CeBIT 2013, Hannover ECM-Forum „Shared Content“
Compliance & Pragmatismus - Shared Content-Nachweise in Unternehmen
Dr. Klaus-Peter Elpel – Consultec Dr. Ernst GmbH
06.03.2013, 10:30 Uhr
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Inhalt
1. Ausgangspunkt: Nachweis der Revisionssicherheit
• Revisionssicherheit als Basis jeder dokumentenbezogenen Compliance
• ISO: 27001 und der Maßnahmenrahmen 27002
• VOI: Prüfkriterien für Dokumentenmanagement-Lösungen / PK-DML
2. Praxisbeispiel: IT-Sicherheit nachweisen – eine Wiki-Lösung als pragmatisches Instrument
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Warum Revisionssicherheit nachweisen?
… für …
• Geschäftsprozesse, die auf ausschließlich digital vorliegenden Dokumenten basieren (z.B. elektronische Rechnungen)
• verbreitete Digitalisierung und Archivierung von papierbezogenen Eingangsdokumenten mit anschließender Vernichtung der Originaldokumente (z.B. Handelsbriefe und Buchungsbelege)
• verstärkte Einrichtung von medienbruchfreien Geschäftsprozessen (z.B. elektronische Bestellungen)
• Portallösungen zur Bereitstellung eines direkten Zugangs für Kunden auf ‚ihre‘ Dokumente
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Aspekte der Revisionssicherheit
• Steuerrechtliche Aspekte im Management elektronischer Dokumente
• Zugriff und Auswertung (§ 147 Abs. 6 AO, GDPdU)
• Unveränderbarkeit und Aufbewahrung (§§ 146, 147 Abs. 1 AO)
• Elektronische Rechnungen (§ 14 UStG, Steuervereinfachungsgesetz)
• Vernichtung von Originalrechnungen (GoBS, BMF-Schreiben vom 29.1.2004)
• Handelsrechtliche Aspekte im Management elektronischer Dokumente
• Unveränderbarkeit (§§ 238, 239 HGB)
• Aufbewahrung und Lesbarmachung von Unterlagen (§§ 257-258 HGB)
• Zivilrechtliche Aspekte im Management elektronischer Dokumente
• Beweiskraft elektronischer Dokumente (§§ 126, 127 BGB, §§ 286, 292a, 371a ZPO)
• Weitere rechtliche Normen im Management elektronischer Dokumente
• Datenschutz (BDSG)
• …
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Revisionssicherheit: Basis jeder IT-Compliance
Gesetze und Normen (AO, HGB, GoBS,
GDPdU, BDSG)
Interne Regelungen
(z.B. Passwort-richtlinien)
Standards und Best
Practices (ISO 27001, ITIL,
COBIT)
Elemente IT-bezogener Compliance
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Herausforderungen in der Unternehmenspraxis
• Welche Kriterien werden an eine Revisionssicherheit angelegt?
• Wie lässt sich die Revisionssicherheit effizient nachweisen?
• Wie lässt sich Revisionssicherheit langfristig mit einfachen Mitteln erhalten?
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Welche Kriterien werden an eine Revisionssicherheit angelegt?
• Revisionssicherheit wird durch technische und organisatorische Maßnahmen erreicht
• Probleme in der täglichen Praxis:
• Welche Kriterien muss ich zur Prüfung der Revisionssicherheit heranziehen?
• Was muss ich konkret tun, um die Kriterien zu erfüllen?
• Nach welchem Rahmen lässt sich mein Verfahren zertifizieren?
• Lösung:
Leitfaden und Checkliste ‚Prüfkriterien für Dokumentenmanagement- und Enterprise Content Management Lösungen‘ (PK-DML) des VOI
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Was muss für eine Revisionssicherheit umgesetzt werden?
Leitfaden und Checkliste ‚Prüfkriterien für Dokumentenmanagement- und Enterprise Content Management-Lösungen‘ (PK-DML) des VOI
Inhalt und Aufbau:
• Allgemeine Beschreibung des Einsatzgebietes
• Sachlogische Systemlösung
• Technische Systemlösung und Migration
• IT-Sicherheit
• Technischer Betrieb
• Prozesse
• Mitarbeiterqualifikation
• Test
• Outsourcing
• Internes Kontrollsystem – IKS
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Wie lässt sich Revisionssicherheit effizient nachweisen?
• Grundlage jeder Revisionssicherheit ist eine aktuelle und vollständige Verfahrensdokumentation in Verbindung mit einem angemessenen Kontrollsystem
• Probleme in der täglichen Praxis:
• keine formale Kontrollfunktion
• ungeklärte Verantwortlichkeiten
• unterschiedliche (meist fehlende) Aktualitäten
• fehlende Versionierung und Aufbewahrung (10 Jahre!)
• verschiedene Medien (Papier, Dateien)
• unterschiedliche Dateiformate
• unterschiedliche Speicherorte mit uneinheitlichen Zugriffsrechten
• unvollständige Dokumentation
• Lösung:
Framework und zentrales „Portal Verfahrensdokumentation“
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Wie lässt sich Revisionssicherheit effizient nachweisen?
• Komplexität durch
• Viele Verfahren
• Mehrere Unternehmensbereiche/Abteilungen
• Übergreifende und spezielle Dokumente
• Verteilte Dokumentenablage und -pflege
• Lösung
• Portallösung Verfahrensdokumentation
• Framework Informations- und Dokumentenverwaltung
Al lgemeine Beschreibung des Einsatzgebietes
Sachlogische Systemlösung
Technische Systemlösung und Migration
IT-Sicherheit
Technischer Betrieb
Prozesse
Mitarbeiterqualifikation
Test
Outsourcing
Internes Kontrollsystem – IKS
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Lenkung von Dokumenten nach ISO 27001
• Dokumente vor Herausgabe genehmigen
• Dokumente überprüfen und ggf. aktualisieren
• Kennzeichnung von Änderungen sowie Überarbeitungsstatus
• Verfügbarkeit relevanter Versionen am jeweiligen Einsatzort
• Leichte Erkennbarkeit und Lesbarkeit von Dokumenten
• Geeignete Verfahren für Übertragung, Speicherung und Entsorgung
• Kennzeichnung von Dokumenten externer Herkunft
• Kontrolle der Verteilung von Dokumenten
• Verhinderung von unbeaufsichtigter Verwendung veralteter Dokumente
• Kennzeichnung veralteter Dokumente
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Wie lässt sich Revisionssicherheit langfristig mit einfachen Mitteln erhalten?
• Zuordnung eindeutiger (QS-) Verantwortlichkeiten
• Zentraler Informations-/Dokumentenzugang
• Verfahrensspezifisch einheitliche Sicht auf alle relevanten Dokumente
• Zentrale Governance- und Kontrollfunktion (Management-System)
Revisionssicherheit ist kein erreichter Zustand, sondern ein laufender Prozess
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Gründe für eine Wiki-Lösung
• Unternehmensweiter (browserbasierter) Zugriff
• Kombination von Darstellung und Dokumentensteuerung
• Schnelle Aktualisierungs- und Verteilungsprozesse
• Zentrales Bereitstellen und Verwalten von Informationen
• Einbeziehung des Wissens in den Mitarbeiterköpfen
• Günstige und schnell verfügbare Software-Lösung
• Flexible Erweiterung um neue (Dokumentations-) Bestandteile
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Anforderungen an Wikis aus Sicht des Unternehmen
• Sicherheit (z.B. Berechtigungen)
• Anpassbarkeit (z.B. CI)
• Integrationsmöglichkeit (z.B. LDAP etc.)
• Ausgereifte Lösung, gesicherter Support
• Benutzerfreundlichkeit (z.B. WYSIWYG-Editor)
• Funktionalität (z.B. Versionierung, Suchfunktion)
• Technische Aspekte (z.B. Softwareplattform, Datenbank)
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Wikis und Co. als Dokumentations-Plattform – Beispiele
z.B. Atlassian
Confluence
Inhaltsver-zeichnis
(Sicht auf Dokumente,
Vollständigkeit)
z.B.
Dokuwiki
z.B. Sharepoint
Zentrale Dokumenten-
Speicherung, zentrale Zugriffssteuerung,
Authentication, Back-Ends (LDAP etc.)
Versionierung der Wiki-Seiten und Attachments, Volltextsuche, professioneller
Support, Workflows
Collaboration, Erweiterbarkeit)
Revisionssichere Aufbewahrung
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis: Anforderungen
• Rahmenvorgabe dessen, was und wie zu dokumentieren ist
• Leichte Prüfbarkeit auf Vollständigkeit und Aktualität
• Statusverfolgung und Versionierung
• Vergleichbare Qualität aller Verfahrensdokumentationen
• Leichter und einheitlicher Zugriff auf Dokumente und Informationen
• Zentrales Berechtigungsmanagement
• Zertifizierbarkeit
• Revisionssicherheit
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis
Der Aufbau der Wiki-Dokumente ist im wesentlichen durch strukturierte Templates geprägt
Die Templates sind weitestgehend selbst-erklärend und zusätzlich mit erläuternden Hilfetexten versehen
Dadurch wird sowohl eine inhaltliche Führung des Dokumentierenden als auch eine Gleichartigkeit und Konsolidierbarkeit über alle Verfahrensdokumentationen erreicht
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Auswahlmenü Kriterienbereiche
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Framework Verfahrensdokumentation
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Überblickartige Beschreibung des Kriteriums
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Verweis auf vertiefende und übergreifende Dokumentationen
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Direkte Editier- und Einfüge-Funktionen
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Suchfunktion über Wiki-Seiten und hochgeladene Attachments
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Beispiel Erweiterung: Verfahrensverzeichnis
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Umsetzung in der Praxis Beispiel Erweiterung: Vorlage Datensicherungskonzept
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
ISO 27001/27002
PK-DML
ISO 27001 Spezifikation der Anforderungen für Betrieb, Überwachung und Optimierung eines Informationssicherheits-Managementsystems (ISMS) ISO 27002 Kontrollmechanismen für die Informationssicherheit
PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen von VOI e.V. und TÜV Informationstechnik GmbH
PK-DML PK-DML
Integrierbar für ein pragmatisches
Vorgehen
PK-DML
Erfahrungen aus Consultec-Projekten Nachweisfelder über die Einhaltung von IT-Sicherheit
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Unsere Erfahrung – der ISO 2700x-Standard bringt komplexe Anforderungen mit sich
• Umfangreiches Regelwerk mit entsprechend hohem Einführungsaufwand
• Erkennbarer Nutzen und Projektkosten stehen in einem ungünstigen Verhältnis
• Das Change Management überfordert häufig die bestehende Organisation
• Die Einführungsakzeptanz ist häufig genug gering
• Auch nach der (sukzessiven) Einführung ist ein hoher administrativer Aufwand nötig
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
IT-Sicherheit nachweisen – pragmatisch vorgehen Ausgehend von der PK-DML die ISO 27001-Vorgaben erfüllen
Praxisbeispiel
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Mögliche Betrachtungswinkel in einem übergreifenden Nachweispool
Nachweis Revisionssicherheit
Risikobetrachtung
Weiteres Thema …
Praxisbeispiel – Scope des Projektes – Betrachtungsebenen
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
ISO 27001/27002-Rahmen St
ufe
1 REVISIONSSICHERHEIT
• Verfahrensdokumentation
• 10 übersichtliche Kapitel mit klaren Kernkriterien
• Ordnungsmäßigkeit
• Vollständigkeit • Nachvollziehbarkeit
• Unveränderbarkeit
• Verfügbarkeit
Internes Kontrollsystem / IKS
• Funktionstrennung
• Vier-Augen-Prinzip • Protokollierung
• . . .
Stu
fe2
INFORMATIONSSICHERHEIT
Informationssicherheits-Managementsystem (ISMS)
• ISMS-Anwendungsbereich
• Verfahren und Maßnahmen zur Unterstützung des ISMS
• Beschreibung der Methode des ISMS
• Ergebnisse der Risikoeinschätzung
• Risikobehandlungsplan
• Dokumentierte Vorgehensweise
• Aufzeichnungen • Erklärung zur Anwendbarkeit
MASSNAHMEN
133 Anforderungen, u.a. aus den Bereichen:
• IT-Sicherheitsleitlinie • Organisation der IT-Sicherheit
• Personelle Sicherheit • Zugangskontrolle
• Einhaltung von Maßnahmen
• . . .
Planen
Um-setzen
Über-wachen
Ver-bessern
GoBS-/PK-DML-Rahmen
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Einordnung der PK-DML-Kriterien in die Struktur des ISO 27002-Maßnahmenkatalogs
Nachweis zur Einhaltung der IT-Security
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Item durch PK-DML
abgedeckt
1. Weisungen und Richtlinien zur Informations-sicherheit
Item durch PK-DML
abgedeckt
6. Netzwerk- und Betriebssicherheit
Item durch PK-DML
abgedeckt 7. Zugriffskontrolle
Sukzessives Füllen des ISO 27002-Rahmens – beginnend mit einer PK-DML-basierten Verfahrensdokumentation
Einordnung der PK-DML-Kriterien in die Struktur des ISO 27002-Maßnahmenkatalogs
Nachweis zur Einhaltung der IT-Security
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Wiki-Lösung Verfahrensdokumentation Eingebunden ins Intranet eines Unternehmens Praxisbeispiel
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Mögliche Erweiterungen
IT-Compliance Policies; IT-Betriebshandbuch; Service-Level-Agreements; Regulations and Standards; Compliance-Status-Report; Kontrollverfahren Rechnungsprüfung elektronische Rechnungen (Integrität/Authentizität); Datenschutzkonzept (BSI); Verfahrensverzeichnis; IT-Sicherheitskonzept; Datensicherungskonzept; Konzept Business Continuity-
Management; Notfallmanagement; Berechtigungskonzept; ISMS; BSI Grundschutz (Infrastrukturanalyse, Maßnahmenverwaltung); Einbindung Tools (Infrastrukturaufnahme, z.B. Docusnap); IT-Verträge (Outsourcing); Mitarbeiterinformation (Datenschutz-, Compliance-Schulung); Lizenzmanagement; Internes Kontrollsystem; Testdokumentation; Compliance-
Vulnerable-Tickets; Prozessdokumentation; Revisionssichere Projektdokumentation
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
• Consultec Dr. Ernst GmbH – IT-Beratungskompetenz seit 1993
Führendes Beratungshaus für ECM-/DMS-Compliance und IT-Strategieprojekte
Langjährige Zusammenarbeit mit dem TÜViT und namhaften Wirtschaftsprüfungsgesellschaften bei Systemabnahmen und Zertifizierungen
Weitere zentrale Schwerpunkte
IT-Strategieberatung
IT-System-Konsolidierung und –Migration
Enterprise Content Management / Dokumentenmanagement
Informations- und Wissensmanagement
• Unsere Erfahrung nutzen/nutzen u.a. diese Unternehmen und öffentlichen Einrichtungen
Airbus/EADS, AOKen, Atlas Copco, Bilfinger Berger Nigeria GmbH, Deutsche Bundesbank,
Deutsche Post, Deutsche Rentenversicherung, EnBW, Germanischer Lloyd, mehrere Kassenärztliche
sowie Kassenzahnärztliche Vereinigungen, Landes- und Kommunalverwaltungen, mobilcom-debitel,
Nordrheinische Ärzteversorgung, RAG, RWE, Verwaltungen mehrerer Städte, VW Financials,
Westfälische Provinzial, Zeppelin …sowie zahlreiche mittelständische Unternehmen
CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus
Competence Center IT Sicherheit & Compliance
Vielen Dank für Ihr Interesse!
Dr. Klaus-Peter Elpel Geschäftsführender Gesellschafter
www.consultec.de
CeBIT 2013, Hannover ECM-Forum „Shared Content“
Vielen Dank für Ihr Interesse!
Weitere Informationen unter: www.ecm-navigator.de
und www.ecmtoday.de