Suchen

Sicherheit & Risikokultur Teil 3: So lassen sich Corporate Governance, Risk & Compliance professionell managen

| Redakteur: Ines Stotz

Wie lassen sich Governance, Risk & Compliance – kurz: GRC – professionell umsetzen? Wolfgang Surrey, Experte für GRC-Lösungen bei TÜV Rheinland, erläutert in einer dreiteiligen Serie mögliche Wege zum Thema GRC-Strategie und zu Implementierung eines GRC-Managements.

Firmen zum Thema

Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
Einen zentral Verantwortlichen, der Daten aus den Bereichen Risikomanagement, Business Continuity oder auch Netzwerk-Logdaten regelmäßig nachhält, konsolidiert und daraus die richtigen Schlüsse für Informationssicherheit und IT-Compliance zieht, damit das Unternehmen vor Cyber-Bedrohungen besser geschützt ist, gibt es bisher eher selten.
(Bild: gemeinfrei / CC0)

Ob Datenschutz oder Datensicherheit, IT-Risikomanagement, Audit Management oder der Umgang mit Lieferanten: Die Anforderungen von Aufsichtsbehörden und anderen interessierten Parteien an Sicherheit und Qualität von Geschäftsprozessen, Produkten und Services steigen – ebenso wie Anzahl und Komplexität der Risiken. Unternehmen müssen nachweisen, dass sie die Standards, Normen und regulatorische Auflagen sowie Vorschriften unter anderem bei der Informationssicherheit einhalten. Doch wie?

Teil 3:

Professionelles GRC-Management: Reifegradmodelle und Implementierungsstrategien

Der Autor zeigt Handlungsalternativen auf für Unternehmen, die ihr GRC-Management auf Basis von Best Practices weiter entwickeln wollen.

|videoid=v=4prrfnTqRsc|

Experten unterstützen Unternehmen in der Regel mit einer individuellen GRC-Strategieberatung und in der Umsetzung individueller Branchenanforderungen, um die erforderlichen Prozesse und Methoden im Bereich Risikomanagement, Informationssicherheitsmanagement und IT-Compliance anhand etablierter Managementsysteme und Best Practice Frameworks zu gestalten.

Je nach Reifegrad des Unternehmens in punkto GRC können auch Hersteller-Best-Practices (wie z.B. das RSA Archer Use Case Reifegradmodell) Verwendung finden, um im Rahmen eines Prototyping-Verfahrens mit dem Kunden eine geeignete Vorgehensweise für die GRC-Implementierung zu entwickeln. Anhand vordefinierter Use Cases kann das Unternehmen seine wichtigsten Aufgaben, zum Beispiel das Thema IT-Risiko-Management, priorisieren.

Allen Szenarien liegt ein mehrstufiges Reifegradmodell zugrunde. Was die einzelnen Reifegrade in punkto Prozesse und Fokus auszeichnet, ist detailliert beschrieben – unter Umständen eine Hilfestellung für die eigene Standortbestimmung und die Planung der zu bewältigenden Aufgaben auf dem Weg zur nächsten Stufe.

Je nach Anbieter enthalten die jeweiligen GRC-Systeme bereits umfassenden Content, wie etwa die Anforderungen der ISO-Norm 27001 oder Standards wie COBIT. Sind gleich mehrere Managementsysteme zu implementieren, die vergleichbare Anforderungen haben – z.B. den Einsatz starker Passwörter – lassen sich so gleich mehrere Anforderungen mit gewissermaßen einem Klick erfüllen und zentral auswerten.

Da die Basisinstallation und die Implementierung des Tools entsprechend den Kundenanforderungen immer häufiger nicht durch den Hersteller selbst, sondern durch Implementierungspartner erfolgt, sollte die Beurteilung der Partnerstrategie des Herstellers und die potentiell in Frage kommenden Dienstleister unbedingt im Software-Auswahlprozess berücksichtigt werden. Eine etablierte Partnerstrategie mit entsprechend formalisierten Zertifizierungsgraden und Kennzahlen gibt Auskunft darüber, ob der Hersteller in der Lage ist, Partner für das eigene Produkt langfristig zu binden sowie das teils sehr spezifische Wissen über das Tool erfolgreich auf Dritte zu übertragen, z.B. durch existierende Wissens-Portale, eLearning Angebote oder Communities. Da sich der Partnerstatus häufig an Projektumsetzungsvolumen und erfolgreich umgesetzten Projekten (=Kundenzufriedenheit) misst, kann dies ebenfalls ein geeigneter Indikator für die Wahl des richtigen Implementierungspartners sein.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44493115)