17.01.2007 | Autor / Redakteur: James Damoulakis und Phil Poresky / Bernd Schöne
Hinter Compliance steckt mehr als nur die Bereithaltung oder Archivierung eines bestimmten Datenbestands. Die Verantwortlichen müssen die teils unklaren gesetzlichen Vorgaben auf unterschiedliche Unternehmensbereiche anwenden. Aber auch noch so großer Arbeitseinsatz ist keine Garantie dafür, eine anschließende Compliance-Prüfung erfolgreich zu bestehen.
Das Thema Compliance hat enorme Auswirkungen auf die IT-Infrastruktur der Unternehmen und dem Datenschutz gilt heutzutage größere Aufmerksamkeit als früher. Manager zeigen zudem ein neu entdecktes Interesse an ehemals banalen Themen wie Datensicherung und fordern mehr Informationen ein. CIOs stellen Fragen wie: „Wird der Sarbanes-Oxley-Act verletzt, wenn wir Endanwendern erlauben, ihre eigenen Daten wiederherzustellen?” und „Wie beeinflusst unsere Strategie eines inkrementellen Backups unsere Recovery-Fähigkeit?”
Gesetzliche Forderungen
Die Storage-Verantwortlichen reagieren unterschiedlich auf die Herausforderungen. Einige studieren die neuen Regelwerke, die ihre Organisation betreffen. Andere orientieren sich an den Anforderungen von SOA und HIPAA (in den USA) oder KonTraG et al. (in Deutschland) und modifizieren ihre Backup-Regeln dementsprechend. Wieder andere überlegen, bei der Umsetzung technische Lösungen zur Hilfe zu nehmen.
Trotz dieser Bemühungen bleibt das Risiko bestehen, dass die Verantwortlichen nicht alle Elemente berücksichtigen und eine anschließende Compliance-Prüfung (Audit) fehlschlägt. Das liegt daran, dass Compliance weit über die einfache Datenspeicherung hinausgeht. Für den Storage-Bereich zerfällt dieses Thema in zwei Hauptaspekte: Datenmanagement und Daten- bzw. Informationssteuerung.
Die Archivierungsregeln sind ein entscheidender Teil des Datenmanagements. Es gibt aber noch weitere Punkte zu beachten, zum Beispiel Sicherheit und Wiederauffindbarkeit. Auf der anderen Seite stellt die Steuerung des Daten- bzw. Informationsflusses eine Herausforderung dar, die oft nicht ernst genug genommen wird.
Für jedes Unternehmen ist die Umsetzung der gesetzlichen Compliance-Vorgaben eine echte Herausforderung. Es mag zwar befremdlich klingen, aber die Gesetze geben nur selten genau vor, was zu tun ist. Ein großer Teil ist Interpretationssache. Zum Beispiel kann eine Regel lauten, dass E-Mails sieben Jahre aufzubewahren sind. Aber welche Nachrichten dies betrifft und ob beispielsweise auch Spam zu speichern ist, darüber geben die Vorschriften keine Auskunft – ebenso wenig darüber, wie diese Aufbewahrung auszusehen hat.
Auch der Umgang mit externen Datenträgern und Medien ist nur selten detailliert geregelt. Stillschweigend wird erwartet, dass die Firma klug und im guten Glauben handelt, doch das sind subjektive Begriffe, die der juristischen Interpretation offen stehen. Daher ist es unumgänglich, dass die firmeninternen Regeln von der Rechtsabteilung bzw. kompetenten Anwälten oder Compliance-Beauftragten entworfen und anschließend (auch formal) dokumentiert werden.
Gesetzeskonformes Datenmanagement umfasst mehrere Elemente, für die es jeweils feste Regeln geben sollte. In Kürze sind dies:
Für den Datenschutz insgesamt ist jedes Element des Datenmanagements wichtig. Ihre Bedeutung schwankt jedoch je nach geltendem Rechtsrahmen. SOA konzentriert sich auf die Verfügbarkeit, Integrität und den Schutz von Finanzdaten, während HIPAA vor allem die Langzeitspeicherung und die Sicherheit hervorhebt. Das Bundesdatenschutzgesetz konzentriert sich auf den Schutz von Verbraucherinformationen. Die speziellen Bestimmungen für eine Firma legen ihre Regeln zum Datenmanagement und die Wahl der entsprechenden Technologie fest.
Compliance erfordert, dass Daten nicht nur sicher aufbewahrt werden, sondern auch innerhalb fester Zeitrahmen wieder auffindbar sind und ordnungsgemäß verwaltet werden. Ein Unternehmen oder eine Organisation muss sich darüber hinaus noch an eigene Regeln halten und nachweisen können, dass diese eingehalten werden.
Dies ist das Feld, auf dem die Steuerung und Kontrolle des Informationsflusses wichtig wird. Die Regeln betreffen Menschen, Prozesse und Analysewerkzeuge einer Organisation sowie die Fähigkeit, vorgeschriebene Ziele zu erreichen. Im Einzelnen befassen sie sich mit Fragen wie:
Ein umfassender Kontrollrahmen berührt alle Teile einer Organisation. Folgende Punkte sind dabei zu bedenken:
Infrastrukturmapping: Die Speicherinfrastruktur sollte schriftlich niedergelegt und auf aktuellem Stand gehalten werden: Klare logische und physikalische Schemata samt unterstützender Dokumentation, welche die Datenmanagementregelungen zur Verfügbarkeit, Sicherheit etc. aufzeigt, sind eine Voraussetzung für Compliance.
Benchmarking und Berichtswesen: Zweckdienliche Analysewerkzeuge und Berichte fehlen häufig ganz oder liegen in einer Form vor, die schwer auszuwerten ist. In den meisten IT-Abteilungen liegen zwar Messergebnisse für den Datendurchsatz einzelner Geräte oder Applikationen vor. Diese Werte lassen sich jedoch nur selten in eine für Außenstehende verständliche Form bringen und erfüllen daher nicht den Zweck, einen angemessenen Umgang mit kritischen Daten zu demonstrieren. Es gilt also, entsprechende Tools und Reports einzuführen.
Organisationsstruktur: Klar definierte Aufgabengebiete und Verantwortlichkeiten sind für einen kontrollierten Informationsfluss erforderlich. Jeder einzelne muss seine Rolle verstehen und wissen, welche Regeln ihn betreffen. Das umfasst zunächst einmal die Zusammenarbeit und Kommunikation unter den Storage-Verantwortlichen selbst, aber auch das Zusammenspiel von Storage- und Linienorganisation.
Dokumentierte Standardprozesse: Sie dienen dazu, Compliance-Regeln im Unternehmen umzusetzen und sind daher unverzichtbar. Sollten sie bislang nicht existieren, ist es Aufgabe der Verantwortlichen, diese einzuführen.
Es gibt viele Ressourcen, die Anwender bei ihren Compliance-Bemühungen in Anspruch nehmen können. Die Information System Audit and Control Association (ISACA) und ihre Schwesterorganisation, das IT Governance Institute (ITGI), stellen zu diesem Zweck das international anerkannte Framework Control Objectives for Information and Related Technology (COBIT) bereit. Dieser Quasi-Standard umfasst Best-Practice-Richtlinien zum Informationsschutz sowie hoch entwickelte Benchmarking-Bausteine, nennt kritische Erfolgsfaktoren und enthält Ablaufmodelle, die zum Aufbau einer IT-Kontroll- und Steuerungsstrategie genutzt werden können.
Die Einführung angemessener Regeln, Prozesse, Analysetools sowie Soft- und Hardwarelösungen ist zum Erreichen von Compliance unabdingbar. Vor allem aber erfordert sie organisatorische Disziplin, eine Selbstverpflichtung zum gesetzeskonformen Datenmanagement und die gewissenhafte Umsetzung aller erforderlichen Schritte.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2001860)
