Risikomanagement nach ISO 27001 minimiert die Haftung
Wien (OTS) - Die 8. EU-Richtlinie, kurz "Euro-SOX", wird Realität.
Bis 29. Juni 2008 wird sie in nationales Recht umgewandelt.
Angesprochen sind "Unternehmen von öffentlichem Interesse":
börsennotierte AGs oder Monopolbetriebe sowie nicht-börsennotierte
Gesellschaften wie AG, GmbH oder KGaA mit einer Bilanzsumme von über
80 Mio. Euro. Damit übertrifft die Richtlinie den Wirkungsbereich des
US-amerikanischen Vorbilds Sarbanes Oxley. "So werden in Europa auch
mittelständische Unternehmen vermehrt gefordert, sich den Themen
Risikomanagement, IT-Security und Sicherheitsaudits stärker
zuzuwenden", erklärt Hans-Jürgen Pollirer, Obmann der Bundessparte
Information & Consulting der WKO. Dazu kommt eine Eigendynamik, wenn
Großunternehmen die Anforderungen an Zulieferer weitergeben.
Internes Kontrollsystem und ISO-Standards als Maßstab
Die 8. EU-Richtlinie dient der Sicherung von Finanzinformationen
und dem Anlegerschutz: "Euro-SOX fordert ein Internes Kontrollsystem
und Risikomanagement von Unternehmen", so Erich Scheiber, Leiter der
Zertifizierungsorganisation CIS. Demnach haben Prüfer "internationale
Standards" als Maßstab anzuwenden. Die Dokumentation der
IKT-Infrastruktur ist daher ein wesentlicher Aspekt. Ein brisanter
Punkt betrifft die Verantwortung des Managements. Scheiber: "Ohne
nachweisbare Dokumentation besteht eine Haftung des Managements, die
als Organisationsverschulden sanktioniert werden kann."
Vor diesem Hintergrund kommt den "neuen" IT-Standards eine
zentrale Bedeutung zu: ISO 27001 für Informationssicherheit und ISO
20000 für IT-Service-Management. Das ISO-Zertifikat einer
akkreditierten Organisation, wie in Österreich die CIS, ist ein
staatlich anerkanntes Dokument und belegt, dass die Unternehmens-IT
internationalen Standards entspricht. Da die in Euro-SOX geforderte
Dokumentationspflicht damit erfüllt wird, ist die Haftung der
Verantwortungsträger minimiert. "IT-Themen, die Wirtschaftstreuhänder
nach Euro-SOX prüfen, sind mit diesen ISO-Normen abgedeckt",
resümiert Scheiber. "Das nimmt der Wirtschaftsprüfung ihren
Schrecken."
Langfassung/Fotos: http://www.cis-cert.com/aktuell/presse.php
TERMIN-TIPP:
4. Information-Security-Symposium, WIEN 2008
Top-Event für IT-Management mit ISO 27001 & ISO 20000
"Informationssicherheit schafft Vertrauen - IT-Management mit
ISO-Standards" lautet das Motto des 4.
Information-Security-Symposiums in Wien. Die
Zertifizierungsorganisationen CIS und Quality Austria laden am 10.
April in den Kursalon: Hochkarätige Sprecher rund um
Informationssicherheit nach ISO 27001 und IT-Service-Management nach
ISO 20000 bieten Themen und Trends aus erster Hand. Aussteller für
Beratung und Software stehen an Info-Cubes zum Gespräch bereit. Das
Symposium zählt mit rund 250 Teilnehmern zu den Top-Security-Events
in Österreich.
Information/Anmeldung: www.cis-cert.com
Rückfragehinweis:
H. Galley, h.galley@cis-cert.com; 06991 974 5647
OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS - WWW.OTS.AT | NEF