Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur

Tool-gestützte Lösungen erleichtern die Einhaltung regulatorischer Anforderungen wie der des ISO/IEC 27001 und des Sarbanes-Oxley Act
Kurzfassung: Die IT-Infrastrukturen von Unternehmen müssen Anforderungen aus gesetzlichen Vorschriften und Regulierungen (Sarbanes-Oxley Act), Standards (PCI DSS, COBIT), Normen (ISO/IEC 27001) und internen Vorgaben genügen. Diese müssen über entsprechende Prozesse, Ressourcen und Richtlinien auf operativer Ebene umgesetzt werden. Zur Bewertung der Effektivität der gewählten Maßnahmen wird ein umfangreiches internes Kontrollsystem vorausgesetzt. Die Qualität dieses Kontrollsystems und die enge Verzahnung mit Prozessen des IT-Risikomanagements sind entscheidend.
Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur novum online - das online Magazin der noventum consulting GmbH
[noventum consulting GmbH - 09.10.2015] novum online - das online Magazin der noventum consulting GmbH

Die IT-Infrastrukturen von Unternehmen unterschiedlicher Branchen, insbesondere Unternehmen des Finanzsektors, müssen einer steigenden Anzahl interner und externer Anforderungen genügen. Dazu zählen Anforderungen aus gesetzlichen Vorschriften und Regulierungen (Sarbanes-Oxley Act), Standards (PCI DSS, COBIT), Normen (ISO/IEC 27001) und internen Vorgaben. Diese müssen im Rahmen der IT-Governance auf strategischer Ebene berücksichtigt und über entsprechende Prozesse, Ressourcen und Richtlinien auf operativer Ebene umgesetzt werden. Zur Bewertung der Effektivität der gewählten Maßnahmen und der Einhaltung der zuvor genannten Anforderungen aus Sicht der IT-Compliance wird ein umfangreiches internes Kontrollsystem vorausgesetzt. Die Qualität dieses Kontrollsystems und die enge Verzahnung mit Prozessen des IT-Risikomanagements sind entscheidend. Einerseits soll damit die Qualität der IT-Infrastruktur kontinuierlich gesteigert werden, indem IT-Risiken identifiziert, analysiert, bewertet und mit geeigneten Maßnahmen behandelt werden. Andererseits wird die Effektivität und Effizienz von Auditierungen maßgeblich beeinflusst, was immer mehr Unternehmen motiviert, in eine umfassende, integrierte und Tool-gestützte IT-Governance, Risk and Compliance (IT GRC) Lösung zu investieren.

Die Symantec Control Compliance Suite bietet umfassende Möglichkeiten

Der Hersteller Symantec bietet mit der Symantec Control Compliance Suite (CCS) ein umfangreiches modulares IT GRC Toolset mit einer hochgradig skalierbaren Architektur. Die insgesamt sieben Module decken unterschiedliche Funktionsbausteine ab. Diese sind über eine einheitliche CCS-Infrastrukturkomponente, ein zentral definiertes Asset System und ein einheitliches Kontrollsystem flexibel kombinierbar und integrierbar.

So lassen sich über die Infrastrukturkomponente Daten unterschiedlicher Module und Daten von Drittanbietern zusammenführen und ergeben letztlich ein Gesamtbild mit vielfältigen Auswertungsmöglichkeiten für Risiko- und Compliance-Bewertungen. Gegenstand dieser Bewertungen sind IT und Business Assets, die über das Asset System verwaltet werden. Das Kontrollsystem definiert die Gesamtheit aller Kontrollen. Eine Kontrolle kann mit mehreren Mandaten (gesetzliche Vorschriften, Regulierungen, Standards, Normen, etc.) in Beziehung gesetzt werden. So wird einerseits ein mandatsbezogenes Berichtswesen ermöglicht, andererseits werden Redundanzen auf Kontrollebene vermieden, welche durch das direkte Ableiten von Kontrollen aus redundanten Anforderungen unterschiedlicher Mandate auftreten können. Die detaillierte Umsetzung einer Kontrolle wird durch Zuweisung von technischen oder organisatorischen Prüfungen spezifiziert.

Ein mehrschichtiges Kontrollsystem hilft, kostspielige Redundanzen zu vermeiden

Einer Kontrolle können mehrere zielsystemspezifische Prüfungen zugeordnet werden, um Konfigurationen auf Zielsystemen unterschiedlicher Betriebssysteme und Betriebssystemversionen ermitteln und auswerten lassen zu können. Neben der Definition der Zielwerte und -intervalle einzelner Prüfungen lassen sich zudem Risikofaktoren pflegen, um das Risiko bei auftretenden Abweichungen bewerten zu können.

Organisatorische Prüfungen lassen sich Tool-gestützt über das Erstellen, Verteilen, Sammeln und Auswerten von Fragebögen durchführen. Die technischen Prüfungen hingegen werden über konfigurierbare und planbare Prozesse automatisiert. Zunächst werden die Rohdaten bzgl. der relevanten Systemkonfigurationen über einen oder mehrere CCS-Server agentenbasiert (über eine auf dem Zielsystem installierte Agentensoftware) oder agentenlos (über einen privilegierten funktionellen Benutzer) von den Zielsystemen ermittelt und abgespeichert. Anschließend werden sie über einen Auswertungsprozess gemäß der in den Prüfungen definierten Zielvorgaben und Risikofaktoren evaluiert.

Vielfältige Auswertungen über Dashboards und Berichte

Die Auswertungsergebnisse können am Ende über vordefinierte sowie kundenindividuelle Berichte und Dashboards adressatengerecht auf unterschiedlichem Detaillierungsniveau und bezogen auf unterschiedliche Mandate ausgegeben und veröffentlicht werden.

Folgeaktivitäten, wie das Akzeptieren von Abweichungen bei Risikoübernahme durch eine dazu autorisierte Partei (Exception Management) oder das Einleiten von Maßnahmen zur Behebung von Abweichungen (Remediation), werden im Tool oder durch Integrationsmöglichkeiten, wie z.B. Programmierschnittstellen zur Anbindung von Ticketsystemen, unterstützt.

noventum unterstützt Einführung der Symantec Control Compliance Suite

noventum unterstützt ein international tätiges Unternehmen der Telekommunikationsbranche bei der Einführung der Symantec Control Compliance Suite. CCS soll künftig ein zentraler Bestandteil eines neuen IT-Service sein, der die Compliance und die Risiken der IT-Infrastruktur in den betriebenen Rechenzentren bewertet. Die aufgedeckten Handlungsbedarfe sollen zu Maßnahmen und kontinuierlichen Verbesserungen der in den Rechenzentren betriebenen IT-Services führen. Ein weiteres hoch priorisiertes Ziel ist es, die Nachweise für Auditierungen im Rahmen des Sarbanes-Oxley Act (SOX) und des Payment Card Industry Data Security Standards (PCI DSS) effektiver und effizienter bereitstellen zu können.

Zur Datenbewirtschaftung des Asset Systems der Control Compliance Suite mit IT und Business Assets wurde auf Basis des Microsoft SQL Servers und der Microsoft SQL Server Integration Services (SSIS) eine Schnittstelle entwickelt. ...

Lesen Sie den vollständigen Artikel auf novum online, dem online Magazin der noventum consulting GmbH:

http://www.noventum.de/de/novum-artikel/umfassendes-it-governance-risk-and-compliance-steigert-die-qualitaet-der-it-infrastruktur.html
Weitere Informationen
noventum consulting GmbH
noventum consulting GmbH noventum consulting ist eine international tätige IT Management Beratung. Der Schwerpunkt unserer Arbeit liegt in Deutschland. Hier bedienen wir unsere Kunden von unseren Standorten Münster, Düsseldorf und Frankfurt/M. International sind wir in der Türkei, Südafrika und Luxemburg vertreten.
Unser Beratungsansatz unterscheidet strategische, prozessuale und technische Fragestellungen. Er beginnt bei der Analyse von Auswirkungen technischer, wirtschaftlicher und gesellschaftlicher Trends auf die IT, begleitet die IT-Strategiefindung und endet in der technischen Umsetzung. Den Schwerpunkt unseres Dienstleistungsangebotes bildet dabei die Definition, Optimierung und Implementation kaufmännischer und IT-Prozesse.
noventum consulting GmbH, Herr Daniel Christoph
Münsterstrasse 111, 48155 Münster, Deutschland
Tel.: 02506 93020; http://www.noventum.de
Weitere Meldungen dieses Unternehmens
Erfolgreiche Pressearbeit eBook
Pressearbeit
Eine Pflichtlektüre für mehr Sichtbarkeit durch Pressemitteilungen.
Pressekontakt Herr Dr. Matthias Rensing

noventum consulting GmbH
Münsterstrasse 111
48155 Münster
Deutschland

E-Mail:
Web:
Tel:
02506 93020
Fax:
Drucken Weiterempfehlen PDF
Schlagworte
Permanentlinks https://www.prmaximus.de/129226

https://www.prmaximus.de/pressefach/noventum-consulting-gmbh-pressefach.html
Die Pressemeldung "Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur" unterliegt dem Urheberrecht. Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors. Autor der Pressemeldung "Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur" ist noventum consulting GmbH, vertreten durch Daniel Christoph.