Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
Das Konzept von IT General Controls (ITGC) wird in Unternehmen und Organisationen zusehends wichtiger. Die stets zunehmenden Regulationen in der IT und der Bedarf an einer effektiven sowie effizienten IT Governance zeigt an, dass Organisationen sehr an einer solchen interessiert sind und die vollständige Kontrolle über die Kontrollen über ihre gesamte Organisation haben wollen.
Mit Hilfe von gut etablierten IGCs kann eine Organisation viele komplexe Themen unter einen Hut bringen, darunter Informations- und IT-Sicherheit, interne und externe Audits, IT-Compliance, Risikomanagement und IT-Governance Management.
ITGCs bestehen aus Prozeduren und Policies, die folgendes bieten:
Dieser Artikel wird versuchen, einen kurzen Überblick über die wichtigsten Punkte in der Handhabung von ITGCs zu geben. Darin enthalten sind die organisatorischen Aspekte wie auch deren Struktur und deren Handling.
Ein umfassendes IT General Control Manual (ITGCM) als eine Art Policy sollte die Standards für die Implementation effektiver und effizienter Kontrollsysteme in der ganzen Organisation definieren.
Die ITGCM bietet einen Referenzrahmen für eine Organisation, die Control Procedures und Policies in ihrem Verantwortungsbereich implementiert:
Die Tragweite des ITGCM beinhaltet eine Vielzahl organisationaler Aktivitäten, die mit dem Management von IT-Systemen und anderen Information Assets, darunter auch Non-IT-Assets, zusammenhängen:
Daher sollte die Implementation eines ITGCM über die gesamte Organisation hinweg Pflicht sein.
Abweichungen vom ITGCM sollten nur als Ausnahme und nur nach einer eingehenden Untersuchung eines entsprechenden Requests stattfinden. Dies auch nur dann, wenn vorher ein Standardprozess für Ausnahmen definiert worden ist.
Das ITGCM besteht aus:
Das bedeutet, dass das ITGCM die Standards für ein effektives und effizientes IT Governance Management Control System bildet.
Natürlich ist das Management verantwortlich dafür sicherzustellen, dass die ITGCs implementiert, dokumentiert, getestet und für das generelle ITGCM mit Beweisen belegt sind.
Die ITGC Matrix ist das Schlüsselelement, das alle anwendbaren Controls definiert und weitere Informationen enthält, die für die Implementation, das Testing und das Assessment der Controls genutzt werden können.
Ihr Zweck:
Eine ITGC Matrix sollte dreierlei Informationen in sich integrieren:
Die ITGCs können unterschiedlich strukturiert werden. Die folgende Tabelle zeigt ein typisches individuelles Set von Activity Domains und das Set, das vom Institute of Internal Auditors empfohlen wird:
Typisches Set | Global Technology Audit Guide * |
---|---|
IT Business Continuity | GTAG 1: Information Technology Controls |
Backup Management | GTAG 2: Change and Patch Management Controls: Critical for Organizational Success |
Change Management | GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment |
Configuration Management | GTAG 4: Management of IT Auditing |
Information Management Organization and Processes | GTAG 5: Managing and Auditing Privacy Risks |
Incident / Problem Management | GTAG 6: Managing and Auditing IT Vulnerabilities |
IT Organization | GTAG 7: Information Technology Outsourcing |
IT Operations | GTAG 8: Auditing Application Controls |
Project Management | GTAG 9: Identity and Access Management |
Physical Security | GTAG 10: Business Continuity Management |
Risk Management | GTAG 11: Developing the IT Audit Plan |
Service Provider Management | GTAG 12: Auditing IT Projects |
System and Information Security | GTAG 13: Fraud Prevention and Detection in the Automated World |
GTAG 14: Auditing User-developed Applications | |
GTAG 15: Information Security Governance | |
GTAG 16: Data Analysis Technologies | |
GTAG 17: Auditing IT Governance |
* Der Global Technology Audit Guide (GTAG) wird vom Institute of Internal Auditors herausgegeben.
Ein IT Governance Team sollte dafür verantwortlich sein, die Controls mittels Zielen und Anforderungen für jede einzelne Control zu definieren. Diese werden dann für Reviews vom Internen Audit-Team als Teil der Audit-Kriterien genutzt.
Die Implementation der ITGC Matrix ist Pflicht für die gesamte Organisation.
Diese Prozeduren und Policies sollten dazu designt sein, ein gesundes Mass an Sicherheit zu geben wenn es um das Erreichen der Control Ziele geht. Diese sind:
Updates der Matrix sollten nur als Folge eines strikt geregelten Prozesses gemacht werden. Change Management und Abweichungen sollen nur durch die Einhaltung der bereits bestimmten Standards geschehen
Die folgenden Parameter der ITGC Matrix, mit möglichen Werten, oder ähnliche können dazu genutzt werden, die Information Assets zu klassifizieren und zu kategorisieren und die Liste der darauf passenden Controls für diese Assets zu identifizieren.
Information Asset Kategorien | Information Asset Klassen |
---|---|
Information Asset Kategorien | IT Unit Information/Archiv IT Application Platform/Service Server/Database/Speicher Network/Communication Service End-User Geräte Datencenter Service Provider |
Information Asset Klassen | Keine Klassifikation Group Policies SOX, PCI-DSS oder NFCM sowie jede andere Regulierung Vertraulichkeit Integrität Verfügbarkeit Verantwortung Nicht-Zurückweisung Data Privacy Records Management Other classification |
Jede ITGC kann auf eine oder mehrere dieser vordefinierten Asset-Kategorien und -Klassifikationen mit einem Indikator – Applicable oder Not Applicable – gemappt werden.
ITGC Objectives und damit verbundenen Anforderungen für die Implementation der Controls – zum Beispiel die Control Activities, inklusive der möglichen Validationsschritte und den empfohlenen Beweisführungen – sind für jede Control in der Matrix definiert.
Das Assessment der Controls sollte folglich die folgenden Reife-Parameter nutzen:
Diese Standard-Parameter der ITGC Matrix müssen zwingend verwendet werden, um die Resultate des Control Assessment zu dokumentieren, die Resultate deren Tests zu dokumentieren, um den Fortschritt der Control Gap Remediation (im Risk Management Prozess enthalten) festzuhalten.
Wer ist verantwortlich? | Was stellen sie sicher? |
---|---|
Governance | Besitz des IT Policy Frameworks, inklusive Policies, Direktionen, Standards und Prozesse. Insbesondere aber das ITGCM, das die Standards des internen Informationsmanagements etabliert |
Die Erhaltung von Zustimmung seitens Audit-, Governance- und Policyschaffenden Gruppen in der Organisation betreffend der Inhalte und der Nutzung des ITGCM. | |
Unterstützung der Implementation des ITGCMs | |
Bereitstellen von ITGCM Trainingsmaterial wenn nötig | |
Durchführung von Checks der Asset Klassifikationen, Control Assessments, Tests der Controls, Risk Assessments und Mitigationsplänen zur Sicherstellung eines ausgeglichenen Approaches über die Organisation | |
Review und Approval von Ausnahmen | |
Konsolidierung und Reporting des Control Status | |
Internes Audit | Assessment des Designs und der Effizienz der Controls |
Reporting ans Management | |
Reporting ans Audit und Compliance Committee der Direktion | |
Review der Effektivität, Effizienz und Eignung des Information Management Prozesses wie auch der Controls mit Fokus auf * Verlässlichkeit des Information Management Prozesses * Festhalten an Group Policies und der Anforderungen * Schutz der Information Assets |
Das ITGCM bietet eine Baseline für das interne Audit Department, um die IT-Aktivitäten zu auditieren. Aber die Tragweite eines internen Audits ist nicht auf diese Baseline limitiert und kann auch Nicht-IT- und Nicht-Governance-Aktivitäten enthalten.
Wer ist verantwortlich? | Was stellen sie sicher? |
---|---|
Externes Audit | Meinung zu den Controls |
Review der Dokumentation des ITGCMs als Unterstützung ihres Assessments der Organisation. | |
Review der Beweisführung in der Dokumentation der Control Procedures und Policies als Unterstützung der Compliance. | |
Ratschläge betreffend der Controls und der Schwächen des Systems |
Ein Audit und Compliance Committee der Direktion kann die gefundenen Probleme der externen Auditors reviewen.
Der ITGC Assessment Prozess ist in drei Teile aufgeteilt:
Der Controls Assessment Prozess wird entweder durch das jährliche Re-Assessment der Controls oder durch Änderungen, welche die Organisation oder Information Assets betreffen, ausgelöst. Diese sind unter anderem:
Der Controls Assessment Prozess wird für einzelne Information Assets ausgeführt. Der Zweck des Prozesses ist:
Der Schlüssel-Output des Assessments beinhaltet:
Reporting und Monitoring sind ständig laufende Prozesse, die während dem ganzen Risikobehandlungsprozess erfolgen sollten.
Teilungen müssen sicherstellen, dass das Risikoreporting etabliert ist, damit der Fortschritt der Remediation Plans nachverfolgt werden kann, wie auch der Grad des Risikos, dem die Organisation gegenübersteht.
Indem ein Lebenszyklus mit gut ausgewählten Kontrollen etabliert wird, ist es möglich die Qualität und die Reife von mehreren kritischen Domains der Organisation stetig zu verbessern. Die Kontrollen können ein sehr wichtiges Element in der Sicherstellung der Compliance in einem Umfeld werden, das immer mehr verpflichtende und komplexe Regulationen erfordert. Es ist daher absolut lohnenswert eine Organisationsstruktur und ein Konzept einzuführen, das sich um diese Art der Governance dreht. Zudem können so viele Synergien mit anderen wichtigen Abteilungen – wie zum Beispiel dem Internen Audit Team, der Information Security, dem Risk Management oder der Qualitätssicherung – geschaffen werden.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!