Compliance in der Praxis:
„Systematische Umsetzung mit Action Plan“

Kommentar von Information-Security-Auditor Roman P. Büchler

@ (Juni 2009) - Wer alle Gesetze, Regeln und Richtlinien einhalten will – neudeutsch: Compliance, muss eine schier unüberschaubare Vielzahl von Gesetzen, Standards und Best Practices beachten. Die oberste Führungsebene ist dafür verantwortlich und hat alle relevanten Vorgaben auf die eigene Organisation zu adaptieren. Mit Datenschutz, Wettbewerbsrecht, E-Commerce oder Urheberrecht seien nur einige Rechtsnormen genannt. Wer sich in diesem „Dickicht“ nicht verlieren will, sollte die Compliance in seiner Organisation systematisch anpacken. Das hilft einerseits, die Übersicht zu bewahren, und hält andererseits den Aufwand in einem kontrollierbaren Rahmen.

Klar(er) sehen: mit internem Compliance-Workshop

In der Praxis hat sich ein interner Compliance-Workshop als Startschuss bewährt. In einem Tag legen Sie das Fundament, um die aktuelle Situation zu beurteilen, alle gesetzlichen Anforderungen zu definieren und allfällige Lücken in der Organisation zu entdecken. Ein solcher Workshop könnte beispielsweise diese Punkte beinhalten:

  • Gesetzliche Anforderungen mit IT-Relevanz erklären.
  • Compliance-Vorgaben für die eigene Organisation definieren.
  • Lücken suchen und aufzeigen.
  • Übersicht mit Ampelsystem auf der aktuellen Situation entwickeln.
  • Massnahmenplan erarbeiten.
  • Themen priorisieren.

Den Workshop-Fokus auf die wichtigsten Themen legen:

  • Risikomanagement – eine gesetzliche Pflicht
  • Haftungsfragen: Wer ist „schuld“?
  • Record Management: klassifizieren, aufbewahren, beweisen
  • Schutz der Persönlichkeit: Datenschutz, Logs, Überwachung
  • Identity Management

Teilnehmen sollten alle Mitarbeiter, die aktiv Inhalte beitragen können oder anschliessend Massnahmen umsetzen:

  • Interne Rechtsabteilung
  • Interne Revision
  • Compliance Officer
  • Corporate Risk Manager
  • IT-Leiter (CIO)
  • IT-Sicherheitsbeauftragter

Action Plan: Massnahmen planen, Zuständigkeiten definieren

Die Compliance-verantwortliche Person setzt je nach Grösse der Organisation allein oder im Team alle im Workshop erarbeiteten Massnahmen anhand eines Compliance Action Plans um (siehe Abbildung). Sinnvoll ist eine Liste, die detailliert alle relevanten Gesetze auflistet, Paragraphen mit IT-Relevanz ausweist und veranschaulicht, wie weit die Organisation die Forderungen erfüllt. Ausserdem werden sämtliche Umsetzungsmassnahmen integriert und ihre Verbindung mit einzelnen Artikeln visualisiert. Zuletzt werden Zuständigkeiten und Zeitplan definiert. Wird der Status laufend aktualisiert, dient der Action Plan als Kontrollinstrument für die Compliance-Leitung und kann auch für das Management Reporting genutzt werden.

Ausschnitt aus einem Compliance Action Plan einer Organisation in der Schweiz

Vertrauen ist gut, laufend kontrollieren ist besser

Um die Qualität eines Compliance-Systems sicherzustellen, müssen die gesetzlichen Änderungen laufend beobachtet und integriert werden. In der Schweiz werden die Gesetze in der Regel halbjährlich zum 1. Januar und 1. Juli aktualisiert. Es gibt verschiedene Wege, sie zu überwachen:

  1. Die Rechtsabteilung überprüft alle Änderungen, informiert die Organisation, erarbeitet mit dem Compliance-Verantwortlichen die notwendigen Massnahmen und setzt sie um.
  2. Die Organisation schliesst mit einem Dienstleister ein Abonnement ab, der sie über alle Änderungen informiert. Intern sind daraus Maßnahmen abzuleiten, vorzuschlagen, umzusetzen.
  3. Die Organisation beauftragt ein Beratungsunternehmen, alle Änderungen zu überwachen, die Organisation zu informieren und mögliche Massnahmen vorzuschlagen.

Solide Basis für ISO 27001 und ISO 20000

Compliance fordert das Management sowie die IT- und Informationssicherheitsverantwortlichen heraus. Wer systematisch vorgeht, kommt je nach Situation mit einem überschaubaren Bündel zielgerichteter Massnahmen aus, zeit- und kostenschonend. Für eine Zertifizierung nach ISO 27001 oder ISO 20000 ist mit einem soliden Compliance-Management eine fundamentale Voraussetzung geschaffen.


Roman P. Büchler ist Information-Security-Auditor der CIS Liechtenstein sowie Dozent für
IT-Risikomanagement an der Wirtschaftsinformatikschule WISS, St. Gallen.





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com