Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Größe: px

Ab Seite anzeigen:

Download "Risikooptimierung durch Einhaltung von Standards und Zertifizierung"

Frauke Thomas
vor 8 Jahren
Abrufe

1 Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe

2 Übersicht 1.ICT-Konzept 2.Bedeutung und Funktion von Standards 3.Inhalt und Tragweite einzelner Standards (BS 7799, ISO 17799, ITIL, COBIT, Basel II) 4.Rechtliche Wirkung der Einhaltung von Standards Weber 2

3 ICT-Konzept Zielformulierungen Implementierung Compliance - Entwicklung - Sicherheit - Regulierungstreue - Programmverwaltung - Ressourceneinsatz - Schulung - Überwachung - Bestandessicherung - Berichterstattung - Katastrophenplanung - Dokumentation - Nachbesserung Weber 3

Ressourceneinsatz - Schulung - Überwachung - Bestandessicherung -

4 Technische Best Practices Aggregation vorhandener Informationen Einheitlicher Zugang zu Datensammlungen Zugang zu Source Code Integration der Interface-Stellen mit Dritten Firewall, Intrusion Detection Monitoring und Erfolgsmessung Adäquates Compliance-System Weber 4

Integration der Interface-Stellen mit Dritten Firewall, Intrusion

5 Funktionserfordernisse Sicherstellen der Datensicherheit Datenerfassung und Datensammlung Flexibel gestaltete Bauelemente Abstimmung und Plausibilitätsprüfung Report und Datenanalyse Compliance Weber 5

Flexibel gestaltete Bauelemente Abstimmung und

6 Soft Law Charakteristiken von Standards Selbstregulierung Involviertheit der Branchenverbände Weber 6

7 Mobilisierung von Fachwissen Flexibilität Stärken der Selbstregulierung Zeiteffizienz Internationalität Faktische Bindungswirkungen Weber 7

8 Schwächen der Selbstregulierung Fehlende demokratische Legitimation Beschränkte Breitenwirkung Beschränkte Transparenz Durchsetzungsprobleme Beschränkter Rechtsschutz Weber 8

9 Überblick über Standards BS 7799 (Information Security Management System) ISO/IEC (Information Security Management) ITIL (Best Practice IT Service Management) CobiT Sektorspezifische Standards (z.b. Outsourcing, Basel II) Weber 9

Management) ITIL (Best Practice IT Service Management)

10 Qualitäts-Management als Grundlage ISO 9000 Inhalt Anwendungsbereich ISO 9001: 2000 Inhalt Anwendungsbereich Weber 10

11 BS 7799 Inhalt 2 Teile Sicherheitsziele/Sicherheitsmanagement Zertifizierung Grundlage für ISO/IEC (Zusammenarbeit) Weber 11

12 ISO/IEC (I) Sicherheitspolitik Sicherheitsorganisation Zertifizierung Personelle Sicherheit Physische Sicherheit Managementaufgaben Zugriffsüberwachung Systementwicklung Geschäftskontinuitätsplanung Einhaltung der Vorgaben Weber 12

Sicherheit Physische Sicherheit Managementaufgaben

13 ISO/IEC (II) Compliance Corporate Policy Gesetzgebung Datenschutz Urheberrecht Archivierung Zertifizierung (Prüfbericht) Weber 13

14 ITIL Entstehung und Bedeutung IT Service Management Service Support/Delivery CRAMM (z.b. Risikoanalyse, Gegenmassnahmen) Weber 14

15 COBIT Entstehung und Bedeutung Management Guidelines Detaillierte Kontrollziele Überwachung-Richtlinien (Audit) Zertifizierung als IT-Revisor Weber 15

16 Vergleich der Standards (I) ISO/IEC 17799: stark in Sicherheitszielen, weniger in Prozessabläufen ITIL: stark in IT-Prozessen, weniger in Sicherheit und Systementwicklung COBIT: stark in IT-Kontrollen (IT metrics), weniger in Sicherheit und Prozessabläufen Weber 16

IT-Prozessen, weniger in Sicherheit und Systementwicklung COBIT:

17 Vergleich der Standards (II) Keine Widersprüche und keine starken Überlappungen Beschränkte Anforderungen an persönliche Voraussetzungen / im Organisationsbereich Unternehmerische Grundfragen Höhe des Qualitätsniveaus Ausbalancierung verschiedener Standards Weber 17

Voraussetzungen / im Organisationsbereich Unternehmerische

18 Banken: Outsourcing Geschäftsbereich Wahl des Dienstleisters Verantwortung Sicherheit Geschäftsgeheimnis Kundenorientierung Revision/Aufsicht Auslagerung ins Ausland Vertragsgestaltung Weber 18

19 Banken: Basel II (I) Entstehung und Bedeutung 3 Säulen Zeithorizont Risiken (Kredit-, Markt-, operationelle Risiken) Überprüfung Risikoprofile Marktdisziplin/Transparenz Weber 19

20 Banken: Basel II (II) Operationelle Risiken Systeme und Verfahren Risikoanalyse, -steuerung, -kontrolle Pre-Rating, Bilanzschutz Vorsorge/Audit Verhältnis zu ISO/IEC Rückwirkung auf IT-Sicherheit in Unternehmen Weber 20

Pre-Rating, Bilanzschutz Vorsorge/Audit Verhältnis zu

21 Einhaltung von Standards - Verfahren - Bedeutung Zertifizierung Weber 21

22 Rechtswirkung von Standardeinhaltung/Zertifizierung Vertragsrecht Sorgfalt Gesellschaftsrecht Sorgfalt (Corporate Governance) Weber 22

23 Sorgfalt im Vertragsrecht Objektivierter Sorgfaltsmassstab Durchsnittsverhalten / Niveau Entschuldbarkeit von Fehlern Weber 23

24 Sorgfalt im Gesellschaftsrecht Objektivierter Sorgfaltsmassstab ICT-Konzept Corporate Governance (Vorgaben) Entschuldbarkeit von Fehlern Weber 24

Ähnliche Dokumente

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?