Compliance & Pragmatismus - Shared Content-Nachweise in Unternehmen | BITKOM ECM Forum auf der CeBIT 2013

CeBIT 2013, Hannover ECM-Forum „Shared Content“

Compliance & Pragmatismus - Shared Content-Nachweise in Unternehmen

Dr. Klaus-Peter Elpel – Consultec Dr. Ernst GmbH

06.03.2013, 10:30 Uhr

http://www.ecm-navigator.de/

CeBIT 2013, Hannover Klaus-Peter Elpel, Compliance & Pragmatismus

Competence Center IT Sicherheit & Compliance

Inhalt

1. Ausgangspunkt: Nachweis der Revisionssicherheit

• Revisionssicherheit als Basis jeder dokumentenbezogenen Compliance

• ISO: 27001 und der Maßnahmenrahmen 27002

• VOI: Prüfkriterien für Dokumentenmanagement-Lösungen / PK-DML

2. Praxisbeispiel: IT-Sicherheit nachweisen – eine Wiki-Lösung als pragmatisches Instrument



Warum Revisionssicherheit nachweisen?

… für …

• Geschäftsprozesse, die auf ausschließlich digital vorliegenden Dokumenten basieren (z.B. elektronische Rechnungen)

• verbreitete Digitalisierung und Archivierung von papierbezogenen Eingangsdokumenten mit anschließender Vernichtung der Originaldokumente (z.B. Handelsbriefe und Buchungsbelege)

• verstärkte Einrichtung von medienbruchfreien Geschäftsprozessen (z.B. elektronische Bestellungen)

• Portallösungen zur Bereitstellung eines direkten Zugangs für Kunden auf ‚ihre‘ Dokumente



Aspekte der Revisionssicherheit

• Steuerrechtliche Aspekte im Management elektronischer Dokumente

• Zugriff und Auswertung (§ 147 Abs. 6 AO, GDPdU)

• Unveränderbarkeit und Aufbewahrung (§§ 146, 147 Abs. 1 AO)

• Elektronische Rechnungen (§ 14 UStG, Steuervereinfachungsgesetz)

• Vernichtung von Originalrechnungen (GoBS, BMF-Schreiben vom 29.1.2004)

• Handelsrechtliche Aspekte im Management elektronischer Dokumente

• Unveränderbarkeit (§§ 238, 239 HGB)

• Aufbewahrung und Lesbarmachung von Unterlagen (§§ 257-258 HGB)

• Zivilrechtliche Aspekte im Management elektronischer Dokumente

• Beweiskraft elektronischer Dokumente (§§ 126, 127 BGB, §§ 286, 292a, 371a ZPO)

• Weitere rechtliche Normen im Management elektronischer Dokumente

• Datenschutz (BDSG)

• …



Revisionssicherheit: Basis jeder IT-Compliance

Gesetze und Normen (AO, HGB, GoBS,

GDPdU, BDSG)

Interne Regelungen

(z.B. Passwort-richtlinien)

Standards und Best

Practices (ISO 27001, ITIL,

COBIT)

Elemente IT-bezogener Compliance



Herausforderungen in der Unternehmenspraxis

• Welche Kriterien werden an eine Revisionssicherheit angelegt?

• Wie lässt sich die Revisionssicherheit effizient nachweisen?

• Wie lässt sich Revisionssicherheit langfristig mit einfachen Mitteln erhalten?



Welche Kriterien werden an eine Revisionssicherheit angelegt?

• Revisionssicherheit wird durch technische und organisatorische Maßnahmen erreicht

• Probleme in der täglichen Praxis:

• Welche Kriterien muss ich zur Prüfung der Revisionssicherheit heranziehen?

• Was muss ich konkret tun, um die Kriterien zu erfüllen?

• Nach welchem Rahmen lässt sich mein Verfahren zertifizieren?

• Lösung:

Leitfaden und Checkliste ‚Prüfkriterien für Dokumentenmanagement- und Enterprise Content Management Lösungen‘ (PK-DML) des VOI



Was muss für eine Revisionssicherheit umgesetzt werden?

Leitfaden und Checkliste ‚Prüfkriterien für Dokumentenmanagement- und Enterprise Content Management-Lösungen‘ (PK-DML) des VOI

Inhalt und Aufbau:

• Allgemeine Beschreibung des Einsatzgebietes

• Sachlogische Systemlösung

• Technische Systemlösung und Migration

• IT-Sicherheit

• Technischer Betrieb

• Prozesse

• Mitarbeiterqualifikation

• Test

• Outsourcing

• Internes Kontrollsystem – IKS



Wie lässt sich Revisionssicherheit effizient nachweisen?

• Grundlage jeder Revisionssicherheit ist eine aktuelle und vollständige Verfahrensdokumentation in Verbindung mit einem angemessenen Kontrollsystem

• Probleme in der täglichen Praxis:

• keine formale Kontrollfunktion

• ungeklärte Verantwortlichkeiten

• unterschiedliche (meist fehlende) Aktualitäten

• fehlende Versionierung und Aufbewahrung (10 Jahre!)

• verschiedene Medien (Papier, Dateien)

• unterschiedliche Dateiformate

• unterschiedliche Speicherorte mit uneinheitlichen Zugriffsrechten

• unvollständige Dokumentation

• Lösung:

Framework und zentrales „Portal Verfahrensdokumentation“



Wie lässt sich Revisionssicherheit effizient nachweisen?

• Komplexität durch

• Viele Verfahren

• Mehrere Unternehmensbereiche/Abteilungen

• Übergreifende und spezielle Dokumente

• Verteilte Dokumentenablage und -pflege

• Lösung

• Portallösung Verfahrensdokumentation

• Framework Informations- und Dokumentenverwaltung

Al lgemeine Beschreibung des Einsatzgebietes

Sachlogische Systemlösung

Technische Systemlösung und Migration

IT-Sicherheit

Technischer Betrieb

Prozesse

Mitarbeiterqualifikation

Test

Outsourcing

Internes Kontrollsystem – IKS



Lenkung von Dokumenten nach ISO 27001

• Dokumente vor Herausgabe genehmigen

• Dokumente überprüfen und ggf. aktualisieren

• Kennzeichnung von Änderungen sowie Überarbeitungsstatus

• Verfügbarkeit relevanter Versionen am jeweiligen Einsatzort

• Leichte Erkennbarkeit und Lesbarkeit von Dokumenten

• Geeignete Verfahren für Übertragung, Speicherung und Entsorgung

• Kennzeichnung von Dokumenten externer Herkunft

• Kontrolle der Verteilung von Dokumenten

• Verhinderung von unbeaufsichtigter Verwendung veralteter Dokumente

• Kennzeichnung veralteter Dokumente



Wie lässt sich Revisionssicherheit langfristig mit einfachen Mitteln erhalten?

• Zuordnung eindeutiger (QS-) Verantwortlichkeiten

• Zentraler Informations-/Dokumentenzugang

• Verfahrensspezifisch einheitliche Sicht auf alle relevanten Dokumente

• Zentrale Governance- und Kontrollfunktion (Management-System)

Revisionssicherheit ist kein erreichter Zustand, sondern ein laufender Prozess



Gründe für eine Wiki-Lösung

• Unternehmensweiter (browserbasierter) Zugriff

• Kombination von Darstellung und Dokumentensteuerung

• Schnelle Aktualisierungs- und Verteilungsprozesse

• Zentrales Bereitstellen und Verwalten von Informationen

• Einbeziehung des Wissens in den Mitarbeiterköpfen

• Günstige und schnell verfügbare Software-Lösung

• Flexible Erweiterung um neue (Dokumentations-) Bestandteile



Anforderungen an Wikis aus Sicht des Unternehmen

• Sicherheit (z.B. Berechtigungen)

• Anpassbarkeit (z.B. CI)

• Integrationsmöglichkeit (z.B. LDAP etc.)

• Ausgereifte Lösung, gesicherter Support

• Benutzerfreundlichkeit (z.B. WYSIWYG-Editor)

• Funktionalität (z.B. Versionierung, Suchfunktion)

• Technische Aspekte (z.B. Softwareplattform, Datenbank)



Wikis und Co. als Dokumentations-Plattform – Beispiele

z.B. Atlassian

Confluence

Inhaltsver-zeichnis

(Sicht auf Dokumente,

Vollständigkeit)

z.B.

Dokuwiki

z.B. Sharepoint

Zentrale Dokumenten-

Speicherung, zentrale Zugriffssteuerung,

Authentication, Back-Ends (LDAP etc.)

Versionierung der Wiki-Seiten und Attachments, Volltextsuche, professioneller

Support, Workflows

Collaboration, Erweiterbarkeit)

Revisionssichere Aufbewahrung



Umsetzung in der Praxis: Anforderungen

• Rahmenvorgabe dessen, was und wie zu dokumentieren ist

• Leichte Prüfbarkeit auf Vollständigkeit und Aktualität

• Statusverfolgung und Versionierung

• Vergleichbare Qualität aller Verfahrensdokumentationen

• Leichter und einheitlicher Zugriff auf Dokumente und Informationen

• Zentrales Berechtigungsmanagement

• Zertifizierbarkeit

• Revisionssicherheit



Umsetzung in der Praxis

Der Aufbau der Wiki-Dokumente ist im wesentlichen durch strukturierte Templates geprägt

Die Templates sind weitestgehend selbst-erklärend und zusätzlich mit erläuternden Hilfetexten versehen

Dadurch wird sowohl eine inhaltliche Führung des Dokumentierenden als auch eine Gleichartigkeit und Konsolidierbarkeit über alle Verfahrensdokumentationen erreicht



Umsetzung in der Praxis



Umsetzung in der Praxis Auswahlmenü Kriterienbereiche



Umsetzung in der Praxis Framework Verfahrensdokumentation



Umsetzung in der Praxis Überblickartige Beschreibung des Kriteriums



Umsetzung in der Praxis Verweis auf vertiefende und übergreifende Dokumentationen



Umsetzung in der Praxis Direkte Editier- und Einfüge-Funktionen



Umsetzung in der Praxis Suchfunktion über Wiki-Seiten und hochgeladene Attachments



Umsetzung in der Praxis Beispiel Erweiterung: Verfahrensverzeichnis



Umsetzung in der Praxis Beispiel Erweiterung: Vorlage Datensicherungskonzept



ISO 27001/27002

PK-DML

ISO 27001 Spezifikation der Anforderungen für Betrieb, Überwachung und Optimierung eines Informationssicherheits-Managementsystems (ISMS) ISO 27002 Kontrollmechanismen für die Informationssicherheit

PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen von VOI e.V. und TÜV Informationstechnik GmbH

PK-DML PK-DML

Integrierbar für ein pragmatisches

Vorgehen

PK-DML

Erfahrungen aus Consultec-Projekten Nachweisfelder über die Einhaltung von IT-Sicherheit



Unsere Erfahrung – der ISO 2700x-Standard bringt komplexe Anforderungen mit sich

• Umfangreiches Regelwerk mit entsprechend hohem Einführungsaufwand

• Erkennbarer Nutzen und Projektkosten stehen in einem ungünstigen Verhältnis

• Das Change Management überfordert häufig die bestehende Organisation

• Die Einführungsakzeptanz ist häufig genug gering

• Auch nach der (sukzessiven) Einführung ist ein hoher administrativer Aufwand nötig



IT-Sicherheit nachweisen – pragmatisch vorgehen Ausgehend von der PK-DML die ISO 27001-Vorgaben erfüllen

Praxisbeispiel



Mögliche Betrachtungswinkel in einem übergreifenden Nachweispool

Nachweis Revisionssicherheit

Risikobetrachtung

Weiteres Thema …

Praxisbeispiel – Scope des Projektes – Betrachtungsebenen



ISO 27001/27002-Rahmen St

ufe

1 REVISIONSSICHERHEIT

• Verfahrensdokumentation

• 10 übersichtliche Kapitel mit klaren Kernkriterien

• Ordnungsmäßigkeit

• Vollständigkeit • Nachvollziehbarkeit

• Unveränderbarkeit

• Verfügbarkeit

Internes Kontrollsystem / IKS

• Funktionstrennung

• Vier-Augen-Prinzip • Protokollierung

• . . .

Stu

fe2

INFORMATIONSSICHERHEIT

Informationssicherheits-Managementsystem (ISMS)

• ISMS-Anwendungsbereich

• Verfahren und Maßnahmen zur Unterstützung des ISMS

• Beschreibung der Methode des ISMS

• Ergebnisse der Risikoeinschätzung

• Risikobehandlungsplan

• Dokumentierte Vorgehensweise

• Aufzeichnungen • Erklärung zur Anwendbarkeit

MASSNAHMEN

133 Anforderungen, u.a. aus den Bereichen:

• IT-Sicherheitsleitlinie • Organisation der IT-Sicherheit

• Personelle Sicherheit • Zugangskontrolle

• Einhaltung von Maßnahmen

• . . .

Planen

Um-setzen

Über-wachen

Ver-bessern

GoBS-/PK-DML-Rahmen



Einordnung der PK-DML-Kriterien in die Struktur des ISO 27002-Maßnahmenkatalogs

Nachweis zur Einhaltung der IT-Security



Item durch PK-DML

abgedeckt

1. Weisungen und Richtlinien zur Informations-sicherheit

Item durch PK-DML

abgedeckt

6. Netzwerk- und Betriebssicherheit

Item durch PK-DML

abgedeckt 7. Zugriffskontrolle

Sukzessives Füllen des ISO 27002-Rahmens – beginnend mit einer PK-DML-basierten Verfahrensdokumentation

Einordnung der PK-DML-Kriterien in die Struktur des ISO 27002-Maßnahmenkatalogs

Nachweis zur Einhaltung der IT-Security



Wiki-Lösung Verfahrensdokumentation Eingebunden ins Intranet eines Unternehmens Praxisbeispiel



Mögliche Erweiterungen

IT-Compliance Policies; IT-Betriebshandbuch; Service-Level-Agreements; Regulations and Standards; Compliance-Status-Report; Kontrollverfahren Rechnungsprüfung elektronische Rechnungen (Integrität/Authentizität); Datenschutzkonzept (BSI); Verfahrensverzeichnis; IT-Sicherheitskonzept; Datensicherungskonzept; Konzept Business Continuity-

Management; Notfallmanagement; Berechtigungskonzept; ISMS; BSI Grundschutz (Infrastrukturanalyse, Maßnahmenverwaltung); Einbindung Tools (Infrastrukturaufnahme, z.B. Docusnap); IT-Verträge (Outsourcing); Mitarbeiterinformation (Datenschutz-, Compliance-Schulung); Lizenzmanagement; Internes Kontrollsystem; Testdokumentation; Compliance-

Vulnerable-Tickets; Prozessdokumentation; Revisionssichere Projektdokumentation



• Consultec Dr. Ernst GmbH – IT-Beratungskompetenz seit 1993

Führendes Beratungshaus für ECM-/DMS-Compliance und IT-Strategieprojekte

Langjährige Zusammenarbeit mit dem TÜViT und namhaften Wirtschaftsprüfungsgesellschaften bei Systemabnahmen und Zertifizierungen

Weitere zentrale Schwerpunkte

IT-Strategieberatung

IT-System-Konsolidierung und –Migration

Enterprise Content Management / Dokumentenmanagement

Informations- und Wissensmanagement

• Unsere Erfahrung nutzen/nutzen u.a. diese Unternehmen und öffentlichen Einrichtungen

Airbus/EADS, AOKen, Atlas Copco, Bilfinger Berger Nigeria GmbH, Deutsche Bundesbank,

Deutsche Post, Deutsche Rentenversicherung, EnBW, Germanischer Lloyd, mehrere Kassenärztliche

sowie Kassenzahnärztliche Vereinigungen, Landes- und Kommunalverwaltungen, mobilcom-debitel,

Nordrheinische Ärzteversorgung, RAG, RWE, Verwaltungen mehrerer Städte, VW Financials,

Westfälische Provinzial, Zeppelin …sowie zahlreiche mittelständische Unternehmen



Vielen Dank für Ihr Interesse!

Dr. Klaus-Peter Elpel Geschäftsführender Gesellschafter

[email protected]

www.consultec.de

CeBIT 2013, Hannover ECM-Forum „Shared Content“

Vielen Dank für Ihr Interesse!

Weitere Informationen unter: www.ecm-navigator.de

und www.ecmtoday.de





http://www.ecmtoday.de/

Documents

Compliance & Pragmatismus - Shared Content-Nachweise in Unternehmen | BITKOM ECM Forum auf der CeBIT 2013