Microsoft veröffentlicht Leitfaden für die Compliance-Unterstützung durch die IT
Unterschleißheim, 8. Juni 2009. Gemeinsam mit der Experton Group hat Microsoft einen Leitfaden für die effiziente Einhaltung von Richtlinien durch automatisierte IT-Prozesse erstellt. Er zeigt Geschäftsführern, Beratern und IT-Entscheidern, wie sie mit geringem Aufwand für Compliance sorgen sowie gleichzeitig Arbeits- und Business-Prozesse verbessern können. Das Whitepaper „Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung“ lässt sich kostenlos bei Microsoft unter http://download.microsoft.com/download/D/5/8/D58EEC38-FBAC-42BC-9C3C-C88C042103DE/IT_Infrastruktur_Compliance_Reifegradmodell_Microsoft_Kranawetter.pdf oder nach Registrierung unter http://www.searchsecurity.de/whitepaper/downloads/10914 herunterladen.
Herausgeber Michael Kranawetter, Chief Security Advisor bei Microsoft Deutschland, sieht drei Aspekte, wie der führende Anbieter von Softwarelösungen Unternehmen bei der Umsetzung von IT-Compliance-Anforderungen unterstützen kann. Erstens basieren nahezu alle Geschäftsprozesse auf IT-Systemen, zweitens beschleunigt die entsprechende Automatisierung regulatorische Maßnahmen und drittens kann Compliance bereits in die Handhabung von IT eingebaut werden. So enthalten zum Beispiel viele Microsoft-Produkte Sicherheitsfunktionen sowie Auditing- und Reporting-Tools. „Nur sind sie oft nicht aktiviert, nicht passend konfiguriert oder sie arbeiten im falschen Kontext“, so Kranawetter.
Wenig Aufwand – viel Nutzen
In fünf Kapiteln beschreibt das Whitepaper, wie Unternehmen auf Basis ihrer bereits bestehenden Systeme mit wenigen Schritten möglichst viele Richtlinien einhalten. So lassen sich bereits 80 Prozent der Vorschriften durch ein Fünftel des Gesamtaufwandes abdecken. Angesichts der unterschiedlichen Branchenanforderungen und vielen Sonderfälle lässt sich keine allgemein gültige Übersicht der einzuhaltenden Verordnungen geben. Stattdessen erklärt das Dokument über die Grundziele Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt, wie möglichst viele Anforderungen erfüllt werden. Auf IT-Seite lassen sich dabei fünf Kernbereiche ausmachen: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht.
Durch die enge Integration der IT in die Geschäftsprozesse können Workflows so gestaltet werden, dass Kontrollaufgaben automatisiert ablaufen und relevante Daten automatisch erfasst und aufbereitet werden. Dadurch lassen sich hohe Einsparpotentiale nutzen sowie Workflows und Reports effizient gestalten. Zudem erhält die IT einen neuen Stellenwert, sie wandelt sich vom Dienstleister für verschiedene Unternehmensbereiche zu einem Kernbereich des Unternehmens, da sie eine umfassende, automatische Compliance ermöglicht.
Vier Reifegrade
Das im Leitfaden dargestellte „IT-Infrastruktur Compliance Reifegradmodell“ hilft bei der Einschätzung des Compliance-Status eines Unternehmens. Es definiert dazu vier Stufen.
- Basis: IT leistet einen geringen Beitrag zur Compliance und ist eine reine Kostenstelle, ohne Bezug zum operativen oder strategischen Geschäft.
- Standardisiert: IT trägt sichtbar zur Compliance bei und agiert als effizient geführte Kostenstelle, hat aber noch wenig Bezug zum operativen und strategischen Geschäft.
- Rationalisiert: IT trägt wesentlich zur Compliance bei und operiert als „Business Enabler“ mit deutlichem Bezug zum operativen und strategischen Geschäft.
- Dynamisch: IT gilt als unentbehrlich für die Compliance und als strategische Ressource, komplett eingebettet in das operative und strategische Geschäft.
Das Modell zeigt auch auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen optimieren lässt, um einen höheren Reifegrad zu erreichen. Diese wurden von internationalen und etablierten Standards abgeleitet.
Quelle: Pressemitteilung der Microsoft Deutschland GmbH von 08.06.2009