| Jewiki unterstützen. Jewiki, die größte Online-Enzyklopädie zum Judentum.
Helfen Sie Jewiki mit einer kleinen oder auch größeren Spende. Einmalig oder regelmäßig, damit die Zukunft von Jewiki gesichert bleibt ... Vielen Dank für Ihr Engagement! (→ Spendenkonten) |
How to read Jewiki in your desired language · Comment lire Jewiki dans votre langue préférée · Cómo leer Jewiki en su idioma preferido · בשפה הרצויה Jewiki כיצד לקרוא · Как читать Jewiki на предпочитаемом вами языке · كيف تقرأ Jewiki باللغة التي تريدها · Como ler o Jewiki na sua língua preferida |
IT-Compliance
IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT-Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. Der Schwerpunkt der IT-Compliance als Teilbereich liegt auf denjenigen Aspekten von Compliance-Anforderungen, welche die IT-Systeme eines Unternehmens betreffen. Zu den Compliance-Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Unternehmen unterliegen zahlreichen rechtlichen Verpflichtungen, deren Nichteinhaltung zu hohen Geldstrafen und Haftungsverpflichtungen führen kann. EU-Richtlinien, internationale Konventionen, unternehmensinterne Konventionen und Handelsbräuche fügen weitere Regeln hinzu.
Bedeutende Compliance-Regelungen
Zu den wichtigsten nationalen Regeln zur Erfüllung einer IT-Compliance zählen u. a.:
- das Telekommunikationsgesetz für Deutschland,
- das Telekommunikationsgesetz für Österreich,[1]
- das Bundesdatenschutzgesetz (BDSG),
- die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (Digitale Steuerprüfung) (GDPdU),
- das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
- die Mindestanforderungen an das Risikomanagement (BA) der Bundesanstalt für Finanzdienstleistungsaufsicht (MaRisk der BaFin)
Neben diesen nationalen Regeln kommen auch europäische Richtlinien (das Rahmenwerk Basel II zur Analyse der Kreditwürdigkeit, sowie die Europäische Datenschutz-Grundverordnung (EU-DSGVO)) und internationale Vorschriften zum Tragen. So gilt der Sarbanes-Oxley Act (SOX) auch für europäische Unternehmen, wenn sie in den USA an der Börse notiert sind. Weitere Richtlinien sind beispielsweise FINRA (NASD/SEC), HIPAA, IFRS, MiFID und PCI-DSS.
Ziele
Ziel von IT-Compliance ist die umfassende und dauerhafte Einhaltung von Anforderungen des Gesetzgebers und des Unternehmens. Daraus resultieren u. a. Vorteile bei der Unternehmensbewertung und höhere IT-Sicherheit.
Betroffene Bereiche sind zum Beispiel:
- GDPdU-konforme Archivierung von Bankdaten
- E-Mail-Archiv
- Dokumentmanagementsystem
- Process History Management
Im Falle des Ausscheidens von Personen aus dem Unternehmen muss es klare Regelungen beim Umgang mit weiterhin eintreffenden E-Mails geben. Hier besteht ein schmaler Grat zwischen Archivierungspflicht und Schutz der Persönlichkeit.
Maßnahmen
Die Kernaufgabe besteht in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale (auch: Risikoanalyse). Zu den Ressourcen gehören Hardware, Software, IT-Infrastruktur (Gebäude, Netzwerke), Services (z. B. Webservices) und die Rollen und Rechte der Software Anwender. Wichtig ist hierbei, dass die Umsetzung von Compliance als ein dauerhafter Prozess und nicht als kurzfristige Maßnahme aufgefasst wird.
Beispiel: Lizenz-Management
- Sind alle kommerziell eingesetzten Softwareprodukte auch erworben?
- Werden bei OpenSource die jeweiligen Lizenzen wie GPL beachtet?
- Gibt es alte Lizenzen, die für Updates genutzt werden können?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den Grundschutz-Katalogen eine umfangreiche Handlungsanweisung.
Wer benötigt IT-Compliance?
Im Wesentlichen sind Aktiengesellschaften (AG) und GmbHs betroffen, da hier die Geschäftsführer und Vorstände persönlich für die Einhaltung der gesetzlichen Regelungen haftbar gemacht werden können. Bei deren Missachtung können zivilrechtliche und auch strafrechtliche Sanktionen drohen. So sieht das Bundesdatenschutzgesetz eine Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe bei Zuwiderhandlung vor (§ 44 BDSG). Spätestens seit Basel II den Finanzinstitutionen weitgehende Prüfungen vorschreibt, besteht Handlungsbedarf zur Umsetzung der IT-Compliance.
Weblinks
Informationssicherheit
- Bundesamt für Sicherheit in der Informationstechnik
- IT-Grundschutz des BSI
- Weiterführende Links zu Behörden und Gremien des Zentrums für interaktive Medien e.V
Weiterführende Links
- Balanceakt Compliance – IT-Security oder ein zufriedener Prüfer?
- COMPAS – EU Forschungsprojekt zur Umsetzung von Compliance in einer SOA
- Kostenfreier Download des PDF-Dokuments: Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung – IT-Infrastruktur Compliance Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche (Deutsch, English)
- IT und Compliance – Das Geheimnis der richtigen Wortwahl
Einzelnachweise
| Dieser Artikel basiert ursprünglich auf dem Artikel IT-Compliance aus der freien Enzyklopädie Wikipedia und steht unter der Doppellizenz GNU-Lizenz für freie Dokumentation und Creative Commons CC-BY-SA 3.0 Unported. In der Wikipedia ist eine Liste der ursprünglichen Wikipedia-Autoren verfügbar. |