IT-Compliance

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. Der Schwerpunkt der IT-Compliance als Teilbereich liegt auf denjenigen Aspekten von Compliance-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Unternehmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann. EU-Richtlinien, internationale Konventionen, unternehmensinterne Konventionen und Handelsbräuche fügen weitere Regeln hinzu.

Rechtlicher Rahmen

[Bearbeiten | Quelltext bearbeiten]

Im Folgenden sind wichtige nationale und internationale Regelwerke, die die IT-Compliance betreffen, aufgezählt.

Europäische Union

[Bearbeiten | Quelltext bearbeiten]

Vereinigte Staaten

[Bearbeiten | Quelltext bearbeiten]

Der Sarbanes-Oxley Act (SOX) gilt insbesondere auch für europäische Unternehmen, wenn sie in den USA an der Börse notiert sind.

Weitere internationale Regelwerke sind beispielsweise HIPAA, International Financial Reporting Standards (IFRS) und Payment Card Industry Data Security Standard (PCI-DSS).

Nutzen und Ziele

[Bearbeiten | Quelltext bearbeiten]

Ziel von IT-Compliance ist die umfassende und dauerhafte Einhaltung von Anforderungen des Gesetzgebers und des Unternehmens. Daraus resultieren u. a. Vorteile bei der Unternehmensbewertung und höhere IT-Sicherheit.

Betroffene Bereiche sind zum Beispiel:

Im Falle des Ausscheidens von Personen aus dem Unternehmen muss es klare Regelungen beim Umgang mit weiterhin eintreffenden E-Mails geben. Hier besteht ein schmaler Grat zwischen Archivierungspflicht und Schutz der Persönlichkeit.

Viele Regularien sehen eine persönliche Haftung für die Einhaltung der gesetzlichen Regelungen für Geschäftsführer und Vorstände vor. Bei Missachtung können zivilrechtliche und auch strafrechtliche Sanktionen drohen. So sieht beispielsweise Bundesdatenschutzgesetz eine Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe bei Zuwiderhandlung vor (§ 44 BDSG).

Die Kernaufgabe besteht in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale (auch: Risikoanalyse). Zu den Ressourcen gehören Hardware, Software, IT-Infrastruktur (Gebäude, Netzwerke), Services (z. B. Webservices) und die Rollen und Rechte der Software Anwender. Wichtig ist hierbei, dass die Umsetzung von Compliance als ein dauerhafter Prozess und nicht als kurzfristige Maßnahme aufgefasst wird.

Beispiel: Lizenz-Management

  • Sind alle kommerziell eingesetzten Softwareprodukte auch erworben?
  • Werden bei Open Source die jeweiligen Lizenzen wie GPL beachtet?
  • Gibt es alte Lizenzen, die für Updates genutzt werden können?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den Grundschutz-Katalogen eine umfangreiche Handlungsanweisung.

Informationssicherheit

[Bearbeiten | Quelltext bearbeiten]
[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Telekommunikationsgesetz Österreich