IT-Compliance Framework - stabil und agil zugleich
„Wann kommt die nächste Gesetzgebung in EU, USA oder Asien, die auch unsere IT betreffen wird?“ - Eine Frage, die sich in den letzten Jahren wohl viele CIOs immer wieder gestellt haben werden. Trägt man diese IT-relevanten gesetzlichen Vorschriften zusammen, dann erhält der IT-Manager bereits eine beträchtliche Anzahl verabschiedeter Gesetzgebungen, z.B:
- Basel II,
- GDPDU,
- Schutz der Privatsphäre,
- Sarbanes Oxley Act (Finanzielles Statement) der SEC,
- Act 21 (Produktqualität) der FDA.
Auf der anderen Seite ist der CIO daran
interessiert „Best Practice Frameworks“ wie z.B. ITIL, BS 7799 bzw.
Grundschutzhandbuch, CMMI, PRINCE2 sowie GAMP4 zu implementieren, um
die Wirtschaftlichkeit, die Kundenzufriedenheit und auch die Qualität
der Leistungserbringung zu steigern.
Wir haben die praktische Erfahrung gemacht, dass die regulatorischen
Anforderungen der Gesetzgeber über das sehr umfangreiche Governance
Modell CobiT auf bestehende Best Practice Frameworks "gemapped" werden
können. Hierfür ist jede einzelne gesetzliche Anforderung im Detail auf
Ihre Relevanz für ein Kontrollelement in CobiT zu analysieren. Auf der
anderen Seite werden die unterschiedlich aufgebauten Best Practice
Modelle ebenfalls bis auf die Ebene der Kontrollelemente con CobiT in
ihre Einzelteile zerlegt, damit z.B. ITIL oder GAMP4 nachvollziehbar
auf CobiT abgebildet werden kann.
Und was hat man davon? Zusammen mit gut definierten Prozessen zur
Weiterentwicklung und Nutzung dieses Compliance Frameworks können
zukünftig neue externe Anforderungen schnell und flexibel auf das Cobit
Modell abgebildet und die Lösungsansätze zur Umsetzung der Anforderung
direkt aus dem Mapping auf die Best Practices abgeleitet werden.
Verstärker wird der Effekt durch die grossen Überlappungen der unterschiedlichen gesetzlichen Anforderungen:
Einmal den Act 21 CFR Part 11 für ein System implementiert, schon sind
deutlich mehr als 60% der Anforderungen des Sarbanes Oxley Act bereits
mit abgedeckt!
Wir helfen Ihnen gerne bei der Zusammensetzung dieses Puzzles und
unterstützen Sie mit unseren praktischen und professionellen
Erfahrungen beim Aufbau eines integrativen und ausbaufähigen
IT-Compliance Frameworks