IT-Sicherheit, Datenschutz und IT-Organisation sind die drei Säulen, die unsere Unternehmens-IT tragen.
Wer nicht in der Linksammlung auftauchen möchte, muss einiges an Hausaufgaben erledigen. Wer glaubt, eine Unternehmens-IT kann von einer Handvoll Hobby-Programmierern und PC-Freaks betrieben werden, handelt grob fahrlässig.
Für eine Grundsicherheit in der IT steht die ISO 27001, IT Sicherheit Grundschutz. Das BSI kann zertifizieren. Die Audits werden jährlich nach der Zertifizierung in Teilbereichen wiederholt. Wer seine Unternehmens-IT nach dem BSI Grundschutz aufgebaut hat, muss sich sicherlich mit einem großen Formalismus abfinden, hat aber das Thema IT-Sicherheit (und damit auch die Verfügbarkeit der IT als Voraussetzung zur Einhaltung des BDSG) abgedeckt.
Für den Datenschutz steht das BDSG, das Bundesdatenschutzgesetz.
Unternehmen, die personenbezogene Daten verarbeiten, müssen ein Verfahrensverzeichnis führen. Jeder Bürger hat das Recht, Auskunft zu verlangen, welche Daten das Unternehmen über ihn speichert.
Die Beschreibung, wie personenbezogene Daten geschützt werden müssen, übernimmt die Anlage zum §9 des BDSG. Wer nach Iso 27001 zertifiziert ist, ist hier im grünen Bereich. Wer nicht, lebt gefährlich. Sieh auch „Risiko IT“.
Und als dritte Säule die IT-Organisation und die Verantwortung des CIO. (und damit auch die seines Chefs, der letztlich den CIO überwachen muss. Chief Information Officer (CIO) bzw. IT-Leiter (= Leiter Informationstechnik))
IT im Unternehmen ist hochkomplex, weil eine Fülle von Gesetzesanforderungen erfüllt werden müssen. Da geht es um Steuerrecht bei der Bewertung von Lagermaterial, um die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ GoBS bei der Kontierung in der Buchhaltung oder auch um die Lohn- und Gehaltsabrechnung der Mitarbeiter Bsp: Rechtsgrundlagen für den Lohnsteuerabzug.
Damit aber nicht genug.
Aufbau- und Ablauforganisation und Budget bestimmen die Qualität einer IT.
- Sind die Mitarbeiter richtig ausgebildet (wenn nicht = Organisationsverschulden)?
- Besitzen die Mitarbeiter der IT ausreichende (und nicht mehr) Rechte, damit sie ihre definierte Arbeit machen können?
- Sind die Rechte der Entwickler auf den Produktionssystemen begrenzt ?
- Werden die Administratoren überwacht und die Tätigkeiten protokolliert?
- Sind Regularien für die Mail- und Internetnutzung durch das Unternehmen erlassen?
- ……..
Wer jetzt unsicher ist, schaue sich die Linksammlung an
