Begin creating document
This commit is contained in:
parent
994aef0ec1
commit
455bc96bbf
251
document.tex
251
document.tex
|
|
@ -85,25 +85,258 @@ Website: \texttt{http://www.hs-hannover.de}
|
|||
\maketitle
|
||||
|
||||
\begin{abstract}
|
||||
Oh my god, this paper is really long \dots
|
||||
Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
|
||||
\keywords{IT-Compliance, ISO 27001, Cloud}
|
||||
\end{abstract}
|
||||
|
||||
% Ab hier geht es wirklich richtig los! Keine Chapters hier!
|
||||
|
||||
\section{Motivation}
|
||||
|
||||
Jajaja \dots
|
||||
|
||||
\section{Motivation}
|
||||
\section{Compliance und IT-Compliance}
|
||||
|
||||
\subsection{Begriff: Compliance}
|
||||
\begin{itemize}
|
||||
\item A
|
||||
\item B
|
||||
\item C
|
||||
\item $\rightarrow$ Alphabet!\cite{foo:bar}
|
||||
\item Begriff aus betriebswirtschaftlicher Fachsprache
|
||||
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
|
||||
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
|
||||
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
|
||||
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Einstieg in Compliance}
|
||||
\begin{itemize}
|
||||
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
|
||||
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
|
||||
\item Mögliche Optionen:
|
||||
\begin{itemize}
|
||||
\item Juristische Beratung einkaufen
|
||||
\item Mitarbeiter für juristische Fragen einstellen
|
||||
\item Eine eigene Rechtsabteilung aufbauen
|
||||
\end{itemize}
|
||||
\item $\rightarrow$ Erste Kosten entstehen
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Compliance sicherstellen}
|
||||
\begin{itemize}
|
||||
\item Compliance Management System (CMS)
|
||||
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
|
||||
\item $\rightarrow$ Integriert sich tief in das Unternehmen
|
||||
\item Ziele:
|
||||
\begin{itemize}
|
||||
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
|
||||
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
|
||||
\end{itemize}
|
||||
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
|
||||
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Begriff: IT-Compliance}
|
||||
\begin{itemize}
|
||||
\item Compliance im IT-Bereich
|
||||
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
|
||||
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
|
||||
\begin{itemize}
|
||||
\item Informationssicherheit
|
||||
\item Verfügbarkeit
|
||||
\item Datenaufbewahrung
|
||||
\item Datenschutz
|
||||
\end{itemize}
|
||||
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
|
||||
\end{itemize}
|
||||
|
||||
\subsection{IT-Compliance: Nichts als teurer Unfug?}
|
||||
\begin{itemize}
|
||||
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
|
||||
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
|
||||
\begin{itemize}
|
||||
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
|
||||
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
|
||||
\end{itemize}
|
||||
\item Und: Zusätzliche Kosten durch Folgeschäden:
|
||||
\begin{itemize}
|
||||
\item Verfahrenskosten
|
||||
\item Schadenersatzansprüche
|
||||
\item Rückabwicklungen
|
||||
\item Imageverlust / Vertrauensverlust, \dots
|
||||
\end{itemize}
|
||||
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Vorteile von IT-Compliance}
|
||||
\begin{itemize}
|
||||
\item Unternehmensintern:
|
||||
\begin{itemize}
|
||||
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
|
||||
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
|
||||
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
|
||||
\end{itemize}
|
||||
\item Extern:
|
||||
\begin{itemize}
|
||||
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
|
||||
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
|
||||
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
|
||||
\end{itemize}
|
||||
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
|
||||
\end{itemize}
|
||||
|
||||
|
||||
\section{Cloud-Angebote}
|
||||
|
||||
\subsection{Begriff: Cloud-Angebote}
|
||||
\begin{itemize}
|
||||
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
|
||||
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
|
||||
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
|
||||
\item $\rightarrow$ Global vernetzte Infrastruktur
|
||||
\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert
|
||||
\item Je nach Standort andere Rechtslage
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Cloud-Angebote aus Sicht der Kunden}
|
||||
\begin{itemize}
|
||||
\item Eigene IT kostet zu viel, es soll gespart werden
|
||||
\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit
|
||||
\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben
|
||||
\begin{itemize}
|
||||
\item Bundesdatenschutzgesetz muss eingehalten werden
|
||||
\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben!
|
||||
\item Die Daten sollen jederzeit verfügbar sein
|
||||
\item Die Daten sollen Deutschland nicht verlassen
|
||||
\end{itemize}
|
||||
\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Cloud-Angebote aus Sicht der Anbieter}
|
||||
\begin{itemize}
|
||||
\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen
|
||||
\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung
|
||||
\item $\rightarrow$ (IT-)Compliance sichert eigene Existenz
|
||||
\item Kunden haben je nach Land unterschiedliche Rechte
|
||||
\item $\rightarrow$ Angebote müssen entsprechend konform gehen
|
||||
\item Kunden haben Anforderungen an die Datensicherheit
|
||||
\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können
|
||||
\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein
|
||||
\end{itemize}
|
||||
|
||||
|
||||
\section{ISO 27001}
|
||||
|
||||
\subsection{Steckbrief: ISO 27001}
|
||||
\begin{itemize}
|
||||
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
|
||||
\item Gehört zur Familie der ISO 2700X
|
||||
\item Anforderungen an ein Information Security Management System (ISMS)
|
||||
\begin{itemize}
|
||||
\item Ähnlicher Ansatz zu Compliance Management System
|
||||
\item Fokus auf Datensicherheit
|
||||
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
|
||||
\item Anwendung von Risikomanagementprozessen
|
||||
\end{itemize}
|
||||
\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf
|
||||
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Inhalte und Ziele der ISO 27001}
|
||||
\begin{itemize}
|
||||
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
|
||||
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
|
||||
\item Anwendungsgebiete: (Auszug)
|
||||
\begin{itemize}
|
||||
\item Managen von \textbf{Sicherheitsrisiken}
|
||||
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
|
||||
\item Definition von Managementprozessen zum Managen von Informationssicherheit
|
||||
\item Nutzung durch Auditoren als \enquote{Checkliste}
|
||||
\end{itemize}
|
||||
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Auswirkungen der ISO 27001}
|
||||
\begin{itemize}
|
||||
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
|
||||
\item Verursachte Kosten:
|
||||
\begin{itemize}
|
||||
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
|
||||
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
|
||||
\item Audit Kosten durch Zertifizierungsunternehmen
|
||||
\end{itemize}
|
||||
\item Konformität nach ISO 27001 zeigen?
|
||||
\begin{itemize}
|
||||
\item Selbst Konformität verkünden
|
||||
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
|
||||
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
|
||||
\end{itemize}
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Nutzen der ISO 27001}
|
||||
\begin{itemize}
|
||||
\item Langfristige Kostensenkung durch strukturierte Prozesse
|
||||
\item Risikominimierung
|
||||
\begin{itemize}
|
||||
\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken
|
||||
\item $\rightarrow$ Geringere Versicherungsbeiträge
|
||||
\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren
|
||||
\end{itemize}
|
||||
\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit
|
||||
\item $\rightarrow$ Imageverbesserung
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Relevanz der ISO 27001 für Cloud-Angebote}
|
||||
\begin{itemize}
|
||||
\item Internationaler Standard, weltweit anerkannt
|
||||
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen
|
||||
\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit
|
||||
\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt
|
||||
\item Zertifizierung und regelmäßige Audits stellen Konformität sicher
|
||||
\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen
|
||||
\end{itemize}
|
||||
|
||||
|
||||
\section{Umsetzung von Compliance}
|
||||
|
||||
\subsection{Einführung von Compliance}
|
||||
\begin{itemize}
|
||||
\item Management führt Compliance mit CMS (Compliance Management System) ein
|
||||
\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots
|
||||
\item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei
|
||||
\item $\rightarrow$ Soweit alles gut \dots
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Fall 1\: Umgehung von Compliance}
|
||||
\begin{itemize}
|
||||
\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig
|
||||
\item Warum also sollte man versuchen wollen, Compliance zu umgehen?
|
||||
\item $\rightarrow$ Management fordert höhere Produktivität
|
||||
\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität
|
||||
\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen
|
||||
\end{itemize}
|
||||
|
||||
\subsection{Fall 2: Lähmung durch Compliance}
|
||||
\begin{itemize}
|
||||
\item Ausgangssituation: Compliance ist im Unternehmen etabliert
|
||||
\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben
|
||||
\begin{itemize}
|
||||
\item Reaktion: Management führt Genehmigungsprozesse ein
|
||||
\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt}
|
||||
\end{itemize}
|
||||
\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig
|
||||
\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle!
|
||||
\item $\rightarrow$ Kommunikation vom Management ist wichtig!
|
||||
\end{itemize}
|
||||
|
||||
|
||||
\section{Fazit}
|
||||
|
||||
\subsection{Abschließendes Fazit}
|
||||
\begin{itemize}
|
||||
\item Kunden wollen stabile und reife Unternehmen als Vertragspartner
|
||||
\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität
|
||||
\item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit
|
||||
\item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb)
|
||||
\item Compliance ist überlebenswichtige Versicherung für Unternehmen
|
||||
\item Compliance muss vom Management richtig kommuniziert werden
|
||||
\end{itemize}
|
||||
|
||||
|
||||
\section{Literaturverzeichnis}
|
||||
% Literaturverzeichnis
|
||||
% Schlüssel als Buchstaben
|
||||
|
|
|
|||
Loading…
Reference in New Issue