computerwoche.de

Compliance & Recht

Die rechtlichen Aspekte der IT-Sicherheit, Teil 2

Risiko-Management und IT-Compliance - das sollten Sie wissen

25.02.2010
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Alle Posts des Autors Email:

Nachteilige Folgen bei Verstößen:

- Persönliche Haftung des Vorstands mit dem eigenen Vermögen

- Keine Entlastung des Vorstands: das LG München hat am 05.04.2007 entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf.

Anerkannte Standards und Zertifizierung

Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie:

- Wirtschaftsprüfer (KonTraG)

- Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II

- Interne Revision

Anerkannte Standards und Zertifizierungen wie

- ISO/IEC 27001 - der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung

- BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement

-- 100-1 Managementsystem für Informationssicherheit (ISMS)

-- 100-2 IT-Grundschutz-Vorgehensweise

-- 100-3 Risikoanalyse auf der Basis von IT-Grundschutz

-- 100-4 Notfallmanagement

-- ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz

machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung.