Checkliste für die Einführung

IT-Compliance-Prozesse einzuführen it eine komplexe Angelegenheit. Wer Systematik hineinbringen will, kann sich an folgenden Fragen orientieren:

1. Welche Rechtsnormen gelten genau für die IT meines Unternehmens? (Sortieren Sie diese nach Vorschriften für alle Unternehmen sowie dediziert nach Rechtsform, Branche und Ort der Business-Tätigkeit.)

2. Welche Vorgaben, Frameworks und Best Practices (Corporate- und IT-Governance) hat sich mein Unternehmen gesetzt?

3. Welche IT-gestützten Business-Prozesse und übergreifenden IT-Services sind davon betroffen, welche Anforderungen müssen dafür erfüllt sein?

4. Welche Risiken gibt es - mit welchem Schadenspotenzial infolge fehlender oder mangelhafter Compliance?

5. Welche konkreten IT-Compliance-Anforderungen haben die einzelnen IT-Lieferanten (interne und externe Provider sowie technische Bereiche) zu erfüllen (zum Beispiel Active Directory, SAP, Datenbanken oder Netz)?

6. Welche technischen, organisatorischen, personellen und vertraglichen Maßnahmen sind für die dauerhafte Erfüllung der IT-Compliance zu treffen?

7. Wie kann der Erfolg in einem dauerhaften Prozess (ähnlich dem Security-, Risiko-Management- oder IKS-Prozess nach Best Practices) etabliert und abgesichert werden?

8. Welche Schlüsse sind aus einem kontinuierlichen Verbesserungsprozess zu ziehen (Review, Folgemaßnahmen)?

Wenn Sie diese Reihenfolge als grobe Leitlinie für ein IT-Compliance-Projekt und dessen nachfolgende Implementierung in der Linienorganisation berücksichtigen, können Sie so falsch gar nicht liegen. (qua)