Post on 06-Mar-2018
Effizienter Umgang mit Governance-, Risk- und
Compliance Anforderungen
DI Markus Hefler, BSc, CISA, CISM Leiter Information Security & Audit
Raiffeisen Informatik Center Steiermark GmbH
Agenda
1. Vorstellung der RRZ GmbH
2. GRC im Überblick
3. GRC Anforderungen an das RRZ
4. Umsetzung der Anforderungen
5. Zusammenfassung
Serviceportfolio
HOSTING
TIERED STORAGE
BACKUP
DISASTER RECOVERY
IAAS DATA
REPLICATION
DATA SECURITY
HOUSING
WAN SERVICES ISP / SPLA
DATA
CENTER NETWORK
MGMT
ERP HOSTING
MESSAGING
ARCHIV
UC
PAAS ECM
CO
NSU
LTIN
G S
ERVI
CES
SER
VIC
E M
AN
AG
EMEN
T (IT
IL)
SYST
EM M
AN
AG
EMEN
T &
SU
PPO
RT
SER
VIC
E D
ESK
GRC – Ein wichtiges Thema? GRC Vorgaben entstehen aus: • Auflagen im Rahmen von Wirtschaftsprüfungen
(z.B.: ISAE 3402) • der Umsetzung branchenspezifischer, gesetzlicher
Vorgaben (z.B.: Basel I-III) • der Umsetzung unternehmensrechtlicher Vorgaben
(z.B.: UGB) • der Umsetzung von spezifischen Normen und Standards
(z.B.: ISO/IEC 27001, ISO/IEC 20000, CobiT)
GRC Anforderungen an das RRZ
• Standardisiertes Prozessmanagement nach ISO/IEC 20000
• Information Security Management nach ISO/IEC 27001
• Einsatz des CobiT Management Frameworks zur Umsetzung der IT-Governance Anforderungen (ISAE 3402)
GRC im Überblick
COMPLIANCE RISIKO
GOVERNANCE
• Strategie • Prozesse • Menschen • Technologie
Messung der Zielerreichung
Governance
Führungs- kultur
Unternehmens- ziele
Business IT-Alignment
Richtlinien
Ressourcen Management
Steuerung - Governance
Einhaltung von Vorgaben - Compliance
Compliance
IT-Sicherheit
Verfügbarkeit
Normen
SLAs
Datenschutz
Auf-bewahrung
Gesetze
OLAs
Umsetzung im RRZ
• „Leben“ normierter Managementsysteme ([IT]SMS, ISMS) • Vorteile daraus:
– Verbesserte Transparenz und Nachvollziehbarkeit der Abläufe – Unterstützung bei der Erreichung der strategischen Ziele – Effektive Steuerung der inhärenten Risiken Ihrer Geschäftsprozesse – Kontrolle der Wirtschaftlichkeit und Angemessenheit von Maßnahmen
• „Übersetzen“ gesetzlicher Bestimmungen in anwendbare Richtlinien
Harmonisierter Prüfungsansatz
ISMS Kontrollen
ISO/IEC 27001 ISAE 3402 ISO/IEC 20000
IKS Kontrollen
Internes ISO Audit
ITSM Kontrollen
Internes ISO Audit Follow-Up der Empfehlungen
Externes ISO Audit Externes ISO Audit Externes ISAE 3402 Audit
Harmonisierte Kontrollbeschreibungen
Zusammenfassung • Einsatz normierter Managementsysteme (ITSM, ISMS) • SIP als Werkzeug zur Weiterentwicklung und
Effizienzsteigerung nutzen • Angemessenheit der Kontrollen und RM-Maßnahmen
beachten • Adäquate Maßnahmenumsetzung unter Berücksichtigung
von Kosten- und Nutzenaspekten
http://www.dashboardinsight.com/news/news-posts/governance-risk-management-and-compliance.aspx