Erste Erfolge haben sich schon eingestellt
Auf der Basis der Auswertungen konnte die PVA bereits erste Maßnahmen umsetzen, mit denen sich die festgestellten Risiken verringern lassen. Um eine bessere Business-Continuity sicherzustellen, wurden Standards für die Infrastruktur von IT-Räumen etabliert, die Vorgehensweise bei der Entsorgung von IT-Equipment verbessert und ein Workflow für die Dokumentation solcher Vorfälle definiert, die sich möglicherweise negativ auf die Informationssicherheit auswirken.
"Die Softwarelösung verringert den Aufwand zum Erhalt der Informationssicherheit nach ISO/IEC 27001", bestätigt Walzer: "Der Nachweis für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ist immer gewährleistet."
Darüber hinaus ist die Abbildung des Datenmodells aus Walzers Sicht eine Investition in die Zukunft: "Sollten wir einmal ein eigenständiges System für die Sicherung der Business-Continuity oder das Quality-Management aufsetzen, so stehen die eingepflegten Daten auch für diese Module bereichsübergreifend zur Verfügung." Und auf diese Weise hat die PVA bereits eine wichtige Hürde für die Einführung einer unternehmensweiten Strategie für Governance, Risk, Compliance (GRC) genommen.
Was ist GRC?
-
Governance, Risk, Compliance, kurz: GRC - diese drei Buchstaben rauben Geschäftsführern und Vorständen, aber auch IT-Chefs vielfach den Schlaf.
-
GRC vereint Regeln, Strukturen und Prozesse, die dafür sorgen, dass die Ressourcen eines Unternehmens (oder im Falle der IT-Governance: die IT-Ressourcen) im Sinne der Unternehmensziele eingesetzt werden.
-
Das Ziel einer GRC-Strategie ist es, nachzuweisen, dass die Compliance eingehalten wird, also den externen und internen Vorgaben Genüge getan ist - unter Berücksichtigung der eigenen Unternehmensziele und der individuellen Risikobereitschaft.
-
Auf die IT bezogen manifestiert sich GRC häufig im Einsatz international etablierter Verfahren und Rahmenwerke wie Cobit oder Itil.
-
Die strenge Orientierung an Best-Practice-Vorgaben soll helfen, Unklarheiten zu beseitigen und transparente Prozesse zu schaffen.
-
Damit sinkt entweder die Wahrscheinlichkeit, dass ein negatives Ereignis eintritt, oder es steigt die Chance, dass im Ernstfall schnell auf Notfallprozesse zugegriffen werden kann.