15.11.2018

Wenn dann richtig! Service-orientiertes Konfigurationsmanagement als MUSS für Compliance

Von Bodo Piening

Viele Gesetze (z. B. Aktiengesetz, IT-Sicherheitsgesetz/KRITIS, DSGVO), aufsichtsrechtliche Vorschriften (z. B. MaRsik, VAIT) aber auch Prüfungsstandards der Wirtschaftsprüfer (z. B. IDW PS 330) fordern von den Unternehmen ein dediziertes Risikomanagement.

Das Risikomanagement besteht im Wesentlichen aus vier Prozessschritten (s. Abbildung), die an den bekannten PDCA-Zyklus oder Demingkreis (Plan – Do – Check – Act) angelehnt sind.

Der zweite Prozessschritt beinhaltet neben der Risikoanalyse die Risikobewertung, die nach der allgemein üblichen Formel »Risiko = Eintrittswahrscheinlichkeit x Folgekosten/Schadenpotential« erfolgt. Dabei sollte die Bestimmung beider Faktoren nicht dem »Gefühl« der Bewertenden, wie oft üblich, überlassen werden, sondern anhand konkreter Zahlen und Fakten erfolgen. So kann z. B. die Eintrittswahrscheinlichkeit für den Ausfall einer Business-Applikation anhand von vorhandenen Störungsdaten mittels Fehlerbaumanalyse mathematisch ermittelt werden. Für die Ermittlung des Schadenpotentials existiert die Methodik der Business-Impact-Analyse (BIA).

Beide Verfahren setzen jedoch voraus, dass die für den Betrieb der Business-Applikation erforderlichen Infrastrukturelemente (Server, Datenbank, Netze) und ihre Beziehungen untereinander bekannt sein müssen.

Anders formuliert: Es muss ein wirksames Konfigurationsmanagement existieren!

Das einfache an der Compliance ist, dass es über die Erfüllung bzw. Nicht-Erfüllung nicht oder wenig zu diskutieren gibt – man muss die Vorschriften eben erfüllen, allenfalls kann man noch der Grad der Erfüllung selbst beeinflussen.

Jedoch sollte man stets versuchen, aus der Erfüllung der Compliance weiteren Nutzen für das Unternehmen zu generieren. In diesem Fall durch die Einführung eines Service-orientierten Konfigurationsmanagements.

Was ein service-orientiertes Konfigurationsmanagement ausmacht, wie bei dessen Einführung vorzugehen ist und was es hierbei zu beachten gilt, zu diesen Themen halte ich am 30.11.2018 bei den Softwareforen Leipzig auf den Treffen der User Group „Konfigurations- und Releasemanagement" einen interessanten Vortrag.

Haben Sie Interesse an diesem Vortrag? Kontaktieren Sie uns!

Wir befähigen und unterstützen Sie bei der effizienten und wirtschaftlichen Umsetzung Ihrer Anforderungen.

zurück