Planung und Umsetzung von IT-Compliance in Unternehmen

Ähnliche Dokumente
Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Soziale Netze (Web 2.0)

Gelangensbestätigung? Wie Sie die Vorschriften am einfachsten erfüllen können!

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Herzlich Willkommen. Handeln statt abwarten, aber wie? Wie beginne ich ein DMS Projekt. Hans Lemke. Agenda das digitale Dokument März 2015

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Wir empfehlen Ihnen eine zeitnahe Bewerbung, da in jedem Halbjahr nur eine limitierte Anzahl an Bündnissen bewilligt werden können.

Was meinen die Leute eigentlich mit: Grexit?


ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

RUNDE TISCHE /World Cafe. Themen

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Mit Key-Accounts Erfolg gestalten

Der Schutz von Patientendaten

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Produktbeschreibung utilitas Ticketsystem

Einführung von DMS in 5 Schritten

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Gesetzliche Aufbewahrungspflicht für s

GPP Projekte gemeinsam zum Erfolg führen

Dokumentenlenkung - Pflicht oder Kür-

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Code of Conduct (CoC)

Ausgewählte Rechtsfragen der IT-Security

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Selbsttest Prozessmanagement

Senioren helfen Junioren

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Informationssicherheitsmanagement

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

Thema: Microsoft Project online Welche Version benötigen Sie?

Damit auch Sie den richtigen Weg nehmen können die 8 wichtigsten Punkte, die Sie bei der Beantragung Ihrer Krankenversicherung beachten sollten:

FUTURE NETWORK REQUIREMENTS ENGINEERING

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Die Mittelstandsoffensive erklärt IT

Risikomanagement IT-vernetzter Medizinprodukte

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe Klaus Dolch

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

ecommerce als Projekt im Mittelstand: Tut Beratung Not? Bereiche, Formen, Auswahl!

Mitarbeiterbefragung als PE- und OE-Instrument

Neu als stellvertretendes Vorstandsmitglied/Verhinderungsvertreter

Die perfekte Bewerbung richtig schreiben online & klassisch

Wir organisieren Ihre Sicherheit

Karriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft

-Lab Stuttgart, 29. Januar 2013»Lean & Change Management«

Vorgestellt von Hans-Dieter Stubben

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

- Making HCM a Business Priority

Workshop. Die Wolken lichten sich. Cloud Computing"-Lösungen rechtssicher realisieren

Denken und Träumen - Selbstreflexion zum Jahreswechsel

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Herzlich willkommen! SIEVERS-SNC - IT mit Zukunft.

Alterskonferenz Biel vom 6. Dezember Katharina Frischknecht, lic.phil. / MAS Gerontologie Koordinatorin Altersplanung Abteilung Alter

Bacher Integrated Management

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Das Leitbild vom Verein WIR

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Das Rechtliche beim Risikomanagement

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Tutorial/FAQ für die Benutzung der Webseite

Adventskalender Gewinnspiel

IT-SUPPORT: STÖRUNGSFREI ARBEITEN. 0,14 /Min. dt. Festnetz. Mobilfunk 0,42 /Min.

Senioren ans Netz. schreiben kurze Texte. Lektion 9 in Themen aktuell 2, nach Übung 7

1. Einführung. 2. Weitere Konten anlegen

10.15 Frühstückspause

Stapelverarbeitung Teil 1

Qualifikationsbereich: Application Engineering Zeit:

Das Rechtliche beim Risikomanagement

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Microsoft Update Windows Update

Checkliste zur qualitativen Nutzenbewertung

1. In welchen Prozess soll LPA eingeführt werden und warum? (Auslöser und Prozess)

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

DGN Deutsches Gesundheitsnetz Service GmbH

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

1. Management Summary. 2. Grundlagen ERP. 3. ERP für die Produktion. 4. ERP für den Handel. 5. EPR für Dienstleistung. 6.

Kundenbefragung als Vehikel zur Optimierung des Customer Service Feedback des Kunden nutzen zur Verbesserung der eigenen Prozesse

Einladung zur Frühjahrstagung des Netzwerk Compliance e.v.

Inhalt. Kundenbindung langfristig Erfolge sichern 5 Kundenbindung als Teil Ihrer Unternehmensstrategie 6 Was Kundenorientierung wirklich bedeutet 11

Begeisterung und Leidenschaft im Vertrieb machen erfolgreich. Kurzdarstellung des Dienstleistungsangebots

Transkript:

Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen.

Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen bei der Planung und Umsetzung in den Bereichen gesetzliche Anforderungen, IT- Compliance und Information Management. Praktische Projekterfahrung in verschiedenen Branchen, wie z.b. Banken/Versicherungen, Medizintechnik/Pharma, Maschinenbau, Handel etc. Unabhängiger Berater und Lösungsarchitekt für die Bereiche Information Management, Dokumentenmanagement und elektronische Archivierung.

Was umfasst IT-Compliance? Wir können hier nur einen kleinen Einblick wagen! Zu IT-Compliance gehören u.a. die folgenden Bereiche: Nationale Regelungen zu IT-Organisation, Datenschutz, IT-Betrieb, gesetzliche Vorgaben (BDSG, GDPdU, GoBS Telekommunikationsgesetz, sowie Lizenz-Compliance) Branchenbezogene Vorschriften und gesetzliche Vorgaben (z.b. ProdHaftG) Vorgaben/Empfehlungen des BSI (z.b. Grünbuch, ITSEC, Common Criteria) ISO Standards und Normen, z.b. ISO19600

Wozu dient IT-Compliance? Einschätzung und Reduzierung/Unterbindung von Unternehmensrisiken (strategisch und operationell). Erzielung von Vorteilen bei der Unternehmensbewertung (Basel II) und eine höhere IT-Sicherheit. IT-mäßige Einhaltung von gesetzlichen Grundlagen und Vorschriften, z.b. in Form eines Dokumentenmanagement- oder Archivsystems. Wenn sie gut umgesetzt wird, dient IT-Compliance außerdem zudem der Verbesserung von Unternehmensabläufen und Prozessdokumentation.

Wer braucht IT-Compliance? Unternehmen mit persönlich haftendem Geschäftsführer (also mindestens alle AGs und GmbHs) Alle Unternehmen, die an der US-Börse gelistet sind (SOX Compliance) oder Geschäftsverbindungen zu einem börsennotierten US-Unternehmen unterhalten. Alle Unternehmen, die sich im regulierten Umfeld (z.b. FDA) bewegen oder mit Unternehmen aus dem regulierten Umfeld Geschäfte machen. Unternehmen, die ihren Kapitalbedarf am geregelten Kapitalmarkt decken (Basel II).

Wie sieht die Umsetzung aus? Organisatorische Umsetzung: Dokumentation der vorhandenen IT-Ressourcen (z.b. Adminzugänge, RZ-Zugangskontrolle, aber auch Rollen und Rechte der Softwarenutzer) Analyse der datenführenden IT-Systeme, die mutmaßlich compliancerelevante Daten enthalten (z.b. CRM, ERP, FiBu etc.) Analyse, Bewertung und Dokumentation der relevanten Unternehmensressourcen und assets (Hardware, Software, IT-Infrastruktur, Netzwerke) Etablierung eines Compliance Officers, der für eine langfristige Einhaltung der Vorgaben sorgt.

Wie sieht die Umsetzung aus? Systemische Umsetzung: Es sind geeignete Systeme zu etablieren, in denen die compliancebedürftigen Daten rechtssicher abgelegt bzw. archiviert werden können (Archivsysteme). Diese Systeme müssen über erforderliche Schnittstellen verfügen, um Behörden den Datenzugriff auf strukturierte Daten bei einer Außenprüfung zu ermöglichen (z.b. DART, IDEA) Für unstrukturierte Daten (z.b. Emails) müssen für Audits entsprechende Recherchemöglichkeiten gegeben sein.

Wie sieht die Umsetzung aus? Systemische Umsetzung (Fortsetzung): Bei der Behandlung aller compliancerelevanten Unternehmensinformationen ist die 3W-Regel zu beachten: Wer hat Wann Was geändert. Im Zweifel besteht eine Nachweispflicht bzgl. der Entstehung und Nichtveränderung von Informationen bzw. der Protokollierung dieser Änderungen ( Audit Trail ).

Bewertung mittels Risikomatrix Praktisches Beispiel einer Risikomatrix aus einem meiner aktuellen Projekte. Bewertet werden Compliancerisiken nach Auswirkung und Eintrittswahrscheinlichkeit. Anhand einer Risikomatrix findet eine Bewerbung und Darstellung der Risiken statt. Es erfolgt eine Definition von passenden Mitigationsmaßnahmen.

Fakten zu ISO 19600 Der Standard wurde am 5. Dezember 2014 als international gültige ISO-Norm veröffentlicht. Die Norm soll Unternehmen und Organisationen dabei helfen, regelwidriges Verhalten von Führungskräften und Mitarbeitern zu vermeiden. Ermöglicht den Nachweis, dass sich alle Beteiligten regelkonform verhalten haben und die Verantwortlichen ihren Verpflichtungen in ausreichendem Maß nachgekommen sind. Bewertung der Effektivität der Compliance- Maßnahmen und der Kommunikation dazu sowie die laufende Prozessverbesserung.

Weitere Schritte zur Umsetzung Evaluierung der sinnvollen und notwenigen Compliance Rahmenbedingungen für Ihr Unternehmen. Planung von passenden Maßnahmen für Ihr Unternehmen in einer Compliance Agenda. Wirkungsvolle Umsetzung dieser Maßnahmen anhand von praxiserprobten Best Practices. Prüfung der Kosten und Nutzen von notwendigen oder sinnvollen Zertifizierungsmaßnahmen. Treffen von organisatorischen Maßnahmen zur nachhaltigen Absicherung von langfristigen IT- Compliance Standards.

Haben sie noch Fragen? Stephan M. Rossbach Projektleiter und Senior Berater Information Management IT CONSULTING Katernberger Str. 107 (Weltkulturerbe Zeche Zollverein) 45327 Essen mail: stephan@ web: http://www. Vielen Dank für Ihre Aufmerksamkeit!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback