Compliance

Neben der Forderung des Businessbereichs nach maßgeschneiderten Lösungen muss die IT ihren Beitrag zur Erfüllung von gesetzlichen Vorschriften leisten.

Compliance bezeichnet die Gesamtheit aller Maßnahmen, die das regelkonforme
Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen.

Compliance umfasst die Einhaltung der Sorgfaltsanforderung abgestimmt
auf die jeweiligen Branchenanforderungen. Compliance beinhaltet außerdem Aspekte der Informationssicherheit, setzt den Einsatz rechtskonformer IT-Systeme voraus und fordert Informations- und Dokumentationspflichten ein.

Für die Umsetzung der Compliance-Vorgaben muss die IT-Organisation
mögliche Risiken in den IT-Systemen erheben und bewerten. Alle IT-Ressourcen müssen systematisch erfasst und Schwachstellen der Systemsicherheit und des Datenschutzes beseitigt oder entsprechend überwacht werden.

Compliance sieht z.B. klare Regelungen zur Datenarchivierung und der Vorgehensweise beim Austritt von Mitarbeitern vor. Der Betrieb eines rechtskonformen IT-Systems setzt ein korrektes Lizenz-Management für alle eingesetzten Hardware- und Software-Produkte voraus.

Das Österreichische IT-Sicherheitshandbuch kann als Handlungsanleitung für Maßnahmen für IT-Compliance verwendet werden. In Deutschland gibt es dazu die umfangreicheren BSI Grundschutzkataloge.