutzt Compliance auch als Treiber für eine dynamische IT-Infrastruktur. Außerdem werden für geschäftliche Anforderungen zusätzlich Nutzenpotenziale geschöpft, darunter die Kalkulierbarkeit und Reduzierung von Geschäfts- und IT-Risiken, die Vermeidung von Betrugsfällen, mehr Effizienz und Transparenz durch die Automatisierung und Optimierung von Prozessen, die erhöhte Reputation des Unternehmens insgesamt und letztlich auch die Optimierung von Investition in Schutzmaßnahmen. Die theoretische Auseinandersetzung hilft, das Verständnis für die Problematik zu entwickeln, jedoch müssen konkrete Schritte für die Umsetzung abhängig von der bestehenden Ist- Situation unternommen werden. Wie erkennt ein Unternehmen überhaupt seinen aktuellen Compliance-Zustand und das angestrebte Ziel? Unser IT-Infrastruktur Compliance Reifegradmodell holt Ihr Unternehmen dort ab, wo es momentan steht. Es hilft Ihnen bei der Einordnung in einen Reifegrad und bei der Festlegung von Maßnahmen, um eine höhere Compliance- Reife und eine dynamischere IT-Infrastruktur zu erlangen. Das Modell zeigt auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen optimieren lässt. Diese wurden von internationalen und etablierten IT-Standards abgeleitet. In der Regel lässt sich hier erkennen, dass die Umsetzung oftmals auf Basis bereits vorhandener Infrastruktur durchgeführt werden kann. Die Abbildung eines Gesamtreifegrads erleichtert dem Unternehmen die eigene Standortbestimmung und seine aktuelle Risikosituation darzustellen und kommunizieren zu können. Sie macht transparent, welcher Status gegeben ist und wie ein übergreifendes Zusammenspiel der Beteiligten zur Verbesserung beitragen kann. Das vorgestellte Modell zeigt einfache Schritte, um sich der Thematik Compliance anzunähern und eine gemeinsame Kommunikationsebene zu schaffen. Dabei ist klar, dass ein vereinfachtes Modell keinen Anspruch auf Vollständigkeit erhebt. Jedoch wird das Modell helfen, eine Grundlage für das Verständnis der Compliance und deren Beitrag zur Geschäftsoptimierung zu schaffen. Naturgemäß muss bei einer vertieften Betrachtung auf die jeweilige individuelle Situation des Unternehmens eingegangen werden. Ist die Basis jedoch geschaffen, so ist der Weg für die Feinabstimmung geebnet.

17 1. COMPLIANCE IM JAHR 2009 Status quo bei deutschen Unternehmen und Herausforderungen für Business- und IT-Entscheider KAPITEL 1 Der Hype um Compliance ist im Jahr 2009 auf Anwenderseite allmählich einer nüchternen Diskussion gewichen. Während die deutschen Unternehmen einige Regelungen mehr oder weniger konsequent befolgen, werden andere nur beobachtet oder gar geflissentlich ignoriert. Nichtsdestoweniger nimmt die Anzahl zu beachtender Regelungen zu. Sie reichen von compliancerelevanten Gesetzen im engeren Sinne über Standards, Referenzmodelle und branchenspezifische Vorgaben bis hin zu firmeninternen Richtlinien. Global tätige Unternehmen müssen sich zudem mit länderspezifischen Regelungen auseinandersetzen, die selbst innerhalb der Europäischen Union nicht immer harmonisiert sind. gesamtwirtschaftlicher Sicht und der Perspektive einzelner Unternehmen durchaus sinnvoll erscheinen. Außerdem bezieht das Rating der Banken bei der Kreditvergabe auch IT-Betriebsrisiken beim Kunden mit ein, was potenziell günstigere Kreditkonditionen für IT-seitig solide aufgestellte Unternehmen zur Folge hat. Ein seriöses Rating erfordert einen aufwendigen IT- und Prozess-Audit. Darum ist Basel II weitgehend von der Agenda deutscher Unternehmen außerhalb der Finanzbranche verschwunden. In der Praxis prüfen Unternehmen eher über Checklisten. Die bloße Existenz eines Virenscanners sagt beispielsweise aber nur wenig über den Sicherheitsstatus einer Firma aus. 17 Eine von Microsoft beauftragte Umfrage der Experton Group bei deutschen IT- und Geschäftsentscheidern in Unternehmen mit mindestens Mitarbeitern zeigt, dass momentan in Unternehmen vor allem das Bundesdatenschutzgesetz beziehungsweise die Regelungen der einzelnen Bundesländer umgesetzt werden, gefolgt von verschiedenen Gesetzen aus dem Wirtschaftsrecht sowie firmeninternen oder rechtlich nicht verbindlichen Standards wie der Norm ISO und dem BSI IT-Grundschutz. Basel II stellt spezifizierte Anforderungen an das Management operativer Risiken, die aus Deutsche Unternehmen stehen beim Umsetzen solcher Regularien in der Tat vor erheblichen Herausforderungen. Die Umfrage der Experton Group belegt nur eine mäßige Zufriedenheit der Anwender mit der Umsetzung von Compliance-Anforderungen im Unternehmen. Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden (siehe Abbildung 1). Dabei sind IT-Entscheider tendenziell unzufriedener mit der Umsetzung von Regularien in ihrem Bereich als die Geschäftsführung. Speziell im IT-Bereich herrscht demnach ein deutlicher Optimierungs- und Handlungsbedarf. Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden mit der Compliance-Umsetzung im Unternehmen. Der Handlungsbedarf liegt auf der Hand: vorhandene Infrastrukturen und Prozesse müssen mit den Anforderungen aus Regularien in Einklang gebracht werden aber wie? Die Kapitel 4 und 5 geben konkrete Empfehlungen und machen die Thematik greifbar.

18 KAPITEL 1 18 Abbildung 1 Experton Group Umfrage: Zufriedenheit mit der Umsetzung von Complianceanforderungen Beim Umsetzen von Regularien treten oft Schwierigkeiten auf. IT- und Business-Entscheider bemängeln beispielsweise regelmäßig, dass sich der Nutzen der Umsetzung nur schwer abbilden und messen lasse. Knapp die Hälfte der von Experton Group befragten Unternehmen hält diesen Punkt für ein großes oder sogar sehr großes Hindernis. Reine Drohszenarien im Sinne von Strafen und Sanktionen greifen zu kurz, wenn das einzelne Unternehmen tatsächlich nur mit geringen Sanktionen von externer Seite zu rechnen hat. Bedeutet Compliance darum lediglich ein notwendiges Übel? Diese Überlegung widerlegen die Synergieeffekte mit generellen, auch ohne Compliance anstehenden Aufgaben im Umfeld von Unternehmenssteuerung und Informationstechnologie. Dazu zählen beispielsweise: Das Kalkulieren und Reduzieren von Geschäfts- und IT-Risiken, das Vermeiden von Betrugsfällen, mehr Effizienz und Transparenz durch die Automatisierung und Optimierung von Prozessen und letztlich die Reputation des Unternehmens insgesamt. Es gilt also, das Nutzenpotenzial beim Erfüllen regulatorischer Vorgaben künftig besser auszuschöpfen. Ein entscheidendes Ziel ist es dabei, das Spannungsfeld zwischen Unternehmensund IT-Steuerung, Risikomanagement und regulatorischen Anforderungen aufzulösen.

19 KAPITEL 1 Die Einhaltung regulatorischer Anforderungen wird oft ausschließlich als Zwang empfunden. Dabei bietet sie auch Chancen. Wenn Unternehmen über den Tellerrand schauen, profitieren sie zugleich von Geschäftsoptimierungsmöglichkeiten. 19 Alle Entscheidungsebenen müssen ein gemeinsames Verständnis für Compliance entwickeln. Insbesondere der kontinuierliche Informationsfluss auf Basis nachvollziehbarer Kenngrößen zwischen Geschäftsentscheidern (Vorstand, Compliance-Verantwortliche, Fachabteilung) auf der einen und IT-Entscheidern auf der anderen Seite ist ein Muss. Das erfordert eine Kommunikationsebene, die es allen Beteiligten ermöglicht, die Thematik aus verschiedenen Blickwinkeln zu betrachten und mögliche Lösungswege aufzuzeigen. Abbildung 2: Entwicklung der Ausgaben für die Automatisierung und Überwachung von Compliance-Vorgaben

20 KAPITEL 1 20 Gleichzeitig rechnen Entscheider im IT-Bereich und mehr noch die Befragten aus der Geschäftsführung 2009 überwiegend mit steigenden oder zumindest konstanten Ausgaben für die Automatisierung und Überwachung von Compliance-Vorgaben (siehe Abbildung 2). Auch hier zeigt sich wieder die Verantwortung der IT. Die Investitionen stammen bei etwa der Hälfte der Befragten aus dem IT-Budget. Nur wenige wollen die Ausgaben aus einem dedizierten Compliance-Budget bestreiten. Der Rest finanziert diese Summen aus den Geschäftsbereichen. Wenn man diese unternehmensweiten Aktivitäten über einen gesamtheitlichen Ansatz für Governance, Risk Management und Compliance (GRC) bündelt und koordiniert und so gemeinsam Interessen identifiziert und analysiert gelangt man zu einer optimalen Lösung. Dieses Dokument bietet nicht nur einen komprimierten Überblick zur Thematik, sondern hilft auch bei der Suche nach einer gemeinsamen Kommunikationsebene und einem einfachen Annäherungsmodell.

21

22

23 KAPITEL 2 UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT!

24 2. UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT! Die Rolle von Governance, Risk Management und Compliance (GRC) KAPITEL 2 Das Einhalten von Regelungen (Compliance im weiten Sinn) ist keine isolierte Maßnahme, sondern fällt in den größeren Zusammenhang von Governance, Risk Management und Compliance. GRC bildet die strategische Klammer für verschiedenste Aufgaben, die die Lücke zwischen Unternehmensstrategie und -ziel einerseits und dem operativen Tagesgeschäft auf der anderen Seite schließt. GRC ist keine Technologie, sondern ein Ansatz und Prozess, um Synergien zwischen Geschäftszielen und Regularien zu realisieren. Über Technologien lassen sich einige Aspekte von GRC automatisieren und umsetzen. Viele Unternehmen setzen im Bereich der Informationstechnologie heute bereits einzelne, passende Komponenten ein, die für GRC genutzt werden können. 24 Typischerweise ist es im ersten Schritt nicht notwendig, die IT- Infrastruktur komplett neu zu gestalten. Es lassen sich vielmehr bereits bestehende Komponenten nutzen. Diese müssen nur identifiziert und gegebenenfalls miteinander verbunden werden. GRC ÜBERBLICK Abbildung 3: Überblick zu Governance, Risk Management & Compliance

NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG

NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG IT-Infrastruktur Compliance Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche Michael Kranawetter Chief Security

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

plain it Sie wirken mit

plain it Sie wirken mit Sie wirken mit Was heisst "strategiewirksame IT"? Während früher die Erhöhung der Verarbeitungseffizienz im Vordergrund stand, müssen IT-Investitionen heute einen messbaren Beitrag an den Unternehmenserfolg

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN -

INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - Autor: Gerald Siebel, StB/vBP/CIA Kanzlei Siebel, Essen INTERNE REVISION - AKTUELLE ENTWICKLUNGEN - A. Einleitung I. Auch gemeinnützige Einrichtungen unterliegen einem zunehmend schnelleren Wandel der

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Virtual Roundtable: Business Intelligence - Trends

Virtual Roundtable: Business Intelligence - Trends Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Andreas Seufert Organisation: Institut für Business Intelligence

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Asset Management Strategie. Inhalt. White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55

Asset Management Strategie. Inhalt. White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55 White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55 Kevin Price, Senior Product Manager, Infor EAM, beleuchtet, inwiefern die Spezifikation

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Hinweise: Das Führen und Managen eines Unternehmens war, ist und bleibt eine hoch komplexe Aufgabe. Zur Darstellung der Komplexität eignet sich am

Hinweise: Das Führen und Managen eines Unternehmens war, ist und bleibt eine hoch komplexe Aufgabe. Zur Darstellung der Komplexität eignet sich am Das Führen und Managen eines Unternehmens war, ist und bleibt eine hoch komplexe Aufgabe. Zur Darstellung der Komplexität eignet sich am besten der Jongleur. Auch das Jonglieren ist eine sehr komplexe

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

über die complimant ag Die Beraterprofis it Compliance

über die complimant ag Die Beraterprofis it Compliance lso/lec 27001 über die complimant ag Die Beraterprofis it Compliance Spielregeln ISMS-Gestaltung IT-Risikoanalyse IT-Notfallkonzept Datenschutz IT-Systemprüfung durch den Wirtschaftsprüfer Digitale Betriebsprüfung

Mehr

DatCon IT-Solutions & BusinessART

DatCon IT-Solutions & BusinessART DatCon IT-Solutions & BusinessART Ingenieurbüro für Datenschutz IT-Unternehmensberatung IT-Lösungen Jeder wünscht sich einen sicheren Umgang mit Daten! Zu meiner Person Wer bin ich? Seit 1 993 bin ich

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

BASWARE Compliance Services Compliance Readyness beim einvoicing

BASWARE Compliance Services Compliance Readyness beim einvoicing A Basware Presentation BASWARE Compliance Services Compliance Readyness beim einvoicing Alexander Dörner compliance@basware.com 20.10.2011 Agenda Bereiche & Leistungen der BASWARE Compliance Services Verfahrensdokumentation

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter Rechtsvorschriften im Bereich Datenschutz und Privatsphäre Auswirkungen auf Unternehmen und Verbraucher Podiumsdiskussion 1 Wie sich der Ansatz in Bezug auf die Privatsphäre entwickelt: die Visionen der

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth Vortrag Systembasiertes Risiko-Controlling für den Mittelstand Dr. Klaus Blättchen Geschäftsführer syscon Copyright - syscon Unternehmensberatung GmbH syscon

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

Agile Unternehmen durch Business Rules

Agile Unternehmen durch Business Rules Xpert.press Agile Unternehmen durch Business Rules Der Business Rules Ansatz Bearbeitet von Markus Schacher, Patrick Grässle 1. Auflage 2006. Buch. xiv, 340 S. Hardcover ISBN 978 3 540 25676 2 Format (B

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

CA Clarity PPM. Übersicht. Nutzen. agility made possible

CA Clarity PPM. Übersicht. Nutzen. agility made possible PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

_Case Study Fraud-Quick-Check für eine renommierte Privatbank

_Case Study Fraud-Quick-Check für eine renommierte Privatbank _Case Study für eine renommierte Privatbank Verdeckte Gefahrenpotenziale und verschärfte regulatorische Vorgaben erfordern effektive Präventionsmaßnahmen gegen Betrugsdelikte Severn Consultancy GmbH, Hansa

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Qualitäts- Management- Handbuch. DIN EN ISO 9001:2008 QMH Revision 2 vom: 11.10.2011

Qualitäts- Management- Handbuch. DIN EN ISO 9001:2008 QMH Revision 2 vom: 11.10.2011 2011 Qualitäts- Management- Handbuch DIN EN ISO 9001:2008 QMH Revision 2 vom: 11.10.2011 Inhalt 1. Inkraftsetzung... 2 2. Verpflichtungserklärung, Geltungsbereich und Ausschuss... 3 3. Firmengeschichte...

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting.

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. www.risima.de Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. Als Unternehmensberatung sollte man seinen Kunden kennen, seine Stärken und Schwächen unter Einsatz von bewährten Methoden und

Mehr

Compliance-Management

Compliance-Management Julia Stehmann Compliance-Management in mittelständischen Unternehmen Eine Analyse aus der ressourcenorientierten Sichtweise Diplomica Verlag Julia Stehmann Compliance-Management in mittelständischen Unternehmen:

Mehr

Datenschutz Online. Datenschutz Online

Datenschutz Online. Datenschutz Online Datenschutz Online IT-Unternehmen sollten die Richtlinien des Bundesdatenschutzgesetzes kennen und diese bei Ihren Kunden anwenden. Falls zusätzlich die Aufgabe eines internen oder externen Datenschutzbeauftragten

Mehr

Erklärung zur Unternehmensführung gemäß 289a HGB

Erklärung zur Unternehmensführung gemäß 289a HGB Erklärung zur Unternehmensführung gemäß 289a HGB Entsprechenserklärung Vorstand und Aufsichtsrat der InTiCa Systems AG erklären gemäß 161 AktG: Die Gesellschaft hat in den abgelaufenen Geschäftsjahren

Mehr

IT-Controlling für die Praxis

IT-Controlling für die Praxis Martin Kütz IT-Controlling für die Praxis Konzeption und Methoden 2., überarbeitete und erweiterte Auflage Martin Kütz kuetz.martin@tesycon.de Lektorat: Christa Preisendanz & Vanessa Wittmer Copy-Editing:

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

digital business solution E-Mail-Management

digital business solution E-Mail-Management digital business solution E-Mail-Management 1 E-Mail-Management von d.velop ist weit mehr als nur die Archivierung elektronischer Post. Geschäftsrelevante Nachrichten und Anhänge werden inhaltlich ausgelesen

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Cloud Integration & Security Chancen für innovative IT-Services.

Cloud Integration & Security Chancen für innovative IT-Services. Agenda IBM Vortrag 1 IBM Vortrag 2 GTO Anmeldung/Kontakt Cloud Integration & Security Chancen für innovative IT-Services. Willkommen beim IBM Club of Excellence! Dienstag, 12. Mai 2015 Hotel La Villa Starnberger

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr