Information Technology Reference
In-Depth Information
Wichtig
Eine vollständige Liste von Geschätsprozessen, Geschätsobjekten, Informations-
systemen oder Schnittstellen mit Compliance-relevanten Informationen „auf Knopf-
druck“ ist alleine schon ein hoher Wert!
In EAM werden lediglich grobgranulare Informationen berücksichtigt, die den Über-
blick über die Risiken und deren Beherrschung verschafen. So werden in EAM in
der Regel die Compliance-relevanten Elemente identiiziert (z. B. Geschätsprozesse)
und wichtige Informationen, wie z. B. Verantwortlichkeiten, erfasst. Detail-Informa-
tionen, wie z. B. Controls in Prozessabläufen, werden in der Regel in einem Prozess-
management-Werkzeug dokumentiert. Über Links kann eine Verbindung hergestellt
werden und das Compliance-Management ganzheitlich durchgeführt werden.
Neben den Listen können alle EAM-Transparenzsichten (siehe Abschnitt 3.4) genutzt werden,
um das Compliance-Management-System zu implementieren. Durch die Analyse der EAM-
Datenbasis können Risiken identiiziert und durch Hervorhebungen in Graiken Handlungs-
bedarf aufgezeigt werden.
5.1.5■Management der Unternehmenssicherheit
Einsatzszenario:
Aufzeigen von Schutzbedarf und Nachweis von geeigneten Sicherheitsmecha-
nismen zur Umsetzung der Sicherheitsanforderungen durch die Dokumentation und Analyse
von Schutzbedarf und Sicherheitslevel sowie weiteren Aspekten wie z. B. der Autorisierung
von IT-Systemen
Stakeholder-Gruppen:
Unternehmensführung (I), Business-Verantwortlicher (C), Verantwort-
liche für Sicherheit (R), CIO/IT-Verantwortlicher (I und ggf. A und C), Verantwortliche für den
Betrieb und PC-Infrastrukturen (I und C)
Ziele:
Risikomanagement im Kontext von IT-Sicherheit verbessern
Erläuterungen und geeignete Visualisierungen:
Noch vor wenigen Jahrzehnten wurde die Sicherheit eines Unternehmens nur durch die
räumliche Sicherung wie Zugangsbeschränkungen, Zäune oder den Werkschutz gewährleistet.
Inzwischen stellt die IT-Sicherheit weit höhere Anforderungen und ist ein Kernelement der
Unternehmenssicherheit.
Gesetzliche Regelungen wie das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG) und das Bundesdatenschutzgesetz (BDSG) adressieren Aspekte der IT-Sicherheit
und stellen weitreichende Anforderungen an Technik und Organisation eines Unternehmens.
Siehe hierzu Einsatzszenario „Compliance Management“.
Der Schutzbedarf jedes IT-Systems muss vom Schutzbedarf des Geschäts, insbesondere der
Geschätsprozesse und Geschätsobjekte abgeleitet werden. Dies ist eine Zielvorgabe für die
Umsetzung und den Betrieb der IT-Systeme. Durch Ermittlung des Sicherheitslevels und Ab-
gleich mit dem Schutzbedarf kann Handlungsbedarf aufgedeckt werden. Dies kann anschaulich
mithilfe einer Bebauungsplan-Graik (siehe Abbildung 5.11) oder einer Liste (siehe Abbil-
Search WWH ::
Custom Search