IT-Compliance

LEITFADEN
IT-COMPLIANCE - GRUNDLAGEN, REGELWErke, UMSETZUNG

(2021)

Der Stellenwert der IT in Unternehmen nimmt stetig zu. Das liegt im Wesentlichen am wachsenden IT-Anteil in den Geschäftsprozessen. Zudem steigen gleichzeitig die gesetzlichen und regulatorischen Anforderungen an den Betrieb der IT und die Ausgestaltung der IT-Prozesse. Konsequenterweise führt dies dazu, dass die IT verstärkt in den Fokus von Prüfungen gerät. Diese Entwicklungen haben vor allem Einfluss auf die Informationssicherheit, das IT-Risikomanagement und die IT-Compliance. Vor allem Letztere erlebt derzeit einen Wandel in ihrer Bedeutung, ihrer Rolle und im Umfang ihrer Tätigkeit. Damit stehen die für IT-Compliance Verantwortlichen der Herausforderung gegenüber, sich an verändernde Rahmenbedingungen und Erwartungen anpassen und mit fachlichen und methodischen Veränderungen Schritt halten zu müssen. Die Fachgruppe IT-Compliance des ISACA Germany Chapters hat diese Entwicklung zum Anlass genommen, grundlegende Konzepte und Modelle der IT-Compliance zu beleuchten und praxisorientiert Stellung zu der aktuell erforderlichen Ausgestaltung der IT-Compliance-Funktion zu nehmen. Die Ergebnisse sind im Leitfaden IT-Compliance erschienen.

Leitfaden
Auftragsdatenverarbeitung unter Berücksichtigung von Standards

(2011)

Die Fachgruppe Datenschutz veröffentlichte im Mai den Leitfaden zur Prüfung Auftragsdatenverarbeitung:

Im Rahmen der Änderung des Bundesdatenschutzgesetzes vom 14.08.2009 wurde §11 BDSG sowohl umfangreich um eine detaillierte Aufstellung der vertraglich festzulegenden Fakten als auch um eine (wiederkehrende) Prüfpflicht für den Auftraggeber/die verantwortliche Stelle (Text des §11 BDSG siehe Anlage A) erweitert.

Ob und welche Prüfungen im Detail durchzuführen sind, hängt davon ab, ob es sich bei den durchgeführten ausgelagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV) handelt.

Dieser Leitfaden wurde als Praxishilfe durch die Fachgruppe Datenschutz erstellt und soll Unternehmen, öffentlichen Stellen und Dienstleistern sowie speziell auch den Mitarbeitern aus den Bereichen Interne Revision, ITSicherheit und Datenschutz eine Übersicht über die relevanten Themengebiete und die Abgrenzungen der datenschutzrechtlich erforderlichen Prüfung geben. Die fallweise Ausgestaltung der Prüfung ist dabei natürlich risikoorientiert anzulegen und richtet sich nach den jeweils vorgefundenen Gegebenheiten in Bezug auf das Kontrollumfeld, die betroffenen Arten von Daten, Art und Orte der Verarbeitung sowie die konkreten Vertragsbeziehungen.

Neben der Darstellung der vom BDSG geforderten Prüfkriterien wird auch ein Mapping auf etablierte Standards zur Verfügung gestellt, das es dem Prüfer erleichtert, redundante Prüfungen zu minimieren, sofern er bereits unabhängig zum Datenschutz eine Prüfung gegen COBIT, BSI IT-Grundschutz oder ISO 27xxx durchführt.