Governance, Risk & Compliance

In der Umsetzung von Informationssicherheit ist die Technik bereits der zweite Schritt. Zuerst muss seitens des Managements eine klare Zielvorgabe in Form einer Unternehmensrichtlinie (Policy) erarbeitet werden. Erst wenn diese, unter Berücksichtigung geltender Konformitätsanforderungen, definiert und kommuniziert wurde, kann in der Umsetzungsplanung die Organisation, der Prozess und das System individuell festgelegt werden.

Risikomanagement hilft, nur dort Kosten zu produzieren, wo sich daraus hinterher eine messbare Einsparung realisieren lässt. Bei jedem Geschäftsprozess - von der Personaleinstellung bis zum Betrieb einer Software - ist es einfacher, Informationssicherheit von Anfang an zu implementieren, statt im Nachhinein aufzusetzen. Im Change Management lassen sich durch entsprechende Vorbereitung negative Auswirkungen vermindern.

Zur besseren Transparenz, vor allem in regulierten Bereichen (v.A. Gesundheitswesen oder Finanzsektor) und im Auslandsgeschäft, stehen verschiedene Modelle zur Unternehmensführung (COBIT), Prozessmodellierung (ITIL) und Qualitätsmanagement (Six Sigma) zur Verfügung. Aber nicht nur das eigene Unternehmen sollte betrachtet werden; im Sinne des Lieferkettenmanagements (Supply-Chain-Management) sind Lieferanten und Dienstleister bzw. Outsourcing ein Teil des Gesamtrisikos in der Wertschöpfung.