Governance und Compliance

Governance ist eine der tragenden Säulen einer funktionierenden Informationssicherheit. Sie setzt durch griffige und klare Vorgaben die Leitplanken für einen sicheren und nachvollziehbaren Betrieb der Prozesse und Infrastrukturen eines Unternehmens. Um die Einhaltung der Governance-Vorgaben zu überprüfen und sicherzustellen, werden effiziente und effektive Compliance-Prozesse und -Methoden benötigt. Es versteht sich von selbst, dass Governance und Compliance eines kompetenten Managements bedürfen. Unsere Experten verfügen über langjährige Erfahrung im Aufbau von umfassenden Governance Frameworks und der Erarbeitung konkreter Vorgaben im Bereich der Informationssicherheit. Auch die Überprüfung der Einhaltung von Vorgaben mittels Audits und der Aufbau von risikoorientierten Managementprozessen mit Key Performance Indicators (KPI) und Key Risk Indicators (KRI) gehören zu unseren Stärken.

Die Bedeutung von Policies

Policies, Weisungen, Richtlinien und Empfehlungen zu allen Bereichen der Informationsverarbeitung sind Kernelemente einer funktionierenden Security Governance und sollten in einem Policy Framework organisiert werden. Ohne entsprechende Policies ist eine effiziente und effektive Steuerung der Informationssicherheit nicht möglich. Die Erarbeitung einzelner Policies kann nur erfolgreich sein, wenn sie auf einem Framework basieren, das sämtliche relevanten Vorgaben berücksichtigt. Die Umsetzung einzelner Policies muss risiko- und bedarfsgerecht erfolgen. Policies entfalten ihre Wirkung jeweils im gesamten Unternehmen und müssen deshalb hohen Ansprüchen genügen.

Audits allein genügen nicht. Aber sie helfen.

Um die Einhaltung von Vorgaben zu prüfen, wird in der Regel auf Audits gesetzt. Diese sind jedoch nicht das einzige wirkungsvolle Hilfsmittel zur Überprüfung der Compliance im Bereich der Informationssicherheit. Es sollten stets auch ergänzende Methoden in Betracht gezogen werden. So kann mittels gut designter Key Performance Indicators im Rahmen einer rollenden Prüfung festgestellt werden, ob die implementierten Regeln auch eingehalten werden. Daneben erlauben sinnvoll aufgebaute und verständliche Self-Assessments die zielsichere Gewinnung von Informationen und erhöhen die Sensibilisierung für Themen der Informationssicherheit.

Vorgehen

Das folgende Vorgehen in drei Schritten hat sich bei unseren Aufträgen im Bereich Governance und Compliance stets bewährt. Es stellt sicher, dass alle wesentlichen Aspekte eines Security Governance Frameworks berücksichtigt werden:

1. Auslegeordnung der bestehenden Governance- und Compliance-Elemente, ihrer Frameworks und ihrer Prozesse. Dabei orientieren wir uns an den folgenden Regeln:
   • Es sind alle für das Unternehmen relevanten externen und internen Regulatorien (Gesetze, Finanzmarktregulatorien, Kundenverträge) bekannt. Sie werden in den Prozessen berücksichtigt.
   • Weisungen und Vorgaben sind aufeinander abgestimmt und in sich und in Bezug auf andere Regelwerke des Unternehmens stimmig.
   • Es sind Managementprozesse implementiert, die die Qualität und Aktualität der Weisungen und Vorgaben auf dem erforderlichen Niveau sicherstellen. Das Framework wird regelmässig hinterfragt und verbessert.
2. Überprüfung und Einschätzung der Wirksamkeit und Effizienz von Governance und Compliance im Kontext des Unternehmens und seiner Risikoexposition
3. Empfehlung von Massnahmen und Begleitung bei deren Ausgestaltung und Umsetzung

Auf Wunsch können auch nur einzelne Bestandteile und Dokumente für Ihr bestehendes Security Governance Framework erstellt oder überarbeitet werden.

Kundennutzen

Unsere Experten unterstützen Sie mit ihrem Know-how und ihrer langjährigen Erfahrung in der Implementation eines wirksamen Security Governance Frameworks. Durch das Offenlegen und Analysieren der bestehenden Situation in Ihrem Unternehmen erhalten Sie einen guten Überblick über die Vollständigkeit und Wirksamkeit Ihrer Vorgaben zur Gewährleistung der Informationssicherheit. Unsere Berater unterstützen Sie dabei, Schwachstellen zu beseitigen und bestehende Prozesse zu stärken. Dabei schöpfen sie auch aus ihren umfangreichen Kenntnissen zu nationalen und internationalen Standards und Vorgaben (HIPAA, DSGVO, PCI DSS u. v. m.). Natürlich stimmen wir das Security Governance Framework auch mit Ihren übergeordneten Vorgaben im Bereich Corporate Governance und Compliance ab.