+ All Categories
Home > Documents > Effizienter Umgang mit Governance-, Risk- und Compliance...

Effizienter Umgang mit Governance-, Risk- und Compliance...

Date post: 06-Mar-2018
Category:

Documents
Upload: hoangdan
View: 215 times
Download: 2 times
Download Report this document
Share this document with a friend
14
Effizienter Umgang mit Governance-, Risk- und Compliance Anforderungen DI Markus Hefler, BSc, CISA, CISM Leiter Information Security & Audit Raiffeisen Informatik Center Steiermark GmbH
Transcript
Page 1: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Effizienter Umgang mit Governance-, Risk- und

Compliance Anforderungen

DI Markus Hefler, BSc, CISA, CISM Leiter Information Security & Audit

Raiffeisen Informatik Center Steiermark GmbH

Page 2: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Agenda

1. Vorstellung der RRZ GmbH

2. GRC im Überblick

3. GRC Anforderungen an das RRZ

4. Umsetzung der Anforderungen

5. Zusammenfassung

Page 3: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Die Raiffeisen Rechenzentrum GmbH

Page 4: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Serviceportfolio

HOSTING

TIERED STORAGE

BACKUP

DISASTER RECOVERY

IAAS DATA

REPLICATION

DATA SECURITY

HOUSING

WAN SERVICES ISP / SPLA

DATA

CENTER NETWORK

MGMT

ERP HOSTING

MESSAGING

ARCHIV

UC

PAAS ECM

CO

NSU

LTIN

G S

ERVI

CES

SER

VIC

E M

AN

AG

EMEN

T (IT

IL)

SYST

EM M

AN

AG

EMEN

T &

SU

PPO

RT

SER

VIC

E D

ESK

Page 5: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

GRC – Ein wichtiges Thema? GRC Vorgaben entstehen aus: • Auflagen im Rahmen von Wirtschaftsprüfungen

(z.B.: ISAE 3402) • der Umsetzung branchenspezifischer, gesetzlicher

Vorgaben (z.B.: Basel I-III) • der Umsetzung unternehmensrechtlicher Vorgaben

(z.B.: UGB) • der Umsetzung von spezifischen Normen und Standards

(z.B.: ISO/IEC 27001, ISO/IEC 20000, CobiT)

Page 6: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

GRC Anforderungen an das RRZ

• Standardisiertes Prozessmanagement nach ISO/IEC 20000

• Information Security Management nach ISO/IEC 27001

• Einsatz des CobiT Management Frameworks zur Umsetzung der IT-Governance Anforderungen (ISAE 3402)

http://isae3402.com/index.html
Page 7: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

GRC im Überblick

COMPLIANCE RISIKO

GOVERNANCE

• Strategie • Prozesse • Menschen • Technologie

http://www.google.at/url?sa=i&rct=j&q=steuerrad+symbol&source=images&cd=&cad=rja&docid=exmqn55_FFpaoM&tbnid=3rj6nOVOo5Nj-M:&ved=0CAUQjRw&url=http://www.wandtattoo-king.de/fliesendeko-steuerrad.html&ei=RlakUYi_CoahO5f4gbAF&bvm=bv.47008514,d.ZGU&psig=AFQjCNGl8Riiq0jWgLdZ6nhcU4dVu_4mnA&ust=1369810835721188
http://www.google.at/url?sa=i&rct=j&q=blitz+symbol&source=images&cd=&cad=rja&docid=9qrk-nFhNYFXsM&tbnid=iXjs6yf7GfFamM:&ved=0CAUQjRw&url=http://de.clipartlogo.com/free/rackspace-cloud_13.html&ei=flekUZmEGojBPP3jgJAL&bvm=bv.47008514,d.ZGU&psig=AFQjCNEMtrb9EQv6kII8Xxd8SU2YM-o_Zw&ust=1369811084282723
Page 8: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Messung der Zielerreichung

Governance

Führungs- kultur

Unternehmens- ziele

Business IT-Alignment

Richtlinien

Ressourcen Management

Steuerung - Governance

Page 9: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Risikoappetit - Risikomanagement

Page 10: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Einhaltung von Vorgaben - Compliance

Compliance

IT-Sicherheit

Verfügbarkeit

Normen

SLAs

Datenschutz

Auf-bewahrung

Gesetze

OLAs

Page 11: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Umsetzung im RRZ

• „Leben“ normierter Managementsysteme ([IT]SMS, ISMS) • Vorteile daraus:

– Verbesserte Transparenz und Nachvollziehbarkeit der Abläufe – Unterstützung bei der Erreichung der strategischen Ziele – Effektive Steuerung der inhärenten Risiken Ihrer Geschäftsprozesse – Kontrolle der Wirtschaftlichkeit und Angemessenheit von Maßnahmen

• „Übersetzen“ gesetzlicher Bestimmungen in anwendbare Richtlinien

Page 12: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Management mit System

Page 13: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Harmonisierter Prüfungsansatz

ISMS Kontrollen

ISO/IEC 27001 ISAE 3402 ISO/IEC 20000

IKS Kontrollen

Internes ISO Audit

ITSM Kontrollen

Internes ISO Audit Follow-Up der Empfehlungen

Externes ISO Audit Externes ISO Audit Externes ISAE 3402 Audit

Harmonisierte Kontrollbeschreibungen

Page 14: Effizienter Umgang mit Governance-, Risk- und Compliance ...at.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · DI Markus Hefler, BSc, CISA, CISM . Leiter Information

Zusammenfassung • Einsatz normierter Managementsysteme (ITSM, ISMS) • SIP als Werkzeug zur Weiterentwicklung und

Effizienzsteigerung nutzen • Angemessenheit der Kontrollen und RM-Maßnahmen

beachten • Adäquate Maßnahmenumsetzung unter Berücksichtigung

von Kosten- und Nutzenaspekten

http://www.dashboardinsight.com/news/news-posts/governance-risk-management-and-compliance.aspx

http://www.google.at/url?sa=i&rct=j&q=governance+risk+compliance+&source=images&cd=&cad=rja&docid=zYRdnY7obJpzaM&tbnid=DaPz3ZY_qr_D_M:&ved=0CAUQjRw&url=http://www.dashboardinsight.com/news/news-posts/governance-risk-management-and-compliance.aspx&ei=flajUZClF8m3O8KVgJgO&psig=AFQjCNH-zzMFv_driS5KOti2cLhpMHKxaw&ust=1369745022087599

Recommended
UNITED STATES DISTRICT COURT NORTHERN DISTRICT OF … · v4161 v.07 09.12.2018 18553496457 v . united states district court northern district of california gary hefler, marcelo mizuki,

UNITED STATES DISTRICT COURT NORTHERN DISTRICT OF … · v4161 v.07 09.12.2018 18553496457 v . united states district court northern district of california gary hefler, marcelo mizuki,

Documents

MANAGEMENT OF PRISONS, MAINTENANCE OF RECORDS AND …mahaprisons.gov.in/Uploads/pdf_GR/f6129215-994a-47ce-bff2-91c6fca... · MANAGEMENT OF PRISONS, MAINTENANCE OF RECORDS AND OFFICE

MANAGEMENT OF PRISONS, MAINTENANCE OF RECORDS AND …mahaprisons.gov.in/Uploads/pdf_GR/f6129215-994a-47ce-bff2-91c6fca... · MANAGEMENT OF PRISONS, MAINTENANCE OF RECORDS AND OFFICE

Documents

Presenters: Alan Vorwerck Director Application Development Peter Hefler Sr. Programmer/Analyst

Presenters: Alan Vorwerck Director Application Development Peter Hefler Sr. Programmer/Analyst

Documents

A0-L - GISLINEwebhotel3.gisline.no/GisLinePlanarkiv/3825/20150004...Sk3 Bff2-a Bff2-b 1457 m² 1336 m² Bff1 989 m² Bff1 558 m² Bff1 12803 m² Bff2-d 2258 m² Bff2-c Bff3 Bff3 479

A0-L - GISLINEwebhotel3.gisline.no/GisLinePlanarkiv/3825/20150004...Sk3 Bff2-a Bff2-b 1457 m² 1336 m² Bff1 989 m² Bff1 558 m² Bff1 12803 m² Bff2-d 2258 m² Bff2-c Bff3 Bff3 479

Documents

MAOT ANNUAL CONFERENCE 2005 conference brochure 2018... · Donna Caira, Administrative Manager Laurie Cecchi, OT, OTR Elizabeth Craig OT, OTR Karen Hefler, OT, OTR ... Identify issues

MAOT ANNUAL CONFERENCE 2005 conference brochure 2018... · Donna Caira, Administrative Manager Laurie Cecchi, OT, OTR Elizabeth Craig OT, OTR Karen Hefler, OT, OTR ... Identify issues

Documents

ISO/IEC 20000 & ITIL - Startseitech.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · ISO/IEC 20000 & ITIL ... • Configuration Management • ITIL –Service Asset

ISO/IEC 20000 & ITIL - Startseitech.cis-cert.com/Media/490856a6-ee37-422f-bff2-0e5e02dd34f0/Bei... · ISO/IEC 20000 & ITIL ... • Configuration Management • ITIL –Service Asset

Documents

Presenters: Alan Vorwerck Director Application Development Peter Hefler Sr. Programmer/Analyst Los Rios Community College District, Sacramento Ca.

Presenters: Alan Vorwerck Director Application Development Peter Hefler Sr. Programmer/Analyst Los Rios Community College District, Sacramento Ca.

Documents

22 (21.5 viewable) Full HD LED Displaycdn.cnetcontent.com/0e/13/0e13d6fd-ee37-41f5-9887... · Blazing-fast Response Time for Blur-free Action With 2ms response time, the VX2252mh

22 (21.5 viewable) Full HD LED Displaycdn.cnetcontent.com/0e/13/0e13d6fd-ee37-41f5-9887... · Blazing-fast Response Time for Blur-free Action With 2ms response time, the VX2252mh

Documents

NOTES FROM THE DIRECTOR H - Constant Contactfiles.constantcontact.com/c64362b9001/6313042b-45b6-43e6-bff2-b… · tips to help you lose weight and gain energy: If eating healthy in

NOTES FROM THE DIRECTOR H - Constant Contactfiles.constantcontact.com/c64362b9001/6313042b-45b6-43e6-bff2-b… · tips to help you lose weight and gain energy: If eating healthy in

Documents

Revision I to EPRI TR-102348 Guideline on Licensing Digital … · Wayne Glidden, FirstEnergy/NUSMG John Hefler, Altran Lynnette Hendricks, NEI Tim Hurst, Hurst Technology/ISA Ron

Revision I to EPRI TR-102348 Guideline on Licensing Digital … · Wayne Glidden, FirstEnergy/NUSMG John Hefler, Altran Lynnette Hendricks, NEI Tim Hurst, Hurst Technology/ISA Ron

Documents

EE37-Electron Devices and Circuits Lab.pdf

EE37-Electron Devices and Circuits Lab.pdf

Documents