Policy Compliance - Definition und Einhaltung klarer Regeln
IT ist heute für jedes Unternehmen von strategischer Bedeutung. Deshalb werden bei jeder Unternehmensbewertung immer auch die IT und die IT-Sicherheit in die Analyse einbezogen. Unternehmen, die dem Auditor keine objektiv prüfbaren Nachweise des ordnungsgemäßen Managements ihrer IT-Infrastruktur liefern können, haben beim Bestehen des Audits oder bei der Festlegung von Kreditbedingungen eine schlechte Ausgangsposition. Eine ISO-27001-Zertifizierung dagegen hilft z.B. objektiv die Kreditkosten zu senken.
Neben den Kosten geht es aber auch um ein komplexes Umfeld rechtlicher Anforderungen an IT-Compliance - resultierend aus KonTraG, BDSG, TKG, IFRS, Basel II, Sarbanes Oxley, Branchenstandards, KredwG, etc. Die Security Governance umfasst einzuhaltende Auflagen an die IT und die IT-Security, z.B. Risikomanagementpflichten, Buchführungsanforderungen, Datenschutz, Anforderungen des Wirtschaftsprüfers für den Jahresabschluss, besondere Berufspflichten als auch andere vertragliche Pflichten.
Compliance, also die Definition und Einhaltung klarer Regeln (Policy), ist heute deshalb eine wesentliche Anforderung an jede IT-Umgebung. Ein Unternehmen muss heute in der Lage sein, alle wichtigen Vorgänge lückenlos zu dokumentieren und das Einhalten der Regeln auch nachzuweisen.
ISMS – Fundament für Risikomanagement
Das Managementsystem für Informationssicherheit (Information Security Management System, ISMS) ist ein System von Verfahren und Regeln eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren und speziell Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Als anerkannter Nachweis für IT-Risikomanagement, IT-Verfügbarkeit und Informationssicherheit gilt der internationale Security-Standard ISO 27001. Die Norm vereint technische, physische, organisatorische und personelle Sicherheitsprozesse zu einem Managementsystem. Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2005 und die Umsetzung im Rahmen des PDCA-Zyklus bilden das Kernstück für effektives Risikomanagement.
IT-Risikomanagement ist das Herzstück eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 und deckt aufgrund der hohen IT-Durchdringung von Unternehmen einen wesentlichen Teil des operationellen Risikos nach Basel II ab. Ein weiterer Vorteil der ISO 27001 gegenüber anderen IT-Sicherheitsrichtlinien wie IT-GSHB oder CobiT ist ihre Zertifizierbarkeit. Ein ISO-27001-Zertifikat entspricht einem staatlich anerkannten Nachweis und wird von Behörden und Organisationen international akzeptiert.
Zu unserem Partnerunternehmen IT-CUBE GmbH gelangen Sie hier: http://www.it-cube.de