Definition

Compliance Audit (Konformitätsprüfung)

Ein Compliance Audit ist eine umfassende Überprüfung, mit deren Hilfe festgestellt wird, ob ein Unternehmen bestimmten rechtlichen Vorgaben folgt. Unabhängige Buchhalter, IT-Sicherheitsexperten oder IT-Berater bewerten, wie gut die Vorgaben eingehalten werden. Während eines Compliance Audits überprüfen Auditoren Sicherheitsrichtlinien, Benutzerzugriffskontrollen und Abläufe hinsichtlich des Risikomanagements.

Was genau bei einem Compliance Audit untersucht wird, richtet sich nach verschiedenen Faktoren. Es hängt unter anderem davon ab, ob es sich um eine öffentliche oder private Organisation handelt. Außerdem spielt die Art der Daten eine Rolle, mit denen das Unternehmen arbeitet. Ein weiterer Faktor ist die Frage, ob vertrauliche Finanzdaten gespeichert und übertragen werden. So ist es im Geschäftsprozess notwendig, jegliche elektronische Kommunikation zu sicheren und mit hinreichender DR-Infrastruktur (Disaster Recovery) zu schützen. Gesundheitsdienstleister, die elektronische Patientenakten speichern und übermitteln, wie zum Beispiel persönliche Gesundheitsinformationen, sehen sich besonderen Anforderungen gegenüber. Unternehmen, die Finanzdienstleistungen bereitstellen und Kreditkartendaten übermitteln, unterliegen dem PCI-DSS-Regelwerk (Payment Card Industry Data Security Standard). In jedem dieser Fälle muss ein Unternehmen in der Lage sein, die Einhaltung der Bestimmungen zu demonstrieren. Dazu werden Protokollaufzeichnungen, sogenannte Audit-Trails erstellt. Diese bestehen oft aus Daten, die von Log- und Event-Management-Software erzeugt werden.

Compliance-Auditoren stellen im Laufe einer Prüfung gewöhnlich eine Reihe von spezifischen Fragen an CIOs, CTOs und IT-Administratoren. Sie könnten zum Beispiel nachhaken welcher Anwender wann hinzukam, wer das Unternehmen verlassen hat, ob Benutzer-IDs aufgehoben wurden und welche Administratoren auf kritische Systeme Zugriff haben. IT-Administratoren bereiten sich mit Hilfe von ELM (Event Log Manager) und Change-Management-Software auf Compliance Audits vor. Damit werden Nachverfolgung, Dokumentation, Authentifizierung und Kontrolle von IT-Systemen möglich. Die wachsende Sparte der GRC-Software (Governance, Risk Management und Compliance) erlaubt es CIOs, den Auditoren (und CEOs) schnell zu zeigen, dass die Firma gemäß der jeweiligen Anforderungen arbeitet. Auf diese Weise werden teure Geldbußen oder Sanktionen vermieden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Diese Definition wurde zuletzt im August 2015 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management