IT Compliance

Significante nalevingsvoorschriften

Enkele van de belangrijkste nationale regels voor naleving van IT-compliance zijn onder meer: a.:

• de Telecommunicatiewet voor Duitsland,
• de Telecommunicatiewet voor Oostenrijk, ^[1]
• de Federale Wet Bescherming Persoonsgegevens (BDSG),
• de principes van gegevenstoegang en verifieerbaarheid van digitale documenten (digitale belastingcontrole) (GDPdU),
• de wet inzake controle en transparantie in de bedrijfssector
• de minimumvereisten voor risicobeheer (BA) van de Federale Financiële Toezichthouder (BaFin MaRisk)

Naast deze nationale regels zijn ook Europese richtlijnen (het Basel II- raamwerk voor de analyse van de kredietwaardigheid, evenals de Europese algemene verordening gegevensbescherming (GDPR)) en internationale regelgeving van toepassing. De Sarbanes-Oxley Act (SOX) is bijvoorbeeld van toepassing op Europese bedrijven wanneer ze in de Verenigde Staten zijn geregistreerd. Verdere richtlijnen omvatten FINRA (NASD / SEC), HIPAA , IFRS , MiFID en PCI-DSS .

Goals

Het doel van IT-compliance is een uitgebreide en permanente naleving van de vereisten van de wetgever en het bedrijf. Dit resulteert in voordelen in bedrijfswaardering en hogere IT-beveiliging.

Getroffen gebieden zijn bijvoorbeeld:

• GDPdU-conforme archivering van bankgegevens
• E-mail archief
• Document Management Systeem
• Process History Management

In het geval van vertrek van personen uit het bedrijf moeten er duidelijke regels zijn voor de omgang met inkomende e-mails. Hier is een dunne lijn tussen archiveringsplicht en bescherming van persoonlijkheid.

Maatregelen

De kerntaak is de documentatie en de bijbehorende aanpassing van de IT-middelen en de analyse en evaluatie van het bijbehorende probleem of gevarenpotentieel (ook: risicoanalyse ). Bronnen omvatten hardware , software , IT-infrastructuur (gebouwen, netwerken), diensten (zoals webservices ) en de rollen en rechten van softwaregebruikers. Het is hierbij belangrijk dat de implementatie van compliance wordt gezien als een permanent proces en niet als een maatregel voor de korte termijn.

Voorbeeld: licentiebeheer

• Zijn alle commercieel gebruikte softwareproducten ook gekocht?
• Worden in open source de respectieve licenties zoals GPL waargenomen?
• Zijn er oude licenties die kunnen worden gebruikt voor updates?

Het Federale Bureau voor Informatiebeveiliging (BSI) biedt uitgebreide instructies voor actie met zijn basisbeschermingscatalogi.

Wie heeft IT-compliance nodig?

In essentie worden de naamloze vennootschappen (BV’s) en vennootschappen met beperkte aansprakelijkheid aangetast, aangezien de directeuren en de leden van de raad van bestuur persoonlijk verantwoordelijk kunnen worden gehouden voor de naleving van de wettelijke bepalingen. In hun minachting kunnen civiele en strafrechtelijke sancties een bedreiging vormen. De federale wet op gegevensbescherming voorziet bijvoorbeeld in een gevangenisstraf van maximaal twee jaar of een boete in het geval van een inbreuk ( § 44 BDSG). Tenminste sinds Basel II uitgebreide audits voor financiële instellingen heeft voorgeschreven, is er behoefte aan actie om IT-compliance te implementeren.

Webkoppelingen

Informatiebeveiliging

• Federaal kantoor voor beveiliging van informatietechnologie
• IT-Grundschutz van de BSI
• Verdere links naar autoriteiten en commissies van het Center for Interactive Media eV

Verdere links

• Naleving van balancingwet – IT-beveiliging of een tevreden accountant?
• COMPAS – EU-onderzoeksproject om naleving in een SOA te implementeren
• Download het PDF-document gratis: Voordelen Potentieel van regelgevereisen voor bedrijfsoptimalisatie – IT Infrastructure Compliance Maturity Model voor management, compliance en IT-managers (Deutsch, English)
• IT en Compliance – Het geheim van de juiste woordkeuze
• Sustaining Compliance door Aberdeen Group
• Kun je voldoening geven?

Individuele proeven

1. Jump up↑ Telecommunicatiewet Oostenrijk