Risikoorientiertes It-Compliance-Management

IT-Compliance-Risiken konnen aus der Nicht-Einhaltung von IT-bezogenen rechtlichen, regulativen oder unternehmensinternen Anforderungen entstehen. Ahnlich wie bei anderen Risikoarten ist es unter betriebswirtschaftlichen Gesichtspunkten in der Regel nicht sinnvoll, die Vermeidung jeglicher IT-Compliance-Risiken anzustreben. Vielmehr mussen diese in einem begrundeten Verfahren gesteuert werden. Auf Basis einer umfangreichen begriffl ichen Einordnung der IT-Compliance-Risiken stellt die vorliegende Arbeit hierfur einen konsistenten, risikoorientierten Ansatzzur Identifizierung, Bewertung, Priorisierung, Umsetzung und Uberwachung von rechtlichen, regulativen und unternehmensinternen IT-Compliance-Anforderungen vor. Der Ansatz basiert auf dem internationalen IT-Risikomanagement-Standard ISO/IEC 27005 und berucksichtigt den vollstandigen Management-Prozess. Erganzend zum Vorgehensmodell werden notwendige Techniken und beteiligte Rollen beschrieben, um dem Praktiker eine umfassende Unterstutzung fur das ITCompliance-Management an die Hand zu geben.