1. Compliance Checks

Allenfalls ist Ihre Unternehmung in einem regulierten Industriebereich tätig und sie müssen deshalb entsprechende Regulierungen oder Standards einhalten. Teile Ihrer Informationen unterstehen gegebenenfalls dem Datenschutzgesetz. Oft sind Entscheidungsträger und verantwortliche Stellen nicht sicher ob die implementierten organisatorischen und technischen (TOM) Massnahmen der Einhaltung entsprechender regulatorischen Anforderungen (DSG/DSG 2000/BDSG, HIPAA, PCI DSS, FINMA Rundschreiben 2008/21 operationelle Risiken Banken - CID, etc.) genüge tun oder nicht. In solchen Fällen kann  nur ein spezifischer Compliance Check mögliche Schwachstellen oder Gaps in Ihrem Compliance Framework aufzeigen. Externe Unterstützung macht hier Sinn, da interne Ressourcen oft anderweitig ausgelastet sind, sie keine bereichs-übergreifende Sicht haben oder sie schlicht nicht über die notwendigen Skills verfügen.

2. Control Framework

Der Aufbau eines ihrer Bedürfnissen entsprechenden Frameworks für die Erstellung der IT Compliance basierend auf Standards wie ISO 27002 / COBIT, PCI DSS macht für alle grösseren Firmen Sinn weil damit

  • der Auditierungsaufwand (und damit der Compliancenachweis) nachhaltend verringert wird und Transparenz und Kontrolle über die Audits erlangt wird;

  • Überlappungen in der Implementierung und Unsicherheiten in der Anwendbarkeit verhindert werden;

  • Kontinuierliche Verbesserung der Compliance sowie eine gezielte Ausmerzung von Schwachstellen erlangt wird;

  • Compliance hinsichtlich der für die Unternehmung wichtigen gesetzlichen und regulatorischen Anforderungen erstellt wird;

  • Ein zentrales Vorgabewerk bewerkstelligt wird welches bei länderübergreifenden Organisationen gut mit länderspezifischen Anforderungen ergänzt werden kann;

  • konsistente Policies erstellt werden können und die Nachvollziehbarkeit und Nachweisbarkeit von Compliancetätigkeiten und-informationen erzielt wird.

Because security matters..