IT-Compliance von Change Management

Als unabhängiger Wirtschaftsprüfer und IT-Auditor (u. a.) verschaffe ich Ihnen einen Überblick über das Thema IT-Compliance, insbesondere hinsichtlich des Change Managements:

In diesem ersten Beitrag stelle ich Ihnen zunächst die Key Player und deren wichtigste IT-Compliance-Standards vor. Jeder dieser Standards betrifft das Thema Change Management entweder direkt oder berührt es zumindest.
Im zweiten Teil werde ich dann näher auf die Prozesse des Change Managements, also die Changes selbst, eingehen und sie u. a. im Rahmen der Regelwerke ITIL (stellvertretend für ITSM-Belange) und COBIT (Governance von Informationen und Technologie) beleuchten.
Abschließend werde ich Sie dann einen Blick durch die „Prüferbrille“ auf das Thema IT-Compliance werfen lassen: Welches sind neben Change Management die Kern-IT-Prozesse aus Compliance-Prüfersicht? Oder wie können Organisationen eine revisionssicheren Change-Dokumentation sicherstellen?
Aber nun zunächst:

Gutes Asset Management gehört heute zu den zentralen Funktionen der IT-Abteilung. Und das völlig zu Recht – denn von der durchdachten Einführung eines passgenauen Lifecycle Managements profitieren Sie aus mehreren guten Gründen:

Gibt es einen Standardsetter, der weltweit die Vorgaben macht? Nein. Vielmehr hat sich ein internationales Netz aus Akteuren entwickelt, deren Standards sich nicht selten untereinander referenzieren und maßgeblich bis auf nationale Ebene beeinflussen. Zudem gibt es branchenspezifische Standardgeber – ebenfalls auf internationaler, europäischer und nationaler Ebene.

Aus und für Deutschland direkt zu nennen sind:

• Bundesministerium des Innern, für Bau und Heimat; „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung / BSI-KritisV)
• Bundesamt für Sicherheit in der Informationstechnik (BSI); „IT-Sicherheitsgesetz“ (ITSiG), „Kriterienkatalog Cloud Computing C5“
• Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI); „Bundesdatenschutzgesetz“ (BDSG)
• Bundesministerium der Finanzen; BMF-Schreiben „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD)
• Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin); Rundschreiben „Mindestanforderungen an das Risikomanagement“ (MaRisk) und „Bankaufsichtliche Anforderungen an die IT“ (BAIT)
• Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder / Gremium der deutschen Datenaufsichtsbehörden; „Kurzpapiere der Datenschutzkonferenz (DSK)“
• Bundesnetzagentur; Standards: „Energiewirtschaftsgesetz“ (EnWG), „Erneuerbare-Energien-Gesetz“ (EEG)
• Institut der Wirtschaftsprüfer (IDW); z. B. mit den Standards IDW RS FAIT 1, IDW RS FAIT 5 und IDW PH 9.860.1-4

Für Deutschland zudem maßgeblich sind folgende europäische und internationale Institutionen und Standards:

• International Organization for Standardization (ISO); Standards: ISO 27k-Serie (z. B. ISO/IEC 27001), ISO 22301
• National Institute of Standards and Technology (NIST, USA); Standards: SP 800-210, SP 800-63-3
• ENISA (European Network and Information Security Agency / European Union Agency for Cybersecurity); enisa Guidelines
• European Banking Authority (EBA); EBA Guidelines
• European Data Protection Board (EDPB); EU-Datenschutz-Grundverordnung (DS-GVO)
• American Institute of Certified Public Accountants (AICPA); z. B. SSAE 18
  und International Federation of Accountants (IFAC); z. B. ISAE 3402 – beide Standards relevant für die Auslagerung von Dienstleistungen mit Relevanz zur Rechnungslegung

Speziell für das IT und SAP Change Management reglementiert werden durch die genannten IT-Compliance-Standards beispielsweise folgende Anforderungen:

• ISO/IEC 27001: A.14 Anschaffung, Entwicklung und Instandhalten von Systemen; A.14.1.1 Analyse und Spezifikation von Informationssicherheitsanforderungen; A.14.1.2 Sicherung von Anwendungsdiensten in öffentlichen Netzwerken; A.14.1.3 Schutz der Transaktionen bei Anwendungsdiensten; A.14.2.1 Richtlinie für sichere Entwicklung A.14.2.2 Verfahren zur Verwaltung von Systemänderungen; A.14.2.3 Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform; A.14.2.4 Beschränkung von Änderungen an Softwarepaketen; A.14.2.5 Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme; A.14.2.6 Sichere Entwicklungsumgebung; A.14.2.7 Ausgegliederte Entwicklung; A.14.2.8 Testen der Systemsicherheit; A.14.2.9 Systemabnahmetest; A.14.3.1 Schutz von Testdaten
• „Kriterienkatalog Cloud Computing C5“ und BSI-Kritisverordnung: OPS.1.1.3 Patch- und Änderungsmanagement; DEV-01 Richtlinien zur Entwicklung/Beschaffung von Informationssystemen; DEV-02 Auslagerung der Entwicklung; DEV-03 Richtlinien zur Änderung von Informationssystemen; DEV-04 Programm zur Sicherheitsausbildung und Sensibilisierung bezüglich kontinuierlicher Software-Bereitstellung und zugehöriger Systeme, Komponenten oder Werkzeuge; DEV-05 Risikobewertung, Kategorisierung und Priorisierung von Änderungen; DEV-06 Testen der Änderungen; DEV-07 Protokollierung von Änderungen; DEV-08 Versionskontrolle; DEV-09 Freigaben zur Bereitstellung in der Produktionsumgebung; DEV-10 Trennung der Umgebungen
• EBA Guidelines: 3.6.3. ICT change management (75-76)
• BAIT: 6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) (31-44)

Im zweiten Beitrag dieser Serie gehe ich dann wie eingangs geschrieben auf die Bedeutung der Regelwerke ITIL und COBIT für IT-Compliance beim Change Management ein.

Informationen über mich sowie die Falk IT Audit & Consulting finden Sie unter https://audit.falk-co.de/de/unternehmen bzw. https://audit.falk-co.de/de.