Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen.
Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen bei der Planung und Umsetzung in den Bereichen gesetzliche Anforderungen, IT- Compliance und Information Management. Praktische Projekterfahrung in verschiedenen Branchen, wie z.b. Banken/Versicherungen, Medizintechnik/Pharma, Maschinenbau, Handel etc. Unabhängiger Berater und Lösungsarchitekt für die Bereiche Information Management, Dokumentenmanagement und elektronische Archivierung.
Was umfasst IT-Compliance? Wir können hier nur einen kleinen Einblick wagen! Zu IT-Compliance gehören u.a. die folgenden Bereiche: Nationale Regelungen zu IT-Organisation, Datenschutz, IT-Betrieb, gesetzliche Vorgaben (BDSG, GDPdU, GoBS Telekommunikationsgesetz, sowie Lizenz-Compliance) Branchenbezogene Vorschriften und gesetzliche Vorgaben (z.b. ProdHaftG) Vorgaben/Empfehlungen des BSI (z.b. Grünbuch, ITSEC, Common Criteria) ISO Standards und Normen, z.b. ISO19600
Wozu dient IT-Compliance? Einschätzung und Reduzierung/Unterbindung von Unternehmensrisiken (strategisch und operationell). Erzielung von Vorteilen bei der Unternehmensbewertung (Basel II) und eine höhere IT-Sicherheit. IT-mäßige Einhaltung von gesetzlichen Grundlagen und Vorschriften, z.b. in Form eines Dokumentenmanagement- oder Archivsystems. Wenn sie gut umgesetzt wird, dient IT-Compliance außerdem zudem der Verbesserung von Unternehmensabläufen und Prozessdokumentation.
Wer braucht IT-Compliance? Unternehmen mit persönlich haftendem Geschäftsführer (also mindestens alle AGs und GmbHs) Alle Unternehmen, die an der US-Börse gelistet sind (SOX Compliance) oder Geschäftsverbindungen zu einem börsennotierten US-Unternehmen unterhalten. Alle Unternehmen, die sich im regulierten Umfeld (z.b. FDA) bewegen oder mit Unternehmen aus dem regulierten Umfeld Geschäfte machen. Unternehmen, die ihren Kapitalbedarf am geregelten Kapitalmarkt decken (Basel II).
Wie sieht die Umsetzung aus? Organisatorische Umsetzung: Dokumentation der vorhandenen IT-Ressourcen (z.b. Adminzugänge, RZ-Zugangskontrolle, aber auch Rollen und Rechte der Softwarenutzer) Analyse der datenführenden IT-Systeme, die mutmaßlich compliancerelevante Daten enthalten (z.b. CRM, ERP, FiBu etc.) Analyse, Bewertung und Dokumentation der relevanten Unternehmensressourcen und assets (Hardware, Software, IT-Infrastruktur, Netzwerke) Etablierung eines Compliance Officers, der für eine langfristige Einhaltung der Vorgaben sorgt.
Wie sieht die Umsetzung aus? Systemische Umsetzung: Es sind geeignete Systeme zu etablieren, in denen die compliancebedürftigen Daten rechtssicher abgelegt bzw. archiviert werden können (Archivsysteme). Diese Systeme müssen über erforderliche Schnittstellen verfügen, um Behörden den Datenzugriff auf strukturierte Daten bei einer Außenprüfung zu ermöglichen (z.b. DART, IDEA) Für unstrukturierte Daten (z.b. Emails) müssen für Audits entsprechende Recherchemöglichkeiten gegeben sein.
Wie sieht die Umsetzung aus? Systemische Umsetzung (Fortsetzung): Bei der Behandlung aller compliancerelevanten Unternehmensinformationen ist die 3W-Regel zu beachten: Wer hat Wann Was geändert. Im Zweifel besteht eine Nachweispflicht bzgl. der Entstehung und Nichtveränderung von Informationen bzw. der Protokollierung dieser Änderungen ( Audit Trail ).
Bewertung mittels Risikomatrix Praktisches Beispiel einer Risikomatrix aus einem meiner aktuellen Projekte. Bewertet werden Compliancerisiken nach Auswirkung und Eintrittswahrscheinlichkeit. Anhand einer Risikomatrix findet eine Bewerbung und Darstellung der Risiken statt. Es erfolgt eine Definition von passenden Mitigationsmaßnahmen.
Fakten zu ISO 19600 Der Standard wurde am 5. Dezember 2014 als international gültige ISO-Norm veröffentlicht. Die Norm soll Unternehmen und Organisationen dabei helfen, regelwidriges Verhalten von Führungskräften und Mitarbeitern zu vermeiden. Ermöglicht den Nachweis, dass sich alle Beteiligten regelkonform verhalten haben und die Verantwortlichen ihren Verpflichtungen in ausreichendem Maß nachgekommen sind. Bewertung der Effektivität der Compliance- Maßnahmen und der Kommunikation dazu sowie die laufende Prozessverbesserung.
Weitere Schritte zur Umsetzung Evaluierung der sinnvollen und notwenigen Compliance Rahmenbedingungen für Ihr Unternehmen. Planung von passenden Maßnahmen für Ihr Unternehmen in einer Compliance Agenda. Wirkungsvolle Umsetzung dieser Maßnahmen anhand von praxiserprobten Best Practices. Prüfung der Kosten und Nutzen von notwendigen oder sinnvollen Zertifizierungsmaßnahmen. Treffen von organisatorischen Maßnahmen zur nachhaltigen Absicherung von langfristigen IT- Compliance Standards.
Haben sie noch Fragen? Stephan M. Rossbach Projektleiter und Senior Berater Information Management IT CONSULTING Katernberger Str. 107 (Weltkulturerbe Zeche Zollverein) 45327 Essen mail: stephan@ web: http://www. Vielen Dank für Ihre Aufmerksamkeit!