IKS
IKS-Internes Kontrollsystem
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken
Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil). Kontroll-ID Kontrollziel Maßnahme…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance
Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen…
-
Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung
Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.
-
KRITIS – was bedeutet das für uns?
KRITIS – Ist mein Unternehmen betroffen und was heißt das? Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT…
-
EU-DSGVO: Das neue Datenschutzrecht – Wissenswertes zusammengefasst
Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen. Verglichen mit anderen Ländern wird sich in Deutschland nicht…
-
SSAE 18 ersetzt SSAE 16
Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18 Hintergrund Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren. Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss…
-
ISO/ICE 27001 / ISO 27002 & DSGVO – eine gelungene Kombination?
Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw. das Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, kurz BDSG (neu), hat die Unternehmen vor neue Herausforderungen gestellt. Doch nicht nur das – in dem einen oder anderen Sachverhalt führte…
-
Software testen – mit den richtigen Daten
Software testen: Ein immer wieder brisantes Thema bei der Softwareerstellung ist die Testdatenbereitstellung oder -aufbereitung. Gerne werden hierzu Echtdaten benutzt, da diese Daten selbstverständlich der Komplexität der Realität am nächsten kommen und im Verhältnis leicht und kostengünstig zu beschaffen sind. Noch dazu lassen sich ganze Testsysteme durch einfache Kopie des Produktivsystems aufbauen und immer wieder aktualisieren. Dieses Vorgehen ist jedoch…
-
Compliance Management – Eine Standortbestimmung
Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden. Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer…
-
Ein Gesetz zur Sicherung der digitalen Welt Deutschlands – Beitrag zur Sicherung des Wirtschaftsstandortes Deutschland oder mehr?
von Dr. Klaus-Dieter Krause Ist es wirklich nötig, ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheitsaufwendungen im Bereich der digitalen Infrastruktur zu animieren? Die Bundesregierung hat, durch das Bundesministerium des Inneren, einen der elementaren Bausteine ihrer „Digitalen Agenda“, vorgestellt am 20.08.2014, am 19.08.2014 als Referentenentwurf veröffentlicht – das „IT-Sicherheitsgesetz“ (Entwurf eines Gesetzes zur Erhöhung…
