IT-Complaince

Definitiion:

Führung, Organisationsstrukturen und Prozesse, die sicherstellen, dass IT Unternehmensstrategie und -ziele unterstützt; Teil der Unternehmensführung.

Ziele:

• Strategische Ausrichtung (Fokus auf Unternehmenslösungen) 

• Nutzengenerierung (Optimierung der Ausgaben, Bewertung des Nutzens der IT) 

• Risikomanagement (Schutz des IT-Assets, Desaster Recovery, Fortführung im Krisenfall) 

• Ressourcenmanagement (Optimierung von Wissen und Infrastruktur) 

• Getriggert Durch Rechtstreue, Regelkonformität

• Alle für ein UN verbindlich vorgegeben bzw. als Verbinde Akzeptieren Vorgaben nachweislich einhalten

Quellen:

• UN-Interne Regelwerk

• Rechtliche Vorgaben

• UN Externes Regelwerg

Ziele:

• Rechtskonformität:

  • Sicherstellen, dass alle IT-Prozesse im Einklang mit geltenden Gesetzen und Vorschriften stehen, um rechtliche Risiken und Bußgelder zu vermeiden.

• Sicherheit:

  • Schutz sensibler Daten vor Missbrauch, Verlust oder Cyberangriffen durch die Einhaltung von Sicherheitsstandards.

• Risikomanagement:

  • Identifikation und Minimierung von IT-Risiken, die zu Verstößen gegen gesetzliche oder regulatorische Vorgaben führen könnten.

• Nachvollziehbarkeit und Transparenz:

  • Sicherstellen, dass IT-Prozesse und Datenströme dokumentiert und überprüfbar sind, z.B. für interne und externe Audits.

Effektivität (Wirksamkeit):

• Die IT macht die richtigen Dinge – also sie erreicht die gewünschten Ziele, erfüllt Anforderungen (z. B. Sicherheit, Verfügbarkeit, Compliance) und liefert den erwarteten Nutzen.

Effizienz (Wirtschaftlichkeit):

• Die IT macht Dinge richtig – also sie erreicht diese Ziele mit möglichst wenig Aufwand/Ressourcen, z. B. Zeit, Geld, Personal, Tools

• Rollen: Grunsätzlich alle Intersierten Parteien für meine Organisation

  • Eigentümer

  • Complience Manamgent

  • Interne/externe Auditoren

• Ereignisse: Auslösende Prozesse

  • Business-IT-Alignment

  • Compiance

  • Digitale Transoframtion

  • Prozess -und Seriveorientierung

IT-Govermacne:

• Trager der Complaince anfordeerungen in der IT

IT-Gestütze Compliance

• IT um die COmplaince anforderungen zu unterstützuen (Tool)

• Gesetzte und Rechtsverordnungen

• Rechtsprechungen

• Verwaltungsvorschriften

• Referenzierte Regelwerke

• Verträge

IT-Manamgent:

• INtern und in Gegewanrt

IT-Govermance:

• Extern und Zeitorienteiret

• Zweck des Controlling ist es, dem Informationsmanagement die zur Planung, Überwachung und Steuerung erforderlichen Informationen sowie Grundsätze für die Gestaltung, Planungs- und Steuerungsprozesse zur Verfügung zu stellen.

• Dem Informationsmanagement überliegt die Führungsverantwortung (=Schiffskapitän) und dem Controlling die Transparenzverwaltung (=Schiffslotse).

• Revision dient der Prüfung der Ordnungsmäßigkeit erfolgt auf Auftrag

• Controlling umfasst die Planung der Kontrollen ist in den Prozessen involviert

• Wie ist die IT-Infrastruktur mit der geschäftlichen Unternehmensseite bzw. der Unternehmensstrategie in Einklang zu bringen?

• Wie können die Geschäftsmodelle durch angemessene IT-Infrastrukturen und – Architekturen unterstützt werden?

• Ziel:

  • Prioritäten

  • Kompetenzen

  • Entscheidungen

  • und Aktivitäten der IT auf das Gesamtunternehmen abzustimmen.

• Weg von der internen IT-Technologieentwicklung hin zur kunden- und serviceorientierten Ausrichtung der IT.

• Das Unternehmen/die Organisation sollte die IT als Instrument zur Transformation des Unternehmens betrachten (neue Einnahmequellen, Integration von Org.einheiten,…).

• Kundenservices haben sowohl intern als auch extern Priorität (Kommunikation zwischen der Organisation und ihren Kunden).

• Im Unternehmen verstehen sich IT- und Business-Experten und verfügen über Wissen und Erfahrung des Geschäfts.

• Die Organisation definiert sowohl den IT- als auch den Geschäftsmitarbeitern klare und spezifische Ziele, um ein gemeinsames Ziel zu erreichen.

• IT- und Geschäftsmitarbeiter verstehen, wie das Unternehmen Geld verdient oder verliert.

Unternehmen schaffen eine lebendige und integrative Unternehmenskultur

Beispiele

Interne Kontrollsystem

Das IKS dient dazu, Risiken wirksam zu vermeiden

• Risikovermeidung ist der Versuch,

• nicht beeinflussbare Ereignisse in ihren Auswirkungen abzuschwächen

oder ihre Eintrittswahrscheinlichkeiten zu verringern.

Ein Risiko Tritt dann auf, wenn es eine Bedrohung, ein Asset und eine Schwachstelle gibt. —> Katzen Vogel Käfig Thema

Strategien der Risikovermeidung/Reduzierung

Vermeiden -> Reduzieren -> Transfer -> Akzepieren

Service Strategy überführt die Serviceerbringung in einen strategisches Asset. Es Beschreibt den Konzeptionellen und strategisches Hintergrund von IT-Dienstleitern

Zweck:

• Design, Entwicklung und Implementierung des Service Managements aus organisatorischer und strategischer Sicht betrachtet.

Ziele:

• Strategische Ausrichtung der IT-Services an den Geschäftszielen sicherstellen

• Service Management Richtlinien werden entwickelt und umgesetzt. Hierfür werden Geschäftschancen und Marktplätze identifiziert, ausgewählt und priorisiert.

• Die Serviceleistungen werden aufgrund von definierten Zielen und Erwartungen formuliert, welche als Gesamtheit in die Definition eines Service Portfolios einfließen und die Entwicklung eines Servicekatalogs ermöglichen.

• SS soll auch dabei helfen, die notwendigen Fähigkeiten zu entwickeln um strategisch handeln zu können.

Beispiel: wollen wir IT in anderen Regionen und Sprachen anbieten? Bieten wir BYOD Services an oder nur einen standardisierten Katalog etc.?

Definiert und designed Services und Service Assets (Policies, Architectur und Portfolio) auf Basisi der Strategischen ziehle und Business Requerements

Zweck:

• Behandelt den Entwurf von neuen oder geänderten Services für ihre Einführung in die Produktivumgebung

• Service Design definiert und designed Services and Service Assets (Policies, Architekturen und Portfolio) auf Basis der strategischen Ziele und Business Requirements.

Ziele:

• Der neue Service muss nach der Konzeptphase dem Serviceportfolio hinzugefügt werden

• Die Service Level Requirements (SLR) müssen vor der Service Erbringung klar sein

• Das Capacity Management Team kann diese Anforderungen innerhalb der existierenden IT-Infrastruktur abbilden, andernfalls muss das Financial Management hinzugezogen werden

• Vor der Implementierung müssen Business Impact Analyse und Risikobewertung erfolgen, denn sie liefern Input für das IT Service Continuity Management, Availability und Capacity Management

• Der Service Desk ist zu schulen

• Die Service Transition hat einen Implementierungsplan zu erstellen

• Für die Beschaffung muss das Supplier Management mit einbezogen werden

Stellt sicher, dass die Desings der strategischen Anforderungenen auf Basisi definierter Zeitpläne effektiv für den opertativen Betrieb unter Berücksichtigung von Risiken und Abhängikeiten bereitgestellt werden

Zweck:

• Unterstützt den Veränderungsprozess beim Kunden bestmöglich.

• Minimiert Risiken von Unterbrechungen durch eine effektive Übergabe neuer/geänderter/stillgelegter Services in den Betrieb.

• Stellt sicher, dass bereits produktive Services nur minimal beeinflusst werden.

Ziele (Objectives) der Service Transition

• Service Changes effizient und effektiv planen und steuern (kontrollierter Übergang in den Betrieb).

• Risikomanagement für neue, geänderte und stillgelegte Services sicherstellen.

• Reduzierung von Leistungsschwankungen bei neuen/geänderten Services.

• Reduzierung des Auftretens von Known Errors bei neuen/geänderten Services.

• Sicherstellen, dass aktuelles, qualitatives Wissen über Services und Service Assets (z. B. aus SKMS/CMDB) vorhanden ist und genutzt wird.

Betreibt die Services gemäß vereinbarter Service Levels. Service Operation ist für die Sicherstellung des Betriebs züständig und erbringt den Geforderten Wertbeitrag für den Kunden

Zweck:

• Service Operation ist die Phase im ITSM Lifecycle, die für die „täglichen Aktivitäten“ verantwortlich ist.

Ziele:

• Hier werden alle Aktivitäten koordiniert, um den vereinbarten Service täglich zu betreiben, bereitzustellen und zu unterstützen.

• Weiters erfolgt hier das permanente Management und der Support der vorhandenen Technik sowie die Kontrolle, Steuerung und Handhabung der täglichen Prozesse.

• SO liefert die Basis für die Informationssammlung und –analyse, um kontinuierlicher Verbesserung des Tagesgeschäftes zu ermöglichen.

Ist für die Kontinuierliche Anpassung und Neuorientierung der IT Services an die sich ändernden Businessanforderungen durch das Erkennen und Umsetzen von Verbesserungen an den IT Serivces verantwortlich

Zweck:

• Kontinuierliche Verbesserung der IT-Services und Service-Management-Prozesse über den gesamten Lifecycle.

• Sicherstellen, dass Services dauerhaft an Business-Anforderungen ausgerichtet bleiben (Wertbeitrag/Business Value).

• Nutzung von Messungen, Reports und Analysen, um Verbesserungen gezielt zu identifizieren und umzusetzen.

Ziele

• Verbesserung der Servicequalität (Effektivität, Effizienz, Stabilität) durch laufende Optimierung.

• Erkennen und Priorisieren von Verbesserungsmöglichkeiten (z. B. aus Incidents, Problems, SLAs, Trends).

• Messen und Nachweisen von Performance mittels KPIs, Metrics und Service Reports.

• Umsetzen von Verbesserungsmaßnahmen in einem strukturierten Ansatz (z. B. CSI-Register / Improvement Plan).

• Kosten senken bzw. Nutzen steigern durch effizientere Prozesse und bessere Ressourcennutzung.

• Reifegrad erhöhen (Prozess- und Service-Management kontinuierlich weiterentwickeln).

Der IT-Service setzt sich aus Services Assets zusammen, die sich in zwei Gruppen unterscheiden lassen, die Fähigkeiten (Capabilities) und die Ressourcen (Resources)

Fähigkeiten (Capabilities) – „Wie gut können wir liefern?“

• Das sind die internen Kompetenzen, mit denen ein Provider Ressourcen überhaupt nutzbar macht und Services zuverlässig steuert:

• IT-Management: Führung, Governance, Entscheidungen, Prioritäten, Service- und Portfolio-Steuerung

• IT-Organisation: Rollen, Verantwortlichkeiten, Strukturen (z. B. Service Owner, Process Owner)

• IT-Prozesse: standardisierte Abläufe (z. B. Incident, Change, Problem), die Qualität und Stabilität sichern

• IT-Wissen: Know-how, Dokumentation, Erfahrungen (z. B. Known Errors, Knowledge Base)

• —> Fähigkeiten sind schwer zu kopieren – deshalb gelten sie oft als strategischer Vorteil.

Ressourcen (Resources) – „Womit liefern wir?“

• Das sind die Mittel, die für die Serviceerbringung eingesetzt werden:

• IT-Budget (Financial Capital): Geld für Betrieb, Projekte, Tools, Lieferanten

• IT-Infrastruktur: Server, Netzwerk, Storage, Cloud-Plattformen etc.

• Applikationen: Software, Systeme, Plattformen

• Information: Daten, CMDB/Asset-Infos, Service-Doku, Reports

• —> Ressourcen kann man häufig einkaufen – der Unterschied entsteht durch die Fähigkeiten, sie richtig einzusetzen.

Mitarbeiter

• Unten steht Mitarbeiter, weil People in ITIL praktisch beide Seiten tragen:

• Sie sind Teil der Fähigkeiten (Know-how, Erfahrung)

• und sie betreiben/verwenden Ressourcen (Infrastruktur, Anwendungen, Daten)

• Core Services sind die Services, für die der Kunde primär bezahlt bzw. die direkt Business Value liefern (Outcome).

• In der Grafik sind das z. B. Service X, Service Y, Service Z

• Beispielgedanke: „E-Mail-Service“, „ERP-Service“, „Webshop“ – also das, was der Kunde als Service wahrnimmt.

• —> Core = liefert den eigentlichen Nutzen / das Ergebnis für den Kunden.

• Supporting Services sind Leistungen, die notwendig sind, damit der Core Service funktioniert – sie sind oft nicht direkt „verkaufbar“, aber entscheidend für Qualität und Verfügbarkeit.

• n der Grafik sind das die Sub-Services (z. B. Sub-Service X/Y/Z, SQL DB Zugriff, ERP Zugriff)

• ➡️ Supporting = Unterstützung/Enablement, damit der Core zuverlässig läuft.

IT-Compliance will die Vielzahl der regulatorischen Anforderungen im Unternehmen an die Datenverarbeitung erfassen und ihre Einhaltung sicherstellen.

Normative Dimension

• Die Einhaltung, Befolgung und Übereinstimmung von Geboten dient der Schadensprävention. Auch die Schaffung eines notwendigen Sicherheitsbewusstseins bei Mitarbeitern ist dazu essentiell.

Handlungsorientierte Dimension

• Compliance ist kein einmaliger Zustand, sondern ein fortlaufender Prozess. Es beschäftigt sich fortlaufend mit Fragen der Auf- und Ablauforganisation, der Prozesssteuerung und des Risikomanagements.

Nachweisorientierte Dimension

• Der Nachweis der Einführung der IT-Compliance ist der dritte wesentliche Aspekt.

Prüfungswesen, wie z.B.

• Prüfungsmethodik

• Organisation (IKS)

Staatliche Zwecke, wie z.B.

·         Bilanztheorie bzw. Regeln des externen Rechnungswesens

·         Militärischer Geheimnisschutz

·         IT-Sicherheit

·         Datenschutz

Technologische und wirtschaftliche Entwicklung, wie z.B.

·         Regelungsbedarf neue Technologien

·         Finanzmarktereignisse

·         Globalisierung

Compliance kann, allgemein formuliert, einen klaren Nutzen für Unternehmen generieren. Dabei können zwei Arten von Nutzen unterschieden werden:

• Vermeidung von Nachteilen:

z.B. Strafrisiken, Imageverlust

• Generierung von Vorteilen:

z.B. positive Effekte die Erhöhung der Sicherheit, IT-Qualität und Produktivität, bessere Chancen bei Ausschreibungen, besseres Abschneiden in Due-Dilligence-Prüfungen, Haftungsreduktion

• Rechtmäßigkeit der Datenverarbeitung (Art. 6)

  • Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine gültige Rechtsgrundlage gibt (z. B. Einwilligung, Vertrag, rechtliche Pflicht, berechtigtes Interesse).

• Transparenz über gespeicherte Daten (Art. 12 ff.)

  • Betroffene müssen verständlich informiert werden, welche Daten warum verarbeitet werden (Informationspflichten, Auskunftsrechte).

• Zweckbindung der Daten

  • Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht einfach für andere Zwecke weiterverwendet werden.

• Datenminimierung

  • Es sollen nur so viele Daten wie nötig verarbeitet werden (nicht „auf Vorrat“, nur zweckrelevant).

• Richtigkeit der Datenverarbeitung

  • Daten müssen sachlich richtig und aktuell sein; falsche Daten sind zu berichtigen oder zu löschen.

• Speicherbegrenzung / Recht auf Vergessenwerden (Art. 17)

  • Daten dürfen nicht länger als nötig gespeichert werden; unter bestimmten Bedingungen können Betroffene Löschung verlangen.

• Integrität und Vertraulichkeit (Art. 32)

  • Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden (z. B. Zugriffsschutz, Verschlüsselung, Backups, Berechtigungskonzepte).

• Recht auf Information (Art. 13/14 DSGVO)

  • Du musst beim Erheben deiner Daten verständlich informiert werden: Wer verarbeitet was, wofür, wie lange, welche Rechte du hast.

• Recht auf Auskunft (Art. 15)

  • Du kannst anfragen, ob und welche personenbezogenen Daten über dich gespeichert werden + Zweck, Empfänger, Speicherdauer usw.

• Recht auf Berichtigung (Art. 16)

  • Falsche oder unvollständige Daten müssen korrigiert bzw. ergänzt werden.

• Recht auf Löschung (Art. 17) („Recht auf Vergessenwerden“)

  • Unter bestimmten Bedingungen kannst du verlangen, dass Daten gelöscht werden (z. B. Zweck weg, Einwilligung widerrufen, unrechtmäßig verarbeitet).

• Recht auf Einschränkung der Verarbeitung (Art. 18)

  • Verarbeitung wird „eingefroren“: Daten dürfen dann meist nur noch gespeichert werden, z. B. wenn die Richtigkeit geprüft wird

• Recht auf Widerspruch (Art. 21)

  • Du kannst der Verarbeitung widersprechen, besonders bei Direktwerbung oder bei Verarbeitung aufgrund berechtigter Interessen.

• Recht auf Datenübertragbarkeit (Art. 20)

  • Du kannst Daten, die du bereitgestellt hast, in einem maschinenlesbaren Format erhalten und an einen anderen Anbieter übertragen lassen.

• Rassische/ethnische Herkunft

• Politische Meinungen

• Religiöse/Weltanschauung

• Gewerkschaftszugehörigkeit

• Gesundheitsdaten

• Sexualleben oder sexuelle Orientierung

• Biometrische/genetische Daten