Inhaltsverzeichnis
IT-Sicherheit und Risikomanagement
Die Informationstechnologie trägt wesentlich dazu bei, regulatorische Anforderungen und die Automatisierung der Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien zu erfüllen. Sie ist eine der wichtigsten Komponenten, um Geschäftsziele zu erreichen.
Broschüre zu dem Thema
„Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung“ auf http://www.microsoft.de.
Geben Sie in der Suchfunktion folgenden Text ein: Microsoft Compliance Reifegradmodell.
Motivation aus Sicht geschäftlicher Entscheider
Anforderungen
Regulatorische Anforderungen und geschäftliche Anforderungen
Ziele
- Schutz
- Verfügbarkeit
- Nachvollziehbarkeit
- Transparenz
- Sorgfalt
Kernbereiche
und Motivation
Informationsschutz
- Vertraulichkeit / Integrität von personenbezogenen Daten und Know-how.
- Nachvollziehbarkeit und Transparenz von Prozessen / Informationen.
Risikomanagement
- Risiken identifizieren, analysieren, bewerten, behandeln, überwachen.
- Optimale Zuteilung von Ressourcen für den Schutz von Menschen und Gütern.
Informationsmanagement
- Sorgfalt bei Dokumentation und Archivierung.
- Agilität beim Auffinden von Informationen.
- Prozesse optimieren
Internes Kontrollsystem
- Wirtschaftlichkeit und Wirksamkeit der Geschäftstätigkeit eines Unternehmens.
- Nachvollziehbarkeit, Transparenz und Sorgfalt der internen und externen Rechnungslegung.
Mitwirkungs- und Informationspflicht
- Externe Kommunikation etablieren.
- Frühwarnsystem und Krisenmanagement optimieren.
- Sorgfalt bei Speicherung, Nachvollziehbarkeit und Schutz von Daten.
Risikomanagement
Das Risikomanagement ist Teil interner Kontrollsysteme. Im Rahmen von Jahresabschlussprüfungen wird aufgrund gesetzlicher Bestimmungen verstärkt geprüft, ob im Unternehmen ein funktionstüchtiges Internes Kontrollsystem eingerichtet ist. Kernaufgabe ist die Ordnungsmäßigkeit betrieblicher Abläufe sicherzustellen sowie das Betriebsvermögen zu sichern.
In einem Internen Kontrollsystem werden Risikoprofile erstellt, um Risikobeurteilung und Risikomanagement mit Überprüfung und kontinuierlichem Verbesserungsprozess zu dokumentieren. Mit solcher Aufzeichnung wird die Transparenz der ergriffenen Aktivitäten erhöht. Es wird das Bewusstsein für wesentliche Risiken geschärft und für die notwendigen Steuerungs- und Kontrollmaßnahmen Akzeptanz geschaffen.
Ein Nebeneffekt ist, daß die Aktivitäten für ein Internes Kontrollsystem den Wirtschaftsprüfern darstellbar sind, so dass die Erfüllung externer Anforderungen diesbezüglich nachweisbar wird.
Teilprozesse / Teilprozessziele
- Finanzbuchhaltung mit Agrostar
- Auftragsbearbeitung mit Agrostar
Risikoanalyse
- Risiko-Beschreibung
- Missbräuchliche Verwendung von Finanzdaten
- Missbräuchliche Verwendung von Kundendaten
Risiko-Rating: hoch
Steuerungs- und Kontrollmaßnahmen
- Maßnahmen
- Logische Zugangskontrollen
- Benutzerregistrierung [ISO 27002:2005, 11.2.1]
- max. n Anmeldeversuche [ISO 27002:2005, 11.5.1]
- Mindestlänge und Form von Passwörtern [ISO 27002:2005, 11.5.3]
Verantwortlicher: IT-Leitung
Beurteilung / Schlussfolgerung
Maßnahmen in Kraft und wirksam.
Standards zu dem Thema
- ISO/IEC 27001:2005
- ISO/IEC 27002:2005
- ISO/IEC 27005:2008
Zugangsverwaltung Agrostar
Folgende Arbeiten sind in Agrostar auszuführen:
- B.F.G. Geprüft mit
+
auf keine Erfassungen vorhanden. - B.F.G. Zusatzprogramme Erfassungsdatei gelöscht.
- B.S.R. Geprüft mit auf keine Belege vorhanden.
- D.A.P. Prüfung Haupt- Nebenbuchhaltung
- D.R.D. Datensicherung erstellt
- H.L. Lizenz mit Administrator Sachbearbeiter eingerichtet
- O.B. Benutzergruppen eingerichtet
- Benutzergruppen
- Finanzbuchhaltung
- Auftragsbearbeitung
- Controlling
- Administrator
Zugangskontrolle ist eingerichtet und wirksam
29.08.2011
Autor Otto Riehl
Zu unseren Beiträgen in diesem Weblog.
Besuchen Sie auch:
Unsere Google+ Seite 
Unsere Facebook Seite 