Sie beschreibt die Regeln und Vorschriften, die Unternehmen einhalten müssen, um ihre IT-Systeme zu schützen und die Integrität ihrer Daten zu gewährleisten. Sie umfasst Bereiche wie Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.
Um sie zu erlangen, müssen IT-Systeme und -Prozesse mit
• geltenden Gesetzen,
• Verträgen,
• internen und externen Vereinbarungen sowie
• IT-Normen und branchenüblichen Standards
übereinstimmen. Diese Übereinstimmung muss regelmäßig überwacht werden. Besonders, wenn Unternehmen ihre IT-Systeme und -Prozesse auf einem hohen Sicherheitsniveau betreiben müssen oder möchten.
IT-Compliance umfasst Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.
Wichtige gesetzliche Vorgaben
EU-Datenschutz-Grundverordnung (EU-DSGVO)
Die EU-DSGVO ist eine Verordnung der Europäischen Union. Sie reguliert und vereinheitlicht, wie Unternehmen in der EU personenbezogene Daten verarbeiten dürfen und schützen müssen.
Bundesdatenschutzgesetz (BDSG)
Das BDSG dient dem Schutz der Privatsphäre von Personen. Es verpflichtet Unternehmen, eine sichere Datenverarbeitung zu gewährleisten. Es gestattet die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur mit Zustimmung der betroffenen Personen. Es regelt zudem genau, wie Unternehmen mit sensiblen Daten (sensitive data) umgehen müssen.
IT-Sicherheitsgesetz (IT-SiG)
Das IT-SiG regelt die Informationssicherheit von Unternehmen kritischer Infrastrukturen (KRITIS). Dazu zählen die Bereiche
Energie- und Wasserversorgung
Ernährung
IT und Telekommunikation
Gesundheitswesen
Transport und Verkehr sowie
Finanz- und Versicherungswesen.
Betreiber kritischer Infrastrukturen müssen besonders effektive technische und organisatorische Maßnahmen zum Schutz der Systeme treffen. Diese müssen sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachweisen und Datenschutzverstöße melden.
Telekommunikationsgesetz (TKG)
Das TKG dient der Wahrung der Datensicherheit in Deutschland. Es beinhaltet Regelungen für den Betrieb von Telekommunikationsdiensten, den elektronischen Postverkehr, die Überwachung von Kommunikation und den Datenschutz in der Telekommunikation. Das TKG fordert Sicherheit, wenn bei Telekommunikationsdiensten Daten übertragen und personenbezogene Daten verarbeitet werden.
Wichtige Normen und Standards
ISO 37301 (früher ISO 19600)
Die ISO 37301 ist ein internationaler Standard. Sie soll sicherstellen, dass Unternehmen rechtmäßig und ethisch korrekt handeln und Fehlverhalten der Mitarbeitenden geahndet werden.
ISO 27001
ISO 27001 ist eine international anerkannte Norm für Informationssicherheit. Sie bietet eine Reihe von Best Practices. Diese leiten Unternehmen an, ein formalisiertes Informationssicherheitsmanagement-System zu etablieren. Sie umfasst Prozesse
für die Überwachung und Überprüfung von IT-Systemen
die Überwachung von Zugriffen auf Daten,
die Überwachung von Änderungen an IT-Systemen und
die Überwachung von Datenschutzrichtlinien.
Unternehmen mit ISO 27001 Zertifizierung zeigen ihr Engagement für den Schutz sensibler Daten und ihrer IT-Systeme. Die Zertifizierung legt gleichzeitig die Basis dafür, IT-Compliance-Richtlinien für das eigene Unternehmen einzuhalten.
NIST-Standard (National Institute of Standards and Technology)
Der NIST-Standard wird von der US-Regierungsbehörde NIST veröffentlicht. Er bietet eine Reihe von Richtlinien, Dokumentationen und Best-Practice-Vorgehensweisen. Sie alle unterstützen Organisationen bei der Förderung der Cybersicherheit.
Diese Richtlinien beziehen sich auf Bereiche wie Informationssicherheit, Kryptografie und Datenschutz. Seine Einhaltung ist für US-Behörden und Unternehmen, die geschäftlich mit ihnen zu tun haben, verpflichtend.
Auch ITIL ist ein Rahmenwerk, das Organisationen bei der Planung, Bereitstellung und Überwachung von IT-Services unterstützt. ITIL bietet eine umfassende Sammlung von Best Practices, Prozessen und Verfahren. ITIL gehört zu den meistgenutzten Ansätzen für das Management von IT-Services weltweit.
Sonstige Verträge und Vereinbarungen (data compliance regulations)
Auch
Verträge mit Kunden und Partnern (Lizenzverträge)
interne Unternehmensrichtlinien und
externe Vereinbarungen wie Geheimhaltungsvereinbarungen
müssen nachweislich eingehalten werden, um als Firma datenkonform (data compliant) zu sein.
Warum ist Regelkonformität in der IT wichtig?
Werden in einem Unternehmen Gesetze oder Verträge missachtet, kann dies Bußgelder und sogar strafrechtliche Konsequenzen zur Folge haben. In einer GmbH sind beispielsweise die Geschäftsführer persönlich für die Einhaltung verantwortlich und haftbar. Verstöße wirken sich außerdem negativ auf das Firmenimage aus.
Deshalb ist die Einhaltung der Vorschriften wichtig. Unternehmen sollten ihre IT-Systeme und Prozesse regelmäßig überprüfen. So können sie gewährleisten, dass sie jederzeit den gesetzlichen Vorschriften entsprechen.
Dabei unterstützt ein IT-Compliance-Management System. Es legt Routinen und Intervalle fest, in denen IT-Systeme und Prozesse auf ihre Konformität mit Gesetzen, Normen und Verträgen geprüft werden. Geeignete Maßnahmen sind z.B. regelmäßige Audits und Schulungen des Personals.
So ein System legt außerdem fest, wie Prozessänderungen überwacht und dokumentiert werden müssen. So trägt es dazu bei, das Risiko von Strafen, Verlusten oder Reputationsschäden durch Regelverstöße zu minimieren.
Datenkonformität (data compliance) verbessert also nicht nur die IT-Sicherheit, sondern auch die Reputation eines Unternehmens. Das wiederum stärkt das Vertrauen der Kunden und Geschäftspartner.
Kurz zusammengefasst, bietet Regeltreue in der IT folgende Vorteile:
Gestärktes Vertrauen bei Partnern und Kunden
IT-Infrastruktur und -Prozesse sind konform
Optimale Umsetzung des Datenschutzes
IT wird effizient eingesetzt
Digitale Flexibilität bei Prozessänderungen
Digitale Transparenz der Prozesse
Gesicherte Regelkonformität
Einhaltung von Vorgaben
Unternehmen können die Einhaltung der von Konformitätsvorgaben auf verschiedene Weise sicherstellen:
IT Compliance Management-Software hilft bei der Überwachung und Überprüfung von IT-Systemen
IT Compliance-Beratungsdienste (IT Compliance Consulting) und IT Compliance-Services unterstützen bei der Überprüfung bestehender IT-Systeme. Außerdem helfen sie Maßnahmen zur Verbesserung der IT Compliance umzusetzen.
IT-Compliance Tools wie Software können genutzt werden, um Prozesse zu überwachen und zu dokumentieren. (Berichte erstellen, Sicherheits- und Datenschutzverletzungen und Benutzeraktivitäten, Prozessänderungen dokumentieren)
Es gibt verschiedene Arten von IT Compliance Software, z.B.
Compliance Management Software,
IT Audit- und Compliance-Software
IT Compliance Monitoring-Software).
Die Wahl des geeigneten Produkts hängt von den Compliance-Anforderungen des Unternehmens ab.
Was passiert bei einem Audit
Bei einem IT Compliance-Audit wird überprüft, ob alle geltenden Vorschriften eingehalten und dokumentiert werden. Diese Audits können von internen IT-Abteilungen oder von externen Beratungsunternehmen wie dem TÜV durchgeführt werden. Geprüft werden zum einen die IT-Infrastruktur, die IT-Systeme und die Datenschutzrichtlinien des Unternehmens. Zum anderen auch, ob sich alle Mitarbeitenden daranhalten.
Wie kann essendi xc Sie unterstützen?
Ein Zertifikatsmanagement-Tool wie essendi xc ist vor allem im Bereich Kryptographie hilfreich. In einer Live-Demo demonstrieren wir Ihnen gerne, wie das genau funktioniert.
Das 360°-Zertifikats-Cockpit des essendi xc ermöglicht einfaches Monitoring und Reporting. Im zentralen Dashboard überwachen und verwalten Sie alle Zertifikate des Unternehmens.
essendi xc benachrichtigt Sie rechtzeitig, bevor ein Zertifikat abläuft. Auch im Falle unsicher werdender Zertifikate erhalten Sie einen Warnhinweis. Je nach Einstellung übernimmt das Tool automatisch die Verlängerung oder den Neuantrag von Zertifikaten. Außerdem installiert er sie auf Wunsch bis in die Zielsysteme.
Wir empfehlen, Antrags-Templates festzulegen und das Berechtigungssystem individuell zu skalieren. So stellen Sie sicher, dass alle Zertifikate in Übereinstimmung mit den IT-Compliance-Vorschriften erneuert werden. Zudem können sie nur vom autorisierten Personenkreis beantragt werden. essendi xc berücksichtigt kryptographische Maßnahmen. Er unterstützt Sie über den gesamten Lebenszyklus eines Schlüssels bei der
Generierung
Verteilung
Benutzung
Speicherung
Erneuerung
Löschung
Richtlinien und Normen können dabei abgebildet und in vorhandene Strukturen integriert werden. xc erstellt ein Konzept zur Anwendung von Schlüsseln und zeigt die jeweilig eingesetzten Verfahren auf. Außerdem dokumentiert er den Lebenszyklus der Schlüssel revisionssicher. Damit sind Sie im Bereich Zertifikatsmanagement für jedes Audit gerüstet.
Profitieren Sie von unserer langjährigen Erfahrung.
Sonstige Verträge und Vereinbarungen (data compliance regulations)
Wie kann essendi xc Sie unterstützen?
