Compliance in drei Stufen

Für das kombinierte Compliance- und Risiko-Management empfiehlt sich eine dreistufige Vorgehensweise mit den Phasen "Assess” (Bewerten), "Operate” (Durchführen) und "Control” (Steuern). Dieser Ansatz basiert in großen Teilen auf den Prinzipien führender Frameworks. Dazu zählen das Enterprise Risk Management Integrated Framework von COSO, die Control Objectives for Information and Related Technology (Cobit) von Isaca und das Risk-Management-Framework des National Institute of Standards and Technology (NIST). Im Gegensatz zu diesen Rahmenwerken eignet sich das im Folgenden beschriebene Verfahren jedoch für nahezu jeden zu implementierenden Prozess.

Beim Assessment gilt es genau zu beachten, was geschützt werden muss und wie hoch die Investitionen in den Schutz sein sollen. Ebenso ist sicherzustellen, dass der Schutz und das Risiko-Management auf Richtlinien (Geschäftsregeln) basieren und nicht auf der Ad-hoc-Beurteilung durch IT-Administratoren und -Architekten. Auf Grundlage korrekter Bewertungen und fachlicher Prioritäten lassen sich anschließend gezielt Sicherheitsmaßnahmen treffen.