Skip to main content

Tab. 1 Inhalte und Kompetenzbereiche der sechs Kategorien des IT-GRC-Ansatzes

From: IT-Governance, Risiko- und Compliance-Management (IT‑GRC) – Ein Kompetenz-orientierter Ansatz für KMUIT-Governance, Risk-, and Compliance-Management (IT‑GRC)—A Competence-Based Approach for SMEs

Kategorie Inhalte und Kompetenzbereiche (Auszug)
1. IT-Compliance Aufstellung und Umsetzung Unternehmens-ethischer Richtlinien
Umsetzung der Datenschutzgrundverordnung (DSGVO)
Umsetzung weiterer allg. gesetzl. Vorgaben (insb. AO, HGB, GoBD)
Umsetzung interner Regelwerke und Verfahrensanweisungen
Identifikation und Umsetzung relevanter externer Normen und Standards
Einhaltung Branchenspezifischer Regularien und Gesetze
2. IT-Governance Installation geeigneter IT-Steuerungsstrukturen und IT-Aufsichtsrollen
Installation eines schlanken IKS als IT-Kennzahlensystem
Entwicklung einer ganzheitlichen IT-Strategie mit periodischer IT-Planung
Regelung von Entscheidungsfindungsprozessen zur Digitalisierung
Etablierung eines IT-Investitions- und Projektmanagements
Steuerung und Überwachung von IT-Ressourcen
3. Security Awareness Erhebung Sensibilisierungsgrad der Mitarbeiter sowie des Managements
Vorhandensein von Ansprechpartnern und Meldestellen
Planung und Durchführung Sensibilisierungskampagne mit Maßnahmen
Informieren der Mitarbeiter über aktuelle Sicherheitsbedrohungen
Evaluierung von Maßnahmen zur Erhöhung des Sicherheitsbewusstseins
Kenntnisse von Meldewegen und Maßnahmen bei Sicherheitsvorfällen
4. ISMS Formulierung einer Informationssicherheitsleitlinie
Tailoring & Aufbau IT-Risikomanagement (z. B. nach ISO 27005, ISIS12)
Etablierung eines Notfallmanagements, im Falle von IT-KMU inkl. CERT
Datensicherungs‑, Berechtigungs-, und physisches Sicherheitskonzept
Erstellung einer Richtlinie zur IT-Nutzung für Mitarbeiter
Regelmäßige Bewertung und Anpassung von Maßnahmen (PDCA)
5. Cyber-Sicherheit Erkennung und Prävention von Cyber-Angriffen und Malware
Überwachung des Netzwerkverkehrs (z. B. Deep Packet Inspection)
Etablierung einer Cloud-Richtlinie, Update- und Patch-Management
Verhinderung von Datenabfluss, Logging/Monitoring von Zugriffen
Schutz vor gängigen Webschwachstellen
Verschlüsselung der Kommunikation, Umsetzung von Security by Default
6. Mobile Sicherheit Einsatz Mobile Application & Device Management Systems (MAM/MDM)
BYOD-Richtlinie, BYOD-Nutzungsvereinbarung
Dateisystem-Verschlüsselung, Fernlöschung, Fernortung
Verschlüsselungsmechanismen für Fernzugriff auf Ressourcen
Sicherstellung von Authentizität, Verwendung digitaler Zertifikate
Black – und Whitelisting von Apps
Sperrbildschirme, Passwortkomplexität, 2‑Faktor-Authentifizierung