|
IT-GRC-Management – Governance, Risk und Compliance |
4 |
|
|
Grundlagen und Anwendungen |
4 |
|
|
Impressum |
5 |
|
|
Vorwort |
6 |
|
|
Inhaltsverzeichnis |
8 |
|
|
Die Autoren |
12 |
|
|
1: IT-GRC-Management im Zeitalter der Digitalisierung |
17 |
|
|
1.1 Grundlagen des IT-GRC-Managements |
18 |
|
|
1.1.1 IT-Governance |
18 |
|
|
1.1.2 IT-Risiko |
19 |
|
|
1.1.3 IT-Compliance |
21 |
|
|
1.1.4 Zusammenwirken im IT-GRC-Dreieck |
23 |
|
|
1.2 Organisation |
24 |
|
|
1.2.1 Organisation der IT-Governance |
24 |
|
|
1.2.2 Organisation des IT-Risikomanagement |
26 |
|
|
1.2.3 Organisation der IT-Compliance |
26 |
|
|
1.3 Erfolgsfaktoren für das IT-GRC-Management |
28 |
|
|
1.3.1 IT-Governance |
28 |
|
|
1.3.2 IT-Risikomanagement |
30 |
|
|
1.3.3 IT-Compliance |
35 |
|
|
1.4 IT-GRC-Management in kleinen Unternehmen |
36 |
|
|
1.5 Ausblick auf das IT-GRC-Management im digitalen Zeitalter |
37 |
|
|
Literatur |
38 |
|
|
2: Governance und Compliance von Anfang an wirksam umsetzen |
41 |
|
|
2.1 Herausforderungen an Governance und Compliance in der IT |
42 |
|
|
2.2 Referenzmodelle für Governance und Compliance in der IT |
43 |
|
|
2.2.1 COBIT |
43 |
|
|
2.2.2 CMMI |
44 |
|
|
2.2.3 Weitere Referenzmodelle |
44 |
|
|
2.3 Referenzmodelle als Werkzeuge zur Governance betrieblicher IT-Prozesse |
45 |
|
|
2.3.1 Klärung des WARUM |
46 |
|
|
2.3.2 Klärung des WAS |
46 |
|
|
2.3.3 Klärung des WIE |
47 |
|
|
2.4 Governance wirksam umsetzen mit einer PDCA-Kultur |
49 |
|
|
2.5 Von der Governance zur Compliance |
51 |
|
|
Literatur |
52 |
|
|
3: Vom Business/IT-Alignment zur Business/IT-Integration – Auswirkungen auf das IT-Controlling als Teil der IT-Governance |
53 |
|
|
3.1 IT-Management: Vom Alignment zur Integration |
54 |
|
|
3.2 Business/IT-Integration und die Rolle der Leistungssteuerung |
57 |
|
|
3.2.1 Ebene der Leistungssteuerung |
58 |
|
|
3.2.2 Ein erster Bezugsrahmen für die Business/IT-Integration |
59 |
|
|
3.3 Expertenbefragung und Ableitung eines Vorschlags einer prozessorientierten Anpassung |
60 |
|
|
3.3.1 Die Expertenbefragung |
61 |
|
|
3.3.2 Der Vorschlag eines integrierten Wertschöpfungscontrollings |
62 |
|
|
3.4 Fazit |
65 |
|
|
Literatur |
66 |
|
|
4: Verbesserung des Wertbeitrags von IT-Organisationen – Empirische Handlungsempfehlungen |
67 |
|
|
4.1 Unsicherheit als „neue Normalität“ |
68 |
|
|
4.2 Anforderungen an die IT |
68 |
|
|
4.3 Flexibilität als Erfolgsfaktor für die IT-Organisation |
70 |
|
|
4.4 Gestaltungsempfehlungen zur Erhöhung der IT-Flexibilität |
71 |
|
|
4.4.1 Methodik der empirischen Untersuchung |
71 |
|
|
4.4.2 Gestaltungsempfehlungen zur Verbesserung der IT-Flexibilisierung |
72 |
|
|
4.5 Fazit und Ausblick |
77 |
|
|
Literatur |
79 |
|
|
5: Rahmenwerke für das IT-GRC-Management |
81 |
|
|
5.1 Motivation für den Einsatz von Rahmenwerken |
82 |
|
|
5.2 Rahmenwerke für IT-Risk im Überblick |
84 |
|
|
5.3 Unterschiede und Einsatzgebiete am Beispiel von IT-Risk |
90 |
|
|
5.4 Fazit |
96 |
|
|
Literatur |
96 |
|
|
6: Systematische Differenzierung von IT-Risiken |
98 |
|
|
6.1 Einleitung |
99 |
|
|
6.2 IT-Risiken und IT-Risikomanagement |
99 |
|
|
6.3 Unterscheidungskriterien für IT-Risiken |
100 |
|
|
6.4 Unterscheidung von IT-Risiken nach Wirkungen |
102 |
|
|
6.5 Unterscheidung von IT-Risiken nach Ursachen |
103 |
|
|
6.6 IT-Sicherheitsrisiken |
107 |
|
|
6.7 Fazit |
110 |
|
|
Literatur |
111 |
|
|
7: IT-Risikomanagement für Produktionssysteme – Basis zur Gestaltung sicherer Fertigungsprozesse |
112 |
|
|
7.1 Einleitung |
113 |
|
|
7.1.1 Wachsende Digitalisierung und Vernetzung im Produktionsumfeld |
113 |
|
|
7.1.2 Wandel der Produktion hin zu Industrie 4.0 |
114 |
|
|
7.1.3 Produktionsumfeld erbt klassische IT-Sicherheitsrisiken |
114 |
|
|
7.2 Besondere Anforderungen im Produktionsumfeld |
116 |
|
|
7.3 Best Practices zur IT-Sicherheit in der Produktion |
117 |
|
|
7.4 Vorgehensmodell zur IT-Risikoanalyse |
118 |
|
|
7.5 Beispiel Fernwartung |
124 |
|
|
7.6 Fazit und Ausblick |
125 |
|
|
Literatur |
126 |
|
|
8: Risiken der Industrie 4.0 – Eine Strukturierung von Bedrohungsszenarien der Smart Factory |
127 |
|
|
8.1 Bedeutung des Sicherheitsmanagements in der Smart Factory |
128 |
|
|
8.2 Grundlagen der cyber-physischen Produktion |
129 |
|
|
8.3 Strukturierungsansatz für das Sicherheitsmanagement in der Smart Factory |
130 |
|
|
8.3.1 Identifikation interner und externer Bedrohungen |
131 |
|
|
8.3.2 Analyse der jeweils bedrohten Schutzziele |
132 |
|
|
8.3.3 Analyse von Ausbreitungseffekten |
134 |
|
|
8.3.4 Festlegen und Umsetzen von Sicherheitsmaßnahmen |
135 |
|
|
8.4 Anwendungsbeispiele und allgemeine Handlungsempfehlungen |
137 |
|
|
8.4.1 Anwendungsbeispiel bei einem Hersteller von Industrierobotern |
138 |
|
|
8.4.2 Anwendungsbeispiel bei einem Hersteller von Speichersystemen |
139 |
|
|
8.4.3 Allgemeine Handlungsempfehlungen |
141 |
|
|
Literatur |
142 |
|
|
9: Kontrollierte Nutzung von Schatten-IT |
143 |
|
|
9.1 Notwendigkeit einer Praxis-Sicht auf Schatten-IT |
144 |
|
|
9.2 Methodik |
145 |
|
|
9.2.1 Analyse der Praktikerveröffentlichungen |
145 |
|
|
9.2.2 Interviewstudie mit IT-Managern |
145 |
|
|
9.3 Ergebnisse |
146 |
|
|
9.3.1 Übersicht zur aktuellen Diskussion von Schatten-IT in der Praxis |
146 |
|
|
9.3.2 Druck auf die IT |
147 |
|
|
9.3.3 Auswirkung auf die IT |
150 |
|
|
9.3.4 Kontrollierte Nutzung Fachbereichsgetriebener IT |
154 |
|
|
9.3.5 Neuausrichtung der IT |
161 |
|
|
9.4 Auswirkungen von Schatten-IT auf die Rolle der IT-Abteilung im Unternehmen |
163 |
|
|
Literatur |
163 |
|
|
10: Digitalisierung für kleinere und mittlere Unternehmen (KMU): Anforderungen an das IT-Management |
165 |
|
|
10.1 Digitalisierung und IT-Management |
166 |
|
|
10.1.1 IT-Management und IT-Governance |
166 |
|
|
10.1.2 IT-Organisation in Großunternehmen |
167 |
|
|
10.1.3 Zentrale Fragen |
168 |
|
|
10.2 Analyse des IT-Managements bei deutschsprachigen KMU |
168 |
|
|
10.2.1 Befragung zur Organisation der IT |
169 |
|
|
10.2.2 Ergebnisse der Befragung |
169 |
|
|
10.3 Kernelemente eines IT-Governance-Modells für KMU |
171 |
|
|
10.3.1 IT-Steuerungsorganisation |
172 |
|
|
10.3.2 IT-Strategie/IT-Planung |
173 |
|
|
10.3.3 IT-Kennzahlensystem |
175 |
|
|
10.3.4 IT-Projektstrukturen |
177 |
|
|
10.4 Fazit und Ausblick |
179 |
|
|
Literatur |
179 |
|
|
11: Rahmenwerk für das IT-gestützte Management von Datenschutz in Anwendungssystemen |
181 |
|
|
11.1 Einführung und Motivation |
182 |
|
|
11.1.1 Gesetzlicher Rahmen des Datenschutzes und aktuelle Entwicklungen |
182 |
|
|
11.1.2 Bedeutung und Auswirkungen auf die Unternehmen |
183 |
|
|
11.2 Anforderungen an ein IT-gestütztes Rahmenwerk |
185 |
|
|
11.2.1 Informationsmodell |
185 |
|
|
11.2.2 Anforderungen |
187 |
|
|
11.3 Stand der Technik |
188 |
|
|
11.4 Vorschlag für ein Rahmenwerk zum Datenschutz in Anwendungen |
189 |
|
|
11.4.1 Lösungsansatz |
190 |
|
|
11.4.2 Modul „Modellierung“ |
191 |
|
|
11.4.3 Modul „Steuerung“ |
194 |
|
|
11.4.4 Modul „Analyse“ |
194 |
|
|
11.5 Anwendungsbeispiel |
195 |
|
|
11.6 Zusammenfassung und Ausblick |
196 |
|
|
Literatur |
197 |
|
|
12: Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU-DSGVO |
199 |
|
|
12.1 Einführung |
200 |
|
|
12.2 Löschen personenbezogener Daten im Unternehmen |
201 |
|
|
12.2.1 Löschkonzept |
202 |
|
|
12.2.1.1 Aufbau zu löschender Datenstrukturen |
202 |
|
|
Bildung von Datenclustern |
203 |
|
|
Kriterien zur Zweckerfüllung |
204 |
|
|
12.2.1.2 Bestimmung der Aufbewahrungsfristen |
204 |
|
|
12.2.2 Technische Umsetzung des Löschkonzeptes |
206 |
|
|
12.3 Prototypen für ein ganzheitliches Umsetzungskonzept |
207 |
|
|
12.4 Datenschutzkonformität: auch eine Aufgabe der Wirtschaftsinformatik?! |
209 |
|
|
12.5 Fazit |
210 |
|
|
Literatur |
211 |
|
|
13: Datenschutzanforderungen und ihre Unterstützung in HR-Systemen am Beispiel SAP ERP HCM |
213 |
|
|
13.1 Von den Datenschutzgesetzen zur EU-Datenschutzgrundverordnung |
214 |
|
|
13.2 Technische Anforderungen |
214 |
|
|
13.3 Allgemeiner Projektansatz |
220 |
|
|
13.4 Spezifische Funktionen im SAP ERP HCM |
222 |
|
|
13.4.1 Sperren der Daten mit Hilfe des Berechtigungskonzeptes |
222 |
|
|
13.4.1.1 Sperren auf der Ebene der Mitarbeiter |
223 |
|
|
13.4.1.2 Sperren für historische Datensätze |
223 |
|
|
13.4.2 Löschen der Daten |
224 |
|
|
13.4.3 Vereinfachtes Löschen ausgewählter Mitarbeiterdaten |
225 |
|
|
13.4.4 Auskunftsanspruch |
226 |
|
|
Literatur |
226 |
|
|
14: Datenschutz im Konzern – ein Vorgehensmodell zur Zuordnung einer gemeinsamen Verantwortung bei der Verarbeitung von Personaldaten |
228 |
|
|
14.1 Einleitung |
229 |
|
|
14.2 Der Personalmanagement-Prozess im Konzern |
230 |
|
|
14.2.1 Organisatorische und IT-Sicht |
230 |
|
|
14.2.2 Datenfluss im Personalmanagement-Prozess |
230 |
|
|
14.3 Verantwortlichkeit im Sinne der DSGVO |
231 |
|
|
14.3.1 Charakterisierende Merkmale der Verantwortung |
231 |
|
|
14.3.1.1 Die offensichtliche Verantwortung des Arbeitgebers |
232 |
|
|
14.3.1.2 Der Differenzierungsaspekt |
232 |
|
|
Verarbeitung im Sinne der DSGVO |
232 |
|
|
Zweck im Sinne der DSGVO |
233 |
|
|
Mittel im Sinne der DSGVO |
233 |
|
|
Entscheiden im Sinne der DSGVO |
234 |
|
|
Partizipative Entscheidungsfindung |
234 |
|
|
Mittel und ihre unterschiedliche Wirkungsbreite |
235 |
|
|
14.3.1.3 Der kollektive Aspekt |
236 |
|
|
14.3.2 Datenaustausch im Konzern |
237 |
|
|
14.4 Auftragsverarbeitung |
237 |
|
|
14.5 Notwendige Dokumentation und Verträge nach Art. 26 und 28 DSGVO |
238 |
|
|
14.6 Empfehlungen zur praktischen Handhabung der Methodik |
239 |
|
|
14.7 Beispiel einer weiteren Konzernstruktur |
241 |
|
|
14.8 Operationalisierung der Verantwortung |
241 |
|
|
14.9 Fazit |
242 |
|
|
Literatur |
243 |
|
|
Stichwortverzeichnis |
245 |
|