IT-Compliance
aus Wikipedia, der freien Enzyklopädie
| Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf bitte mit, ihn zu verbessern, und entferne anschließend diese Markierung. |
IT-Compliance beschreibt in der Unternehmensführung die Zusammenfassung der gesetzlichen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert.
IT-Compliance als Teilbereich fokussiert jedoch stärker auf die Aspekte Datensicherheit, Verfügbarkeit und Datenschutz. Firmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Strafen führen kann. EU-Richtlinien, internationale Konventionen und Handelsbräuche fügen weitere Regeln hinzu.
Zu den wichtigsten Regeln zur Erfüllung einer IT-Compliance zählen u.a.:
- Das TKG (Telekommunikationsgesetz)
- Das BDSG (Bundesdatenschutzgesetz)
- Die GDPdU, Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (Digitale Steuerprüfung)
- Das Rahmenwerk Basel_II zur Analyse der Krediwürdigkeit
Neben diesen nationalen Regeln wie kommen auch europäische Richtlinien und internationale Vorschriften zum Tragen. So kann der SOX Sarbanes Oxley Act für deutsche Unternehmen gelten, welche mit US Firmen in Geschäftsbeziehung stehen.
Inhaltsverzeichnis |
[Bearbeiten] Ziele
Das Zeil einer IT-Compliance ist die umfassende und dauerhafte Einhaltung der gesetzlichen Regelungen. Desweiteren ergeben sich Vorteile bei der Unternehmensbewertung und durch eine höhere IT-Sicherheit.
Beispiel: E-Mail Archiv
Im Falle des Ausscheidens von Personen aus dem Unternehmen muss es klare Regelungen beim Umgang mit weiterhin eintreffenden E-Mails geben. Hier besteht ein schmaler Grad zwischen Archivierungspflicht und Schutz der Persönlichkeit.
[Bearbeiten] Maßnahmen
Die Kernaufgabe besteht in der Dokumentation der IT-Resourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale. Zu den Resourcen gehören Hardware, Software, Infrastruktur (Gebäude, Netzwerke) und die Rollen und Rechte der Software Anwender. Anschliessend können die Probleme kontinuierlich abgestellt werden. Als Ergebnis erhält man Auswertungen über den jeweisl aktuellen Status. Wichtig ist hierbei, das die Complinace Einhlatung aus dauerhafter Prozess und nicht als kurzfristige Maßnahme aufgefasst wird.
Beispiel: Lizenz-Management
- Sind alle komerziell eingesetzten Softwareprodukte auch erworben?
- Werden bei OpenSource die jeiligen Lizenzen wie GPL beachtet?
- Gibt es alte Lizenzen die für Updates genutzt werden können?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet mit den Grundschutz Katalogen eine umfangreiche Handlungsanweisung.
[Bearbeiten] Wer benötigt eine IT-Compliance
Im wesentlichen sind die Aktiengesellschaften (AG) und GmbH's. Denn hier sind die Geschäftsführer und Vorstände persönlich haftbar für die Einhaltung der gesetzlichen Regelungen. Bei deren Missachtung können zivilrechtliche und auch strafrechtliche Sanktionen drohen. So sieht das Bundesdatenschutzgesetz BDSG eine Freiheitsstrafe von bis zu 2 Jahren oder Geldstrafe bei Zuwiderhandlung vor. Spätestens seit Basel II den Finanzinstitutionen weitgehende Prüfungen vorschreibt, besteht Handlungsbedarf zur Umsetzung der IT-Compliance.
