IT-Compliance - auf den Kern reduziert
Michael Klotz
Abstract
"Compliance" scheint derzeit zu einem weiteren inflationär verwendeten Begriff der IT-Governance zu werden. Für Regelungen aller Art, wie Gesetze, Normen, Richtlinien, Verträge, Frameworks oder Standards, wird derzeit Compliance gefordert. Eine Vielzahl von Analysten, Beratern und Toolherstellern steht bereit, um Handlungsbedarf zu verdeutlichen und diesen mit Konzepten und Vorgehensweisen sowie durch die Einführung von Softwareprodukten zu decken. Je nach Geschäftsinteresse soll IT-Compliance durch Systeme für Security-, Life-cycle- oder Content-Management, Archivierung, Verschlüsselung, Nutzer-, Zugangs- und Lizenzverwaltung u. a. m. erreicht werden können.
IT-Compliance ist jedoch eines der zentralen Themen der IT-Governance. Der Beitrag versucht, den wesentlichen Gehalt der Compliance-Thematik zu identifizieren. Hierzu wird ein "reduziertes" Verständnis von IT-Compliance präsentiert, das auf IT-relevante Gesetze und von diesen Gesetzen abgeleitete Rechtsnormen fokussiert. Hiernach bezeichnet IT-Compliance bzw. "IT-compliant zu sein" einen Zustand, in dem alle für ein Unternehmen relevanten IT-Rechtsnormen oder in ihrer allgemeinen Geltungsanordnung von diesen abgeleitete Normen nachweislich eingehalten werden.
Entsprechend wird in der Erfüllung gesetzlicher Anforderungen die wesentliche Zielsetzung von IT-Compliance gesehen. Hiervon ausgehend werden die zentralen Aufgabenbereiche eines Managements der IT-Compliance abgeleitet. Die erste und wichtigste Aufgabe ist die Identifizierung von compliance-relevanten Normen sowie die Ableitung der Compliance-Anforderungen, die vom Unternehmen einzuhalten sind. Weitere Aufgaben eines Compliance-Managements sind die Schaffung einer betrieblichen Compliance-Organisation, die Information aller Beteiligten, die Dokumentation sowohl der Information, der Organisation und insbesondere der Überwachungsaktivitäten sowie die Reaktion auf neue Entwicklungen der Anforderungen, z. B. innerhalb der aktuellen Rechtsprechung oder erkannte Compliance-Schwachstellen.
