07.06.2010 | Autor / Redakteur: James Damoulakis und Phil Poresky / Peter Schmitz
Compliance erfordert, dass Daten aufbewahrt werden, wiederauffindbar und sicher sind sowie ordnungsgemäß verwaltet werden. Eine Organisation muss sich allerdings auch an eigene Regeln halten und dies nachweisen können. Dies ist das Feld, auf dem die Steuerung und Kontrolle des Informationsflusses wichtig werden. Sie betreffen Menschen, Prozesse und Analysewerkzeuge einer Organisation sowie die Fähigkeit, vorgeschriebene Ziele zu erreichen und befassen sich mit Fragen wie:
Ein umfassender Kontrollrahmen berührt alle Teile einer Organisation. Folgende Punkte sind dabei zu bedenken:
Infrastrukturmapping: Die Speicherinfrastruktur sollte schriftlich niedergelegt und auf dem aktuellen Stand gehalten werden: Klare logische und physikalische Schemata samt unterstützender Dokumentation, welche die Datenmanagementregelungen zur Verfügbarkeit, Sicherheit etc. aufzeigt, sind eine Voraussetzung für Compliance.
Benchmarking und Berichtswesen: Zweckdienliche Analysewerkzeuge und Berichte fehlen häufig ganz oder liegen in einer Form vor, die schwer auszuwerten ist. In den meisten IT-Abteilungen liegen zwar Messergebnisse z.B. für den Datendurchsatz einzelner Geräte oder Applikationen vor. Diese Werte lassen sich jedoch nur selten in eine für Außenstehende verständliche Form bringen und erfüllen daher nicht den Zweck, einen angemessenen Umgang mit kritischen Daten zu demonstrieren. Entsprechende Tools und Reports sind daher einzuführen.
Organisationsstruktur: Klar definierte Aufgabengebiete und Verantwortlichkeiten sind für einen kontrollierten Informationsfluss erforderlich. Jeder einzelne muss seine Rolle verstehen und wissen, wie bestimmte Regelungen diese betreffen. Das umfasst die Zusammenarbeit und Kommunikation unter den Storage-Verantwortlichen ebenso wie mit der Linienorganisation und anderen Gruppen.
Dokumentierte Standardprozesse: Sie dienen dazu, Compliance-Regeln im Unternehmen umzusetzen, und sind daher unverzichtbar. Sollten sie bislang nicht existieren, müssen sie ebenfalls eingeführt werden.
Es gibt viele Ressourcen, die Anwender bei ihren Compliance-Bemühungen in Anspruch nehmen können. Die Information System Audit and Control Association (ISACA) und ihre Schwesterorganisation, das IT Governance Institute (ITGI), stellen zu diesem Zweck das international anerkannte Framework COBIT (für: Control Objectives for Information and Related Technology) bereit. Dieser Quasi-Standard umfasst Best-Practice-Richtlinien zum Informationsschutz sowie hoch entwickelte Benchmarking-Bausteine, nennt kritische Erfolgsfaktoren und enthält Ablaufmodelle, die zum Aufbau einer IT-Kontroll- und Steuerungsstrategie genutzt werden können.
Die Einführung angemessener Regeln, Prozesse, Analysetools sowie Soft- und Hardwarelösungen ist zum Erreichen von Compliance zwar unabdingbar. Vor allem aber erfordert sie organisatorische Disziplin, eine Selbstverpflichtung zum gesetzeskonformen Datenmanagement und die gewissenhafte Umsetzung aller erforderlichen Schritte.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045269)
