Euro-SOX bringt: IT-Governance auch für mittlere Unternehmen

Risikomanagement nach ISO 27001 minimiert die Haftung

Wien (OTS) - Die 8. EU-Richtlinie, kurz "Euro-SOX", wird Realität. Bis 29. Juni 2008 wird sie in nationales Recht umgewandelt. Angesprochen sind "Unternehmen von öffentlichem Interesse":
börsennotierte AGs oder Monopolbetriebe sowie nicht-börsennotierte Gesellschaften wie AG, GmbH oder KGaA mit einer Bilanzsumme von über 80 Mio. Euro. Damit übertrifft die Richtlinie den Wirkungsbereich des US-amerikanischen Vorbilds Sarbanes Oxley. "So werden in Europa auch mittelständische Unternehmen vermehrt gefordert, sich den Themen Risikomanagement, IT-Security und Sicherheitsaudits stärker zuzuwenden", erklärt Hans-Jürgen Pollirer, Obmann der Bundessparte Information & Consulting der WKO. Dazu kommt eine Eigendynamik, wenn Großunternehmen die Anforderungen an Zulieferer weitergeben.

Internes Kontrollsystem und ISO-Standards als Maßstab

Die 8. EU-Richtlinie dient der Sicherung von Finanzinformationen und dem Anlegerschutz: "Euro-SOX fordert ein Internes Kontrollsystem und Risikomanagement von Unternehmen", so Erich Scheiber, Leiter der Zertifizierungsorganisation CIS. Demnach haben Prüfer "internationale Standards" als Maßstab anzuwenden. Die Dokumentation der IKT-Infrastruktur ist daher ein wesentlicher Aspekt. Ein brisanter Punkt betrifft die Verantwortung des Managements. Scheiber: "Ohne nachweisbare Dokumentation besteht eine Haftung des Managements, die als Organisationsverschulden sanktioniert werden kann."

Vor diesem Hintergrund kommt den "neuen" IT-Standards eine zentrale Bedeutung zu: ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management. Das ISO-Zertifikat einer akkreditierten Organisation, wie in Österreich die CIS, ist ein staatlich anerkanntes Dokument und belegt, dass die Unternehmens-IT internationalen Standards entspricht. Da die in Euro-SOX geforderte Dokumentationspflicht damit erfüllt wird, ist die Haftung der Verantwortungsträger minimiert. "IT-Themen, die Wirtschaftstreuhänder nach Euro-SOX prüfen, sind mit diesen ISO-Normen abgedeckt", resümiert Scheiber. "Das nimmt der Wirtschaftsprüfung ihren Schrecken."

Langfassung/Fotos: http://www.cis-cert.com/aktuell/presse.php

TERMIN-TIPP:
4. Information-Security-Symposium, WIEN 2008
Top-Event für IT-Management mit ISO 27001 & ISO 20000

"Informationssicherheit schafft Vertrauen - IT-Management mit ISO-Standards" lautet das Motto des 4. Information-Security-Symposiums in Wien. Die Zertifizierungsorganisationen CIS und Quality Austria laden am 10. April in den Kursalon: Hochkarätige Sprecher rund um Informationssicherheit nach ISO 27001 und IT-Service-Management nach ISO 20000 bieten Themen und Trends aus erster Hand. Aussteller für Beratung und Software stehen an Info-Cubes zum Gespräch bereit. Das Symposium zählt mit rund 250 Teilnehmern zu den Top-Security-Events in Österreich.

Information/Anmeldung: www.cis-cert.com