Rechtliche Grundlagen der IT-Revision

Bundesdatenschutzgesetz (BDSG):

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, unabhängig davon, ob sie manuell oder in IT-Systemen verarbeitet werden.

Auf Grund der jüngeren Datenschutzskandale und Screenings von Mitarbeiterdaten in Großkonzernen wurde es novelliert. Unter Fachleuten ist der Inhalt der Novelle strittig.

BSI Grundschutz:

Der BSI-Grundschutz stellt die zertifizierbare Möglichkeit für Unternehmen dar, seine IT-Systeme nach dem Stand der Technik sichern zu lassen. Die Grundlagen hierfür werden vom Bundesamt für Sicherheit in der Informationstechnik bereitgestellt.

Informationssicherheitsstandards ISO 27001 ff.:

Die Norm ISO/IEC 27001 Informationstechnologie – Security techniques – Information security management systems – Requirements ist eine internationale Norm. Sie beschreibt die Anforderungen für die Herstellung, den Betrieb, die Überwachung und die Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Sie hat den Anspruch, sämtliche Risiken in der Organisation zu berücksichtigen.

Framework zur IT-Governance (COBIT):

CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich Steuerungsvorgaben, in der aktuellen deutschsprachigen Version wird der Begriff nicht mehr übersetzt). CobiT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist (Quelle: Wikipedia).

Unternehmensweites Steuerungs-Framework (COSO):

COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation in den Vereinigten Staaten von Amerika, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern.

COSO hat 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen, das COSO-Modell publiziert. Dieses Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.

Die Bestandteile des internen Kontrollsystems nach dem COSO-Modell sind:

  • Kontrollumfeld
  • Risikobeurteilung
  • Kontrollaktivitäten
  • Information und Kommunikation
  • Überwachung (Quelle: Wikipedia)

IT Service Management (ITIL): 

Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices bzw. Good Practices in einer Reihe von Publikationen, die eine mögliche Umsetzung eines IT-Service-Managements (ITSM) beschreiben und inzwischen international als De-facto-Standard hierfür gelten.

In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden.

Dabei werden die Planung, Erbringung, Unterstützung und Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens betrachtet (Quelle: Wikipedia).

Zurück...