Regulatorische Anforderungen erfüllen und Prozesse optimieren
Microsoft veröffentlicht Leitfaden für die Compliance-Unterstützung
Gemeinsam mit der Experton Group hat Microsoft einen Leitfaden für die effiziente Einhaltung von Richtlinien durch automatisierte IT-Prozesse erstellt. Er zeigt Geschäftsführern, Beratern und IT-Entscheidern, wie sie mit geringem Aufwand für Compliance sorgen sowie gleichzeitig Arbeits- und Business-Prozesse verbessern können. Das Whitepaper "Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung" lässt sich kostenlos bei Microsoft unter download.microsoft.com/download/D/5/8/D58EEC38-FBAC-42BC-9C3C-C88C042103DE/IT_Infrastruktur_Compliance_Reifegradmodell_Microsoft_Kranawetter.pdf oder nach Registrierung unter www.searchsecurity.de/whitepaper/downloads/10914 herunterladen.
Herausgeber Michael Kranawetter, Chief Security Advisor bei Microsoft Deutschland, sieht drei
Aspekte, wie Microsoft Unternehmen bei der Umsetzung von IT-Compliance-Anforderungen unterstützen
kann. Erstens basieren nahezu alle Geschäftsprozesse auf IT-Systemen, zweitens beschleunigt die
entsprechende Automatisierung regulatorische Maßnahmen und drittens kann Compliance bereits in die
Handhabung von IT eingebaut werden. So enthielten zum Beispiel viele Microsoft-Produkte
Sicherheitsfunktionen sowie Auditing- und Reporting-Tools. "Nur sind sie oft nicht aktiviert, nicht
passend konfiguriert oder sie arbeiten im falschen Kontext", so Kranawetter.
In fünf Kapiteln beschreibt das Whitepaper, wie Unternehmen auf Basis ihrer bereits bestehenden
Systeme mit wenigen Schritten möglichst viele Richtlinien einhalten. So lassen sich bereits 80
Prozent der Vorschriften durch ein Fünftel des Gesamtaufwands abdecken. Angesichts der
unterschiedlichen Branchenanforderungen und vielen Sonderfälle lässt sich keine allgemeingültige
Übersicht der einzuhaltenden Verordnungen geben. Stattdessen erklärt das Dokument über die
Grundziele Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt, wie möglichst
viele Anforderungen erfüllt werden. Auf IT-Seite lassen sich dabei fünf Kernbereiche ausmachen:
Informationsschutz, Risiko-Management, Informations-Management, Internes Kontrollsystem sowie
Mitwirkungs- und Informationspflicht.
Durch die enge Integration der IT in die Geschäftsprozesse können Workflows so gestaltet werden,
dass Kontrollaufgaben automatisiert ablaufen und relevante Daten automatisch erfasst und
aufbereitet werden. Dadurch lassen sich hohe Einsparpotenziale nutzen sowie Workflows und Reports
effizient gestalten. Zudem erhält die IT einen neuen Stellenwert, sie wandelt sich vom
Dienstleister für verschiedene Unternehmensbereiche zu einem Kernbereich des Unternehmens, da sie
eine umfassende, automatische Compliance ermöglicht.
Das im Leitfaden dargestellte "IT-Infrastruktur Compliance Reifegradmodell" soll bei der
Einschätzung des Compliance-Status eines Unternehmens helfen. Es definiert dazu vier Stufen.
– Basis: IT leistet einen geringen Beitrag zur Compliance und ist eine reine Kostenstelle, ohne
Bezug zum operativen oder strategischen Geschäft.
– Standardisiert: IT trägt sichtbar zur Compliance bei und agiert als effizient geführte
Kostenstelle, hat aber noch wenig Bezug zum operativen und strategischen Geschäft.
– Rationalisiert: IT trägt wesentlich zur Compliance bei und operiert als "Business Enabler" mit
deutlichem Bezug zum operativen und strategischen Geschäft.
– Dynamisch: IT gilt als unentbehrlich für die Compliance und als strategische Ressource,
komplett eingebettet in das operative und strategische Geschäft.
Das Modell zeigt auch auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen
optimieren lässt, um einen höheren Reifegrad zu erreichen. Diese wurden von internationalen und
etablierten Standards abgeleitet.
LANline/jos
Lesen Sie mehr zum Thema
