GRC-Modell für die IT Modul Datensicherung und -archivierung 1

Transkript

1 GRC-Modell für die IT Modul Datensicherung und -archivierung 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die Marke Global IT-Security ist eingetragen auf Bernd Peter Ludwig (Ebersbach an der Fils), Unternehmensberatung 1 Das GRC-Modell für die IT enthält 26 Basis-Module. 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 1

2 Inhaltsverzeichnis GRC-Modell für die IT Modul Datensicherung und -archivierung 1.1 Modul Datensicherung und -archivierung Modul Datensicherung und -archivierung (Anforderungskomplex) Modul Datensicherung und -archivierung (Modulumgebung) Modul Datensicherung und -archivierung (Masterprozess) 6 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 2

3 1.1 Modul Datensicherung und -archivierung Modul Datensicherung und -archivierung (Anforderungskomplex) Modul Datensicherung und -archivierung (Anforderungskomplex) GRC-relevanter Anforderungskatalog (wesentliche Aspekte): Durchführung von anforderungsgerechten Datensicherungen der Geschäftsdaten des Unternehmens. Archivierung aller archivierungspflichtigen Daten unter Wahrung der Archivierungsfristen. Ausfallsichere Hinterlegung der Sicherungs- und Archivierungsdaten des Unternehmens. Im IT-Umfeld werden regelmäßig Datensicherungen für die betriebs- und geschäftsrelevanten Daten vorgenommen. Für die Datensicherungen und die Archivierungen sind Verfahren und Verzeichnisse erstellt, die im Bedarfsfall eine anforderungsgerechte Verfügbarmachung der gesicherten und archivierten Daten zulassen. Insbesondere für die buchführungsrelevanten Daten sind dabei alle Archivierungsanforderungen (Nachweisbarkeit, Nachvollziehbarkeit, Zugriffsmöglichkeit, Unverfälschbarkeit, Fristwahrung) erfüllt. Die gesicherten und archivierten Daten sind notfallsicher hinterlegt (Zwei-Standorte-Prinzip), so dass diese Daten als Teil der Notfallvorsorge aufgefasst werden können. Zudem ist sichergestellt, dass Daten aus neuen Geschäfts- und IT-Prozessen (etwa durch Geschäfts-/Systemänderungen bedingt) im Rahmen der Datensicherungen und Archivierungen zeitnah berücksichtigt werden. Die IT- Systeme und -Prozesse zur Durchführung der Datensicherungen und Archivierungen sind insgesamt effektiv, effizient und sicher. Die IT-Abläufe zur Datensicherung und -archivierung werden überwacht (IT-Monitoring) und kontrolliert, so dass fehlerfreie und vollständige Sicherungen und Archivierungen gewährleistet sind. Auslagerungen der Sicherungs- und Archivierungsdaten (zweiter Standort) erfolgen sofort im Anschluss an die erfolgreichen Sicherungs- und Archivierungsprozesse. Für die Sicherungs- und die Archivierungsdaten ist an allen Standorten der Datenhinterlegung der Datenschutz eingehalten. GRC-relevante Schwerpunkte Governance Risk Management Compliance Betroffene IT-Aufgabenbereiche 1 Formaler, organisatorischer Rahmen, Infrastruktur 2 IT-Planung und Realisation 3 IT-Service (IT-Performance) 4 Aufwand-Kosten-Nutzen-Relation (Wertschöpfung) 5 Kontrolle, Sicherheit, Datenschutz und Risikohandhabung Hinweise Die Durchführung von Datensicherungen und Archivierungen ist ein wichtiger Anforderungsaspekt des IT-relevanten GRC- Komplexes und elementar im Hinblick auf die Unternehmensvorsorge. Insbesondere für die buchführungsrelevanten Daten besteht eine explizite Sicherungs- und Archivierungsverpflichtung (s.a. GoBS und GDPdU). 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 3

4 1.1.2 Modul Datensicherung und -archivierung (Modulumgebung) Modul Datensicherung und -archivierung (Modulumgebung) Mögliche Skalierungen Betroffene Ressourcen S min S bp (Best Practice) S max Anwendungen Informationen Infrastruktur Personal Anwendbare Grundlagen (Rahmenwerke, Normen, Standards, Richtlinien) AS9100 IDW PS 880 AS9110 IIR-Revisionsgrundsätze Balanced Scorecard ISO BS ISO 9000 ff. CC (ITSEC, TCSEC) ISO/IEC CMMI -DEV ISO/IEC ff. COBIT 5 th Edition ISO/IEC COSO ISO/TS COSO ERM ITIL Du-Pont-Schema MaRisk EFQM PMBOK (PMI) Enterprise Architecture PRINCE2 EuroSOX RoSI GDPdU SAS 70 Type II GoBS Security Baseline Grundschutzkatalog des BSI TickIT IDW PS 260 TOGAF IDW PS 321 [Ggf. weitere Grundlagen...] IDW PS 330 IDW PS 331 Wirksamkeitsebenen Ebene(n) Strategisch Taktisch Operativ Anmerkungen Verantwortung, Zuständigkeiten Unternehmensleitung Fachbereich(e) Externe Steuerung Gestaltung/Umsetzung () Outsourcing Überwachung 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 4

5 Organisationsrelevanz Organisationsaspekt(e) Anmerkungen Aufbauorganisation Ablauforganisation Verfahrensumfeld zur Datensicherung und Datenarchivierung Anderer Organisationsaspekt Mitteleinsatz Schätzwert (PT, ) Anmerkungen Arbeitsaufwand - Wenig personalintensiv Kosten - Mittelhohe bis hohe Sachkosten (in Abhängigkeit von der jeweiligen Datensicherungs- und Archivierungsumgebung) Nutzenaspekte I Primäraspekt(e) Sekundäraspekt(e) Ordnungsmäßigkeit Compliancekonformität Sicherheit und Datenschutz Effektivität Produktivität Effizienz Wirtschaftlichkeit Flexibilität Integrität Nachvollziehbarkeit Prävention Qualität Transparenz Verfügbarkeit Verlässlichkeit Vertraulichkeit Nutzenaspekte II Einsparpotenzial(e) Schätzwert (PT, ) Anmerkungen (Einsparpotenzial(e) aufgrund Anforderungsumsetzung) Arbeitsaufwand Kosten - Einsparung von Kosten durch den Einsatz effizienter Datensicherungs- und Archivierungssysteme/-prozesse (Ressourcenaspekt) Präventivaspekt(e) Schätzwert (PT, ) Anmerkungen (Präventivaspekt(e) aufgrund Anforderungsumsetzung) Schaden Verlust - Vermeidung von materiellen Verlusten durch Datenverluste Ertrag - Vermeidung von Ertragseinbußen durch Datenverluste Reputation - Vermeidung von Reputationsbeeinträchtigungen durch Datenverluste 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 5

6 1.1.3 Modul Datensicherung und -archivierung (Masterprozess) Modul Datensicherung und -archivierung (Masterprozess) Prozessschritte GRC-relevante Prozessinhalte/-Aktivitäten 1 Erhebung, Identifikation 1 Erhebung der Datensicherungs- und Archivierungsvoraussetzungen (Daten-/Systemumgebung) 2 Erhebung der Datensicherungspotenziale (Geschäfts-/IT-relevante Daten) 3 Erhebung der Archivierungspotenziale (Geschäfts-/IT-relevante Daten) 4 Erhebung des Verfahrensumfelds zur Datensicherung und Archivierung 5 Identifikation von Sicherungs- und Archivierungsdefiziten 6 Identifikation von Verfahrensmängeln 2 Analyse 3 Bewertung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Analyse der allg. Voraussetzungen zur Datensicherung und Datenarchivierung 2 Analyse der Verfahren zur Datensicherung und Datenarchivierung 3 Analyse der Verfügbarkeit (Zugriff, Notfallvorsorge) der gesicherten und archivierten Daten 4 Zusammenfassung der festgestellten Gesamtsituation (Voraussetzungen, Verfahren, Verfügbarkeit) der Datensicherung und Datenarchivierung 1 Bewertung der allg. Voraussetzungen zur Datensicherung und Datenarchivierung 2 Bewertung der Verfahren zur Datensicherung und Datenarchivierung 3 Bewertung der Erfüllung der Verfügbarkeitserfordernisse (gesicherte/archivierte Daten) 4 Reporting der Bewertungsergebnisse (Stati, Verbesserungsvorschläge, Empfehlungen) 5 In Abhängigkeit von den Bewertungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 4 Definition, Konzeption 1 Konzeption einer anforderungsgerechten Datensicherungs- und Archivierungsumgebung (Kriterien: Ordnungsmäßigkeit, Sicherheit/Verfügbarkeit/Notfallvorsorge, Datenschutz, Wirtschaftlichkeit) 2 Definition von Datensicherungsverfahren 3 Definition von Datenarchivierungsverfahren 5 Planung 6 Entscheidung, Zielsetzung [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung einer anforderungsgerechten Datensicherungs- und Datenarchivierungsumgebung 2 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung von Verfahren zur Datensicherung 3 Erstellen einer Planung (Inhalte, Termin, Budget) zur Umsetzung von Verfahren zur Datenarchivierung 1 Entscheidung über die Schaffung einer anforderungsgerechten Datensicherungs- bzw. Datenarchivierungsumgebung 2 Entscheidung über den Einsatz von Verfahren zur Datensicherung 3 Entscheidung über den Einsatz von Verfahren zur Datenarchivierung 4 In Abhängigkeit von den Entscheidungen/Zielsetzungen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 7 Information, Kommunikation 1 Information/Kommunikation der Entscheidung zur Schaffung einer anforderungsgerechten Datensicherungs- und Datenarchivierungsumgebung 2 Information/Kommunikation der Entscheidung zur Umsetzung von Verfahren zur Datensicherung 3 Information/Kommunikation der Entscheidung zur Umsetzung von Verfahren zur Datenarchivierung 8 Integration, Umsetzung 1 Integration einer anforderungsgerechten Datensicherungs- bzw. Datenarchivierungsumgebung 2 Umsetzung von anforderungsgerechten Datensicherungsverfahren 3 Umsetzung von anforderungsgerechten Datenarchivierungsverfahren 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 6

7 Modul Datensicherung und -archivierung (Masterprozess) Prozessschritte GRC-relevante Prozessinhalte/-Aktivitäten 9 Dokumentation, Archivierung 1 Dokumentation der Datensicherungsverfahren 2 Dokumentation der Datenarchivierungsverfahren 10 Überwachung (Prüfung, Kontrolle) [BREAKPOINT: Ende, Fortsetzung oder Teilausführung, ggf. REVIEW] 1 Überwachung der generellen Anforderungsgerechtigkeit der Datensicherungs- und Datenarchivierungsumgebung 2 Überwachung der Datensicherungsprozesse 3 Überwachung der Datenarchivierungsprozesse 4 In Abhängigkeit von den Überwachungsergebnissen: Ende oder Fortsetzung der Prozessfolge (ggf. in Teilausführung) 11 Korrektur, Anpassung 1 Anpassung der Datensicherungs- und Datenarchivierungsumgebung an veränderte Rahmenbedingungen (Unternehmen, IT) 2 Korrektur/Anpassung von Datensicherungsprozessen an Geschäfts-/Systemänderungen 3 Korrektur/Anpassung von Datenarchivierungsprozessen an Geschäfts/Systemänderungen 12 Nachkontrolle, [Genehmigung] 1 Kontrolle der Anpassung der Datensicherungs- und Datenarchivierungsumgebung (Ordnungsmäßigkeit, Sicherheit, Wirtschaftlichkeit) 2 Kontrolle der Korrekturen/Anpassungen von Datensicherungsprozessen 3 Kontrolle der Korrekturen/Anpassungen von Datenarchivierungsprozessen 4 Reporting über die durchgeführten Anpassungen und Korrekturen (Nachvollziehbarkeit) 5 Genehmigung von Korrekturen und Verfahrensänderungen 22. März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 7

8 Kontaktdaten (Unternehmensberatung Bernd Peter Ludwig) Die vorstehenden Seiten zeigen nur einen kleinen Teilbereich des GRC-Umfelds und des GRC-Modells für die IT auf. Eingehende Beratungsleistungen dazu werden erbracht durch: Unternehmensberatung Bernd Peter Ludwig Lindenstr. 66 D Ebersbach Geschäftszeiten Mo Fr Uhr Telefon/Fax oder Home März 2012 Version 1.1 (Modul Datensicherung und -archivierung) 8