IT - Governance / IT - Compliance

Was ist IT-Governance?

Mit IT-Governance bezeichnet man den rechtlichen und faktischen Ordnungsrahmen für die Leitung, Organisation (prozessual wie aufbauorganisatorisch) und Überwachung der IT eines Unternehmens. Mit der IT-Governance soll sichergestellt werden, dass die Ziele von Unternehmen, Institutionen und Behörden durch den IT-Einsatz unterstützt 
und vorangetrieben werden.

Was ist IT-Compliance?

Die gesetzliche Compliance lässt sich mithilfe von speziellen SW-Managementsystemen überprüfen. Die Anzahl gesetzlicher Bestimmungen und Auflagen betreffen stark das Themenfeld der IT-Sicherheit – vom IT-Sicherheitsgesetz über das Handelsgesetzbuch, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich bis hin zu den Verordnungen bestimmter Branchenaufsichten wie der Bundesanstalt für Finanzdienstleistungsaufsicht. Mithilfe von spezieller Software Managementsysteme acc-matrix lässt sich die gesetzliche Compliance sehr erfolgreich überprüfen. Daher ist es wichtig, die in Frage kommenden Gesetzeswerke und Regelwerke bei der Definition von Art und Umfang von Beginn an zu beachten, da die entsprechende Fürsorgepflicht für alle Unternehmen, Institutionen und Behörden gleichermaßen gilt.
Standards mit dem Fokus IT-Governance nach (BSI)


Die Norm ISO 31002: 

 "Risiko Management" ist die einheitliche Basis für das Management der unterschiedlichen Risiken in einer Organisation.
  Darin wird ein Risikomanagementsystem nach drei Prinzipien verankert:

- Risikomanagement ist Führungsaufgabe,
- Risikomanagement erfolgt Top-Down,
- Risikomanagement erfolgt nach einheitlichen Kriterien und Vorgehen.

Weitere Standards der IT-Governance

Die Norm ISO 385003 
Corporate Governance in Information Technology" liefert Richtlinien für das integrierte Management der IT (IT-Governance) zur strategischen Ausrichtung, Steuerung und Überwachung von in Unternehmen eingesetzten Informationstechnologien und Prozessen. COBIT wird darin als Referenz-Modell für Richtlinien und Prozesse empfohlen, welche im Rahmen des IT-Governance Management Systems zu implementieren sind.

Die Norm ISO 200004:
IT-Service Management" setzt einen Standard für das IT-Service Management, der als Ableger der ISO 9000
qualitative Mindestanforderungen und weitergehende Empfehlungen für die Umsetzung des IT-Service-, Security- und 
Relationship-Managements in der IT regelt.

Für die IT-Governance sind mindestens folgende Grundsätze zu beachten:

  1. Richtlinien ausarbeiten
  2. Kontrollsystem integrieren
  3. Abläufe im IT-Bereich dokumentieren
  4. Mitarbeitende über Straftatbestände und Praktiken der Cyberkriminalität informieren
  5. den Angestellten Firmengeräte zur Verfügung stellen
  6. Datensicherung immer auf neuestem Stand halten 
  7. bei Cloudcomputing: Service-Anbieter vertraglich verpflichten
  8. Daten nur im eigenen Server zu speichern und gegenseitige Kontrollen vereinbaren
  9. geheime Daten auf keinen Fall in Clouds deponieren
  10. sensible Daten nur von bestimmten Personen an Computern in geschlossenen Räumen bearbeiten, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge besitzen
  11. Nach Beendigung des Arbeitsverhältnisses Zugänge und Passwörter für die betreffende Person sofort sperren
  12. In Verträgen über Forschung, Entwicklung und sonstige sensible Daten Sicherheitsvorkehrungen für beide Parteien zu vereinbaren und eine Geheimhaltungsklausel mit Konventionalstrafe vorzusehen
  13. EU-DSGVO berücksichtigen und Kunden über Datenverarbeitung informieren
  14. Eine Meldestelle einrichten, bei der Angestellte oder Dritte ohne persönliche Nachteile Missstände bekannt geben können.