Wichtige Konzepte von Compliance-Maps

In diesem Abschnitt erhalten Sie Informationen zu den wichtigsten Konzepten hinter Compliance-Maps.

Beziehungen in Compliance-Maps

Die folgende Abbildung veranschaulicht die Beziehungen zwischen Vorschriften oder Standards, Anforderungen und Kontrollen in Compliance-Maps.

Hinweis

  • Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Diligent One-Organisation können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
  • Wenn ein erforderliches Feld leer bleibt, wird eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.

Begriffe

Die folgende Liste definiert die Begriffe, die in Compliance-Maps verwendet werden:

  • VorschriftenBindende Dokumente, die durch staatliche Bundesbehörden geschrieben und veröffentlicht werden und oftmals in einem Gesetz kategorisiert sind.

    Beispiele

    FedRAMP 2016 0.1

    Green Book - Revision 2014 (GAO-14-704G)

    NIST SP 800-53 Sicherheitskontrollen - Rev4

  • StandardsBindende Dokumente, die Quellen empfohlener Vorgehensweisen und zugehörige Fundstellen darstellen.

    Beispiele

    COBIT-5-Framework

    Datensicherheitsstandard für die Zahlungskartenbranche (Payment Card Industry (PCI) Data Security Standard)

    COSO-Framework für interne Kontrollen 2013

  • AnforderungenEine Reihe von Direktiven, die zur Zusammenfassung eines Standards oder einer Vorschrift festgelegt wurden.

    Hinweis

    Obwohl Anforderungen in unterschiedlichen Vorschriften und Standards auch als Prinzipien, Attribute, Aktivitäten, Aufgaben oder Schritte bezeichnet sein können, wird in der Projekte-App als einheitlicher Begriff Anforderung verwendet.

    Beispiele

    • Sicherungsverfahren für Anwendungen, Datenbanken, Systemkonfigurationen, Netzwerkkonfigurationen, Dokumente und Messaging-Systeme etablieren und durchführen.
    • Das Konzept des Geschäftsbetriebs in einem Kontinuitätsplan dokumentieren, einschließlich einer Systembeschreibung, der Nachfolge und der Verantwortlichkeiten.

  • KontrollenAktionen oder Handlungsabläufe zur Sicherstellung, dass eine Organisation die Anforderungen einhält.

    Beispiele

    • Es existieren Richtlinien und Verfahren zur Datensicherung, welche die Verantwortlichkeit des Arbeitnehmers klarstellen und belangbar machen.
    • Es wird eine Datenreplikation zwischen Servern in Echtzeit durchgeführt, damit bei einem Scheitern des Kern-Produktionssystems ein Hotbackup verfügbar ist.
  • ZutreffendDer Hinweis, ob die Anforderung für Ihre Organisation zutreffend oder angemessen ist.
  • AbgedecktDer Hinweis, dass die Anforderung erfüllt ist.
  • KontrollgewichtDer Prozentsatz, mit dem die Kontrolle eine Anforderung abdeckt.
  • AbdeckungEine prozentuale Maßzahl, die angibt, in welchem Umfang zutreffende Anforderungen als „abgedeckt“ angegeben wurden.
  • LückenAnzahl aller zutreffenden Anforderungen, die nicht abgedeckt sind.
  • AbsicherungEine Berechnung, welche das Vertrauen Ihrer Organisation ausdrückt, dass die Anforderungen erfüllt sind.

Vorteile für verschiedene Fachkräfte

BerufsbezeichnungVorteile
  • Chief Information Officer
  • IT-Compliance-Manager
  • Informationssicherheitsbeauftragter
  • Kann Kunden und anderen interessierten Dritten zeigen, dass ein starkes Kontrollumfeld vorhanden ist.
  • Kann aufsichtsrechtliche Strafen bzw. Datenschutzverletzungen der Organisation verhindern.
  • Leiter der Compliance-Abteilung
  • Compliance-Manager
  • Kann mit Beteiligten zusammenarbeiten, die unterschiedliche Vorschriften und Standards einhalten müssen.
  • Kann den Compliance-Fortschritt steuern, indem die Dokumentation von Anforderungen und zugeordneten Kontrollen zentralisiert wird.