Wir sind ein schnell wachsendes Unternehmen, das plötzlich die Anforderungen externer Prüfer erfüllen muss, um die IT-Sicherheitsrichtlinien einzuhalten. Im Rahmen der Richtlinien müssen wir sicherstellen, dass verschiedene interne Kontrollen durchgeführt werden. Da die Kontrolldurchführung manipulationssicher sein muss, haben selbst Administratoren in unserem Unternehmen möglicherweise nicht die Rechte, Kontrollverfahren nach Abschluss zu bearbeiten oder zu löschen (um den korrekten Verlauf beizubehalten).
Beispiele für Prozesse, bei denen eine überprüfbare Historie gespeichert werden muss:
- Zugriff auf ein internes Tool, das einem Mitarbeiter gewährt wird
- Einem Arbeitnehmer wird die Erlaubnis erteilt, bestimmte Arbeiten auszuführen
- Es wird eine wöchentliche Routinekontrolle durchgeführt und das Ergebnis von der verantwortlichen Person protokolliert.
Es scheint, dass wir uns auf ein externes Unternehmen verlassen müssen, das unsere Daten speichert und uns nur begrenzten Zugriff darauf gewährt, um die Einhaltung der Vorschriften zu gewährleisten. Bin ich hier auf dem richtigen Weg? Wie ich gehört habe, muss jedes börsennotierte Unternehmen in den USA Prüfungen bestehen, die dieselben Anforderungen stellen. Ich hoffe also, dass es ein Standardverfahren gibt, dem man folgen kann.