Nachteilige Folgen bei Verstößen:
- Persönliche Haftung des Vorstands mit dem eigenen Vermögen
- Keine Entlastung des Vorstands: das LG München hat am 05.04.2007 entschieden, dass der Vorstand bei Verstößen gegen das Risikofrüherkennungssystem nicht entlastet werden darf.
Anerkannte Standards und Zertifizierung
Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden ist die Nachweisbarkeit der geprüften Sicherheit nach außen, etwa für Anforderungen von Dritten wie:
- Wirtschaftsprüfer (KonTraG)
- Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor im Rahmen von Basel II
- Interne Revision
Anerkannte Standards und Zertifizierungen wie
- ISO/IEC 27001 - der erste internationale Standard zum IT-Sicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung
- BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement
-- 100-1 Managementsystem für Informationssicherheit (ISMS)
-- 100-2 IT-Grundschutz-Vorgehensweise
-- 100-3 Risikoanalyse auf der Basis von IT-Grundschutz
-- 100-4 Notfallmanagement
-- ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz
machen die Schaffung von Informationssicherheit nachprüfbar und führen zu höherer Beweissicherheit und Haftungsentlastung.