Mit Compliance-Maps Kontrollen den Anforderungen zuordnen

Compliance-Maps ist eine App auf der Diligent One-Plattform

Sie können mit Compliance-Maps Branchenstandards und Bestimmungen mit Ihren Kontroll-Frameworks verbinden. Auf diese Weise können Sie die Abdeckung visualisieren, regulatorische Änderungen verfolgen, die Risikoexposition des Unternehmens minimieren, den betrieblichen Aufwand reduzieren und Aufsichtsräten und Führungsteams ein ganzheitliches Verständnis der globalen Compliance-Haltung des Unternehmens vermitteln.

Was sind Compliance-Maps?

Bei Compliance-Maps handelt es sich um eine App, welche die Dokumentation von regulatorischen Anforderungen und zugeordneten Kontrollen zentralisiert. Mithilfe der Compliance-Maps-App können Sie:

  • zutreffende Vorschriften und Standards identifizieren
  • eine Anforderungsliste für alle zutreffenden Vorschriften und Standards harmonisieren
  • Kontrollen in Frameworks zu Anforderungen zuordnen
  • Testergebnisse und Probleme (Aggregation) zusammenfassen, um den Compliance-Status in Echtzeit zu überwachen und entsprechende Berichte zu erstellen.

Funktionsweise

Landesweit tätige Organisationen müssen oft Hunderte von Anforderungen einhalten. Auch für Prüfungsabteilungen ist die Compliance wichtig, falls sie interne Richtlinien aufweisen, die zur Sicherstellung eines effektiven Geschäftsablaufs zu überwachen sind.

Compliance-Maps erstellen

Um die Einhaltung der Anforderungen durch Ihre Organisation zu demonstrieren, können Sie eine Compliance-Map erstellen. Dies geschieht, indem Sie

  1. den Umfang der Compliance identifizieren und feststellen, welche Anforderungen für Ihre Organisation zutreffen;
  2. die Gründe für Anforderungen angeben, die nicht zutreffend sind;
  3. den Kontrollen Anforderungen zuordnen.

Sobald Sie Anforderungen Kontrollen zugeordnet haben, werden Testergebnisse und Probleme in der Compliance-Map aggregiert. Dadurch können Sie

  • Lücken identifizieren
  • Probleme priorisieren
  • Compliance-Fortschritt verfolgen

Beziehungen in Compliance-Maps

Die folgende Abbildung veranschaulicht die Beziehungen zwischen Vorschriften/Standards, Anforderungen und Kontrollen in Compliance-Maps.

Hinweise

  • Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Instanz von Diligent One können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
  • Wenn ein erforderliches Feld leer bleibt, wird Ihnen eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.

Begriffe

Die folgende Liste definiert die Begriffe, die in Compliance-Maps verwendet werden:

  • Vorschriften Bindende Dokumente, die durch staatliche Bundesbehörden geschrieben und veröffentlicht werden und oftmals in einem Gesetz kategorisiert sind.

    Beispiele

    FedRAMP 2016 0.1

    Green Book - Revision 2014 (GAO-14-704G)

    NIST SP 800-53 Sicherheitskontrollen - Rev4

  • Standards Bindende Dokumente, die Quellen empfohlener Vorgehensweisen und zugehörige Fundstellen darstellen.

    Beispiele

    COBIT-5-Framework

    Datensicherheitsstandard für die Zahlungskartenbranche (Payment Card Industry (PCI) Data Security Standard)

    COSO-Framework für interne Kontrollen 2013

  • Anforderungen Eine Reihe von Direktiven, die zur Zusammenfassung eines Standards oder einer Vorschrift festgelegt wurden.

    Hinweis

    Obwohl Anforderungen in unterschiedlichen Vorschriften und Standards auch als Prinzipien, Attribute, Aktivitäten, Aufgaben oder Schritte bezeichnet sein können, wird in der Projekte-App als einheitlicher Begriff Anforderung verwendet.

    Beispiele

    • Sicherungsverfahren für Anwendungen, Datenbanken, Systemkonfigurationen, Netzwerkkonfigurationen, Dokumente und Messaging-Systeme etablieren und durchführen.
    • Das Konzept des Geschäftsbetriebs in einem Kontinuitätsplan dokumentieren, einschließlich einer Systembeschreibung, der Nachfolge und der Verantwortlichkeiten.

  • Kontrollen Aktionen oder Handlungsabläufe zur Sicherstellung, dass eine Organisation die Anforderungen einhält.

    Beispiele

    • Es existieren Richtlinien und Verfahren zur Datensicherung, welche die Verantwortlichkeit des Arbeitnehmers klarstellen und belangbar machen.
    • Es wird eine Datenreplikation zwischen Servern in Echtzeit durchgeführt, damit bei einem Scheitern des Kern-Produktionssystems ein Hotbackup verfügbar ist.
  • Zutreffend Der Hinweis, ob die Anforderung für Ihre Organisation zutreffend oder angemessen ist.
  • Abgedeckt Der Hinweis, dass die Anforderung erfüllt ist.
  • Kontrollgewicht Der Prozentsatz der Anforderung, die von der Kontrolle abdeckt wird.
  • Abdeckung Eine prozentuale Maßzahl, die angibt, in welchem Umfang zutreffende Anforderungen als „abgedeckt“ angegeben wurden.
  • Lücken Anzahl aller zutreffenden Anforderungen, die nicht abgedeckt sind.
  • Absicherung Eine Berechnung, welche das Vertrauen Ihrer Organisation ausdrückt, dass die Anforderungen erfüllt sind.

Vorteile

Die Implementierung eines erfolgreichen Compliance-Programms erfordert große Anstrengungen und spezialisierte Kenntnisse der Vorschriften und Standards.

Compliance-Maps tragen dazu bei, diese Anstrengungen zu verringern, indem sie

  • Compliance-Management zentralisieren eine umfassende Ansicht für externe Parteien erstellen und diese in die Lage versetzen, das Compliance-Programm und den Fortschritt der Organisation schnell zu verstehen
  • den Aufwand rationalisieren und vereinfachen durch die Harmonisierung von Anforderungen und die Bereitstellung von Abdeckung über mehrere überlappende Bestimmungen und Standards müssen Arbeiten nicht mehr doppelt ausgeführt werden
  • das Issue-Management vereinfachen Sie erhalten einen Überblick, indem Sie die Prozesse zum Testen von Kontrollen einfach verwalten und während des gesamten Compliance-Prüfungsprozesses markierte Probleme erfassen und für eine Beilegung zuweisen können
  • Sicherheitseinstufung und Berichterstellung bereitstellen Sie können Ihre Absicherung mit Hilfe einer einzigen Gesamtmetrik einstufen, die dem Management sofort ein Verständnis des Umfangs vermittelt, in dem die Organisation nach Bestimmung, Geschäftsprozess oder Entität konform ist

Schlüsselvorteile für verschiedene Fachkräfte

Berufsbezeichnung Vorteile
  • Chief Information Officer
  • IT-Compliance-Manager
  • Informationssicherheitsbeauftragter
  • Kann Kunden und anderen interessierten Dritten zeigen, dass ein starkes Kontrollumfeld vorhanden ist
  • Kann aufsichtsrechtliche Strafen bzw. Datenschutzverletzungen der Organisation verhindern
  • Leiter der Compliance-Abteilung
  • Compliance-Manager
  • Kann mit Beteiligten zusammenarbeiten, die unterschiedliche Vorschriften und Standards einhalten müssen
  • Kann den Compliance-Fortschritt steuern, indem die Dokumentation von Anforderungen und zugeordneten Kontrollen zentralisiert wird