HMD 263, 45. Jahrgang, Oktober 2008

Compliance & Risk Management

Herausgeber: Knut Hildebrand, Stefan Meinhardt

IT-Sicherheit durch Zugriffs- und Zugangskontrollen

Aleksandra Sowa

Zusammenfassung

Zugriffs- und Zugangskontrollen zählen zu den komplexesten IT-Kontrollen und sind als tragende Säule des internen Kontrollsystems eine wichtige Voraussetzung für die Erreichung der IT-Compliance. Ob im SOX oder in den nationalen Gesetzen und Normen - der Gesetzgeber beschränkt sich hauptsächlich auf die Vorgaben bezüglich der Notwendigkeit von Kontrollen und die Festlegung der Verantwortung für ihre effektive Implementierung. In Fragen der Implementierung wird oft auf die "gängigen Standards" verwiesen. Die in dem Artikel aufgezeigte Vorgehensweise für die Gestaltung der Zugangs- und Zugriffskontrollen orientiert sich daher stark an den internationalen und nationalen Standards, wie ISO- und IDW-Standards. Dieser Ansatz hat den Vorteil gegenüber anderen Methoden, dass er eine Konformität mit dem "state of the art" gewährleisten kann, und damit eine relative Sicherheit, nicht an den Aktualisierungsanforderungen vorbei zu agieren.

Inhaltsübersicht

  1. Compliance-Anforderungen an die Informationssicherheit - eine Übersicht
  2. Anforderungen an das Zugriffsberechtigungssystem
  3. Das gesetzliche und regulatorische Regelwerk
    1. Grundlagen der DV-Buchführung
    2. Zugriffs- und Zugangskontrollen im Kontext rechnungslegungsrelevanter Daten
    3. Exkurs: Rechnungslegungsrelevante Daten - Begriffseingrenzung
    4. Zugriffs- und Zugangskontrollen im Kontext personenbezogener Daten
  4. Relevante Standards
    1. Standards der ISO
    2. COSO und Prüfungsstandards des IDW
    3. Beispiel für eine ordnungsmäßige Gestaltung der Access Control Policy
  5. Anwendungsbeispiel
  6. Literatur