Checkliste für die Einführung
IT-Compliance-Prozesse einzuführen it eine komplexe Angelegenheit. Wer Systematik hineinbringen will, kann sich an folgenden Fragen orientieren:
-
Welche Rechtsnormen gelten genau für die IT meines Unternehmens? (Sortieren Sie diese nach Vorschriften für alle Unternehmen sowie dediziert nach Rechtsform, Branche und Ort der Business-Tätigkeit.)
-
Welche Vorgaben, Frameworks und Best Practices (Corporate- und IT-Governance) hat sich mein Unternehmen gesetzt?
-
Welche IT-gestützten Business-Prozesse und übergreifenden IT-Services sind davon betroffen, welche Anforderungen müssen dafür erfüllt sein?
-
Welche Risiken gibt es - mit welchem Schadenspotenzial infolge fehlender oder mangelhafter Compliance?
-
Welche konkreten IT-Compliance-Anforderungen haben die einzelnen IT-Lieferanten (interne und externe Provider sowie technische Bereiche) zu erfüllen (zum Beispiel Active Directory, SAP, Datenbanken oder Netz)?
-
Welche technischen, organisatorischen, personellen und vertraglichen Maßnahmen sind für die dauerhafte Erfüllung der IT-Compliance zu treffen?
-
Wie kann der Erfolg in einem dauerhaften Prozess (ähnlich dem Security-, Risiko-Management- oder IKS-Prozess nach Best Practices) etabliert und abgesichert werden?
-
Welche Schlüsse sind aus einem kontinuierlichen Verbesserungsprozess zu ziehen (Review, Folgemaßnahmen)?
Wenn Sie diese Reihenfolge als grobe Leitlinie für ein IT-Compliance-Projekt und dessen nachfolgende Implementierung in der Linienorganisation berücksichtigen, können Sie so falsch gar nicht liegen. (qua)