1. Januar 2019 T-Systems

IT-Compliance Checks – das interne Audit, das proaktiv Unternehmens-prozesse verbessert

In regelmäßigen Abständen werden Kundenverträge hinsichtlich der Einhaltung der IT-Compliance geprüft. [...]

Im Gegensatz zu Kundenaudits geschieht dies bei IT-Compliance Checks bereits proaktiv innerhalb des Unternehmens und liefert vorab entsprechende Nachweise für zukünftige Kundenaudits. Es hilft dabei, Unternehmensrisiken zu vermeiden bzw. erheblich zu reduzieren.

Was ist IT Compliance-Checks?
Hierbei handelt es sich um die Einhaltung der gesetzlichen, vertraglichen und unternehmensinternen Regelungen der Unternehmens-IT-Landschaft. Das Unternehmen befindet sich im Zustand der Anforderungskonformität mit der IT und setzt diese mit IT-Unterstützung um.
Zu IT-Compliance-Anforderungen zählen hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz. Die Nichteinhaltung zahlreicher rechtlicher Verpflichtungen können zu hohen Geldstrafen und Haftungsverpflichtungen führen. Weitere Regeln werden zudem durch EU-Richtlinien, internationale Konventionen sowie unternehmensinterne Konventionen hinzugefügt.

IT Compliance-Checks
Das Compliance Management definiert, wie wir mit internen und externen regulatorischen Anforderungen umgehen und wie wir im Interesse unserer Stakeholder Risiken vermeiden oder minimieren. Mehr und mehr Kunden fordern von T-Systems sog. IT-Compliance Nachweise in Bezug auf rechtliche, regulatorische, interne und vertragliche Richtlinien oder Anforderungen an Datenverarbeitungssysteme. Das ist auch der Grund, warum Kunden Audits zur IT-Compliance-Prüfung durchführen. Um die Aufwände und Kosten für solch eine Audit-Vorbereitung zu reduzieren, gibt es bei T-Systems ein Team, das proaktiv und systematisch IT-Compliance Checks durchführt. Der Fokus liegt auf High-Risk-Areas (sog. Cluster), um die Einhaltung der IT-Compliance mit den Kundenanforderungen und T-Systems Sicherheitsstandards (ESARIS) mithilfe entsprechender Belege sicherzustellen.

Vorteile der IT-Compliance Checks
IT-Compliance Checks sorgen dafür, dass Kundenanforderungen, Gesetze sowie die Unternehmensrichtlinien erfüllt werden. Mithilfe dieser Prüfungen werden mögliche Lücken identifiziert und beseitigt, indem sie Service Delivery Manager bei der Einführung von Stakeholder Anforderungen unterstützen und Transparenz schaffen. Weiters helfen sie interne und externe Anforderungen zu erfüllen und unnötigen Druck zu vermeiden, da die Evidenzen für Compliance direkt verfügbar sind und somit auch die Kundenzufriedenheit steigern.

IT-Compliance Check Cluster

Hardening
Hardening ist ein Prozess, ein System zu schützen, indem dessen Angriffsfläche reduziert wird. Die Härtung erfolgt in mehreren Stufen: Die Benutzung von Antivirus- und Antispyware-Schutz, ein regelmäßiger Download der Hersteller-Patches, die Sperrung unnötiger Software und Applikationen führen zu sicheren und besser geschützten Computern, die schwerer zu knacken sind. Im Fokus dieses Cluster Checks stehen, welche Systeme automatisch überwacht werden, welche Systemausnahmen es gibt, wie diese dokumentiert sind und wie die Risiken für ausgenommene Systeme gewichtet und von wem diese akzeptiert werden.

Patch Level Management
Der Umfang der Compliance Checks umfasst dabei, welche Systeme automatisch von speziellen Applikationen überwacht werden, wie die Verfügbarkeit der Informationen zu den Patch-Level-Ständen aller Systeme ist und wie/ob der Entscheidungsprozess und die Vereinbarung zum Umgang von Schwachstellen, Risiken und Ausnahmen dokumentiert wurde.

User Access Management
Das Access Management ist ein Prozess, der autorisierten Benutzern das Recht erteilt, einen Service zu nutzen, während der Zugriff von nichtautorisierten Benutzern verhindert wird. Hier wird geprüft, welche vertraglichen Kundenanforderungen hinsichtlich des User-Managements für privilegierte Accounts betrachtet werden, auf welchen Dokumenten das Management von Benutzer-Accounts geregelt ist und von wem die Konformität mit dem beschriebenen Prozess geprüft wurde.

Backup & Restore
Im Falle eines Systemfehlers, bei dem ordnungsgemäße Wiederherstellungsmechanismen sichergestellt werden müssen, um das System wieder zum Laufen zu bringen, ist ein Systembackup essentiell. Ohne ordentliche Backup-Pläne und –verfahren kann man in Situationen geraten, bei denen nur noch eine Teilwiederherstellung möglich oder im schlimmsten Fall gar keine Wiederherstellung mehr möglich ist. Scope der Prüfungen sind, welche Systeme genau überwacht werden, welche Ausnahmen es gibt und wie diese dokumentiert sind sowie ob entsprechende Backups ausgeführt werden.

IT Service Continuity Management & Disaster Recovery
Der IT Service Continuity Management Prozess steuert Risiken, die zu ernsten Vorfällen auf den IT-Services führen könnten, welche kritischen Geschäftsprozesse des Unternehmens unterstützen. Dieser Prozess stellt sicher, dass es möglich ist ein Minimum an Service Leveln anzubieten. Dies erfolgt durch Risiko-Reduzierung auf ein akzeptables Niveau und durch Einrichtung eines Wiederherstellungsplans für die IT-Services im Falle einer Unterbrechung eines kritischen IT-Services.

Der Check umfasst hier, welche vertraglichen Kundenanforderungen hinsichtlich Service Continuity Management und Disaster Recovery beachtet werden müssen, ob die Anforderungen in einer Dokumentation oder technischen Löschung beschrieben bzw. berücksichtigt sind sowie von wem die Konformität des beschriebenen Prozesses geprüft wurde.

Weitere Informationen unter: www.t-systems.at oder blog.t-systems.at

 


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*