Bedeutung von Compliance u. Riskmanagement für Unternehmen Michael Junk IT-Security & Compliance Manager MJunk@novell.com Zertifiziert bei T.I.S.P / ITIL / CISA / ISO
Compliance 2
Es geht also wieder mal nur ums Recht? 3
Es geht also wieder mal nur ums Recht? 4
Rollen innerhalb des Unternehmen und dessen Normen 5
Rollen innerhalb des Unternehmen und dessen Normen 6
Die beiden Seiten der Compliance 7
These 8
Begründung der These Compliance relevante Rechtsnormen haben die Aufgabe, die Wertvorstellung der Gesellschaft zu erhalten und nicht zu diesen Wertvorstellungen passende Ereignisse zu verhindern. Dies soll durch Transparenz, Treuepflichten und Kontrollen gewährleistet werden. Compliance-Objekte sind deshalb (zumindest) die Geschäftsprozesse und die Mitarbeiter eines Unternehmens. Wesentlicher Bestandteil der Transparenz von Geschäftsprozessen sind Informationen und Wissen. Information und Wissen bilden heute die Basis für den Erfolg eines Unternehmens. Risiko und Chance sind 2 Seiten derselben Medaille. Ergo kann den rechtlichen Regelungen auch entnommen werden, wie Formal- und Sachziele erreicht werden können 9
Risk Management Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegtes der Geschäftsführung bezwiehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen. Risiko-Management bezieht sich jedoch nicht nur auf die Bewertung von Compliance-Anforderungen, sondern vielmehr auf den planvollen Umgang mit allen Risiken, die ein Unternehmen betreffen. 10
Risk Management- eine wichtige Ergänzung Würde man alle nur denkbaren und eine spezifische Situation betreffenden Compliance-Anforderungen im Unternehmen vollständig umsetzen und durch technische Systemeunterstützen wollen, käme die Geschäftstätigkeit zum Erliegen. Risiko-Management ist daher eine wichtige Ergänzung von Corporate Governance und Compliance. Auch für das Risikomanagement gibt es vermehrt Normen und Standards, die vereinheitlichte Bewertungs- und Vorgehensmodelle bieten sollen, beispielsweise die ISO-Norm 14971. Das Risikomanagement liefert sozusagen die Messlatte für den Aufwand, der für Governance- und Compliance-Management in einemunternehmen betrieben werden kann. 11
Handlungsoptionen für Unternehmen CHECK ACT DO PLAN PLAN 12
Handlungsoptionen für Unternehmen ACT PLAN CHECK DO 13
Die Einteilung der Architekturebene und der Ausrichtung der Standards 14
Novell-Modellarchitektur und deren Schutzkategorien 15
Benötigte Novell-Produkte Novell Identity Manager (IDM) Role Based Provisioning Modul Novell Privileged User Management (PUM) Open Enterprise Server 2 (OES) auf Suse Linux Novell edirectory Novell Sentinel Novell Storage Manager Clientseitige Verschlüsselung mit Directory- und Gruppenunterstützung 16
Handlungsoptionen für Unternehmen PLAN DO ACT CHECK 17
Handlungsoptionen für Unternehmen DO CHECK PLAN ACT 18
Handlungsoptionen für Unternehmen 19
Fragen?
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.