Definition

Information Governance

Information Governance ist ein ganzheitlicher Ansatz zur Verwaltung von Unternehmensinformationen durch die Implementierung von Prozessen, Rollen, Kontrollen und Metriken, die Informationen als wertvolles Business Asset behandeln.

Das Ziel eines ganzheitlichen Ansatzes für Information Governance ist es, Informationsbestände für diejenigen verfügbar zu machen, die sie benötigen, und gleichzeitig die Verwaltung zu rationalisieren, die Speicherkosten zu senken und die Einhaltung von Vorschriften zu gewährleisten. Dies wiederum ermöglicht es dem Unternehmen, die rechtlichen Risiken zu reduzieren, die mit unverwalteten oder inkonsistent verwalteten Informationen verbunden sind, und flexibler auf einen sich verändernden Markt zu reagieren.

Ein wichtiges Ziel von Information Governance ist es, den Mitarbeitern Daten zur Verfügung zu stellen, denen sie vertrauen und auf die sie leicht zugreifen können, während sie geschäftliche Entscheidungen treffen. In vielen Unternehmen sind die Verantwortlichkeiten für Data-Governance-Aufgaben auf Security-, Storage- und Datenbank-Teams aufgeteilt. Oft wird die Notwendigkeit eines ganzheitlichen Ansatzes für die Verwaltung von Informationen erst dann deutlich, wenn ein größeres Ereignis eintritt, zum Beispiel ein Rechtsstreit, ein Compliance Audit oder eine Unternehmensfusion.

Information Governance bietet eine breite Palette von Vorteilen. Sie stellt Folgendes sicher:

  • wer Zugang zu bestimmten Informationen benötigt, erhält diese;
  • wie die zugrunde liegenden Daten ordnungsgemäß verwaltet, gespeichert und gesichert werden;
  • wie regulatorische Anforderungen korrekt eingehalten werden, sofern erforderlich; und
  • ob ein Risikomanagement vorhanden ist, um Probleme zu minimieren, die sich aus einer falschen Nutzung ergeben könnten.

Warum ist Information Governance wichtig?

Organisationen aller Art und Größe leiden oft unter einer schlechten Organisation und Verwaltung von Informationsbeständen, was zu Problemen bei der Zugänglichkeit, der Benutzerfreundlichkeit, der Aktualität und der Sicherheit führt – alles Punkte, die durch Governance positiv beeinflusst werden können.

Oft sind dieselben Informationen an mehreren Orten vorhanden, was zu Problemen bei der Aktualisierung führt. Wenn dieselben Informationen an mehreren Stellen vorhanden sind und nicht übereinstimmen, kann dies zu Verwirrung führen. Effektive Information Governance kann eine Single Source of Truth (SSOT) schaffen, wodurch die Informationen vertrauenswürdiger werden.

Effektive Information Governance ist so wichtig, dass sie in vielen Unternehmen zu einer Führungsaufgabe geworden ist, bei der eine Führungskraft für die Umsetzung verantwortlich ist. Der Chief Information Governance Officer (CIGO) beaufsichtigt häufig die anfängliche Governance-Initiative und leitet ihre Entwicklung, Verwaltung und laufende Weiterentwicklung im gesamten Unternehmen. Der Beauftragte ist in der Regel für die Aufrechterhaltung der Standards für die Informationsintegrität, die Erfassung der erforderlichen Qualitäts- und Nutzungsmetriken und die Sicherstellung, dass das Unternehmen die Compliance- und gesetzlichen Anforderungen erfüllt, verantwortlich.

Es ist mittlerweile häufig auch üblich, dass das Unternehmen ein Information Governance Council einrichtet, das sich aus den wichtigsten Stakeholdern des Unternehmens zusammensetzt, darunter Vertreter der Führungsebene aus allen Geschäftsbereichen, Mitarbeiter der Informationstechnologie (IT), die mit der Infrastruktur und der Sicherheit befasst sind, sowie Fachexperten, die genau wissen, wie bestimmte Informationen verwendet werden. Dieser Governance-Rat unterstützt die Führungskraft oft bei der Implementierung und Durchsetzung von Governance-Richtlinien und kann bei der Steuerung der laufenden Entwicklung von unschätzbarem Wert sein.

Information-Governance-Plan
Abbildung 1: Was ein Information-Governance-Plan umfasst.

Ein Engagement für die Informationsintegrität im gesamten Unternehmen erfordert die aktive Beteiligung der Mitarbeiter auf allen Ebenen und in allen Bereichen. Das Bewusstsein für und die Verpflichtung zu Information-Governance-Prozessen sollte unternehmensweit sein, aktiv gefördert und häufig aktualisiert werden.

Der Unterschied zwischen Data Governance und Information Governance

Wenn man über Information Governance nachdenkt, fragt man sich häufig, wie sie sich von Data Governance unterscheidet, auf die man sich häufiger bezieht. Der Unterschied ist subtil; Daten sind nicht notwendigerweise Informationen, während Informationen nicht ohne Daten existieren können.

Information Governance bezieht sich auf Daten-Assets, die eine sorgfältig definierte geschäftliche Bedeutung haben; Data Governance hingegen bezieht sich auf die Aufsicht über die physischen Daten selbst – ihre Speicherung, Sicherheit und ihren Transport. Jemand, der Data Governance implementiert, könnte diese Aufgaben mit wenig oder gar keinem Verständnis für die Bedeutung der Daten durchführen, während bei Information Governance die Bedeutung alles ist.

Herausforderungen der Information Governance

Selbst eine klare Vision und eine starke Unterstützung durch das Management sind keine Garantie für den Erfolg von Information Governance. Unternehmen können bei der Implementierung von Information Governance auf eine Reihe von Problemen stoßen, darunter:

Compliance und regulatorische Fragen. Eine Organisation benötigt Information Governance oft während eines Rechtsstreits oder einer anderen Konsequenz aufgrund einer Nichteinhaltung von Vorschriften. Bei solchen Gelegenheiten müssen Compliance-Teams potenziell Millionen von Seiten an Dokumenten – und möglicherweise noch mehr Datenreihen – durchgehen, um Informationen zu finden, die für rechtliche Zwecke angefordert wurden. Dieser Prozess, der auch als Electronic Discovery (E-Discovery) bezeichnet wird, ist selbst dann entmutigend, wenn die Dinge geordnet sind. Er kann zu einem Albtraum werden, wenn die Informationen des Unternehmens nicht gut geordnet und leicht auffindbar sind.

Unternehmen können diese Herausforderung durch verschiedene Strategien entschärfen, wie zum Beispiel:

  • Etablierung einer universellen Metadaten-Taxonomie zur konsistenten Kennzeichnung von Informationen;
  • Entwicklung einer konsistenten Aufbewahrungsverwaltung und eines konsistenten Entsorgungsprozesses; und
  • Etablierung eines Datenklassifizierungsprogramms, um alle Informationsbestände entsprechend ihrer Sensibilität einzustufen.

Big Data und Machine Learning. Maschinelles Lernen wird im Unternehmen immer wichtiger, da es Predictive und Prescriptive Analytics ermöglicht, die für die Aufrechterhaltung eines Wettbewerbsvorteils notwendig sind. Maschinelles Lernen hängt jedoch von Big Data ab – großen Mengen an Informationen über den jeweiligen Bereich, der für die Vorhersage modelliert wird – und es ist oft eine Herausforderung, Daten dieser Größenordnung zu verwalten.

Ein sorgfältiges Augenmerk auf die Integrität der Datenquellen und die Zusammenführung und Transformation von Daten aus verschiedenen Quellen ist bei diesem Unterfangen unerlässlich. Unternehmen sollten sicherstellen, dass Big Data, das den Analysen zugrunde liegt, so genau und sauber wie möglich ist, und eine starke Governance-Richtlinie kann dabei helfen, dies sicherzustellen.

Lifecycle-Management. Eine große Herausforderung bei der Implementierung von Information Governance ist die Notwendigkeit, die Daten, die den Informationsbeständen zugrunde liegen, während ihres gesamten Lebenszyklus in verschiedenen Bereichen zu verwalten. Mit dem Abbau von Silos und der zunehmenden Zentralisierung von Informationen im Unternehmen können sich Inkonsistenzen bei der Verwaltung dieser Daten in bestehende Prozesse einschleichen und zu Reibungsverlusten zwischen Gruppen führen. Alle Gruppen, die gemeinsame Informationen nutzen, müssen sich über den Prozess der Aktualisierung, Änderung und Archivierung dieser Informationen einigen. Das Erreichen von Richtlinien, die eine solche Einigung fördern, sollte in der Verantwortung des Governance-Beauftragten und des Rates liegen.

Frameworks für Information Governance

Viele Arten von Organisationen mögen unterschiedliche Ziele und Aufgaben haben, aber die Informationselemente, die zur Verwaltung dieser Aktivitäten verwendet werden, sind oft ähnlich. Aus diesem Grund ist es möglich, Frameworks zur Klärung eines Information-Governance-Plans zu erstellen, die bei der Organisation hilfreich sein können, unabhängig davon, wie individuell der Umgang der Organisation mit Informationen auch sein mag.

Diese Information Governance Frameworks umreißen das Wer, Was, Wann, Wo, Warum und Wie der Unternehmensinformationen. Die Frameworks werden aus den Antworten auf einige zentrale Fragen gebildet, die für Informationen aller Art gelten:

  • Was bedeutet diese Information?
  • Wer nutzt sie?
  • Wie wird sie erstellt/woher kommt sie?
  • Was machen die Anwender mit ihr?
  • Wer kann auf sie zugreifen?
  • Warum ist sie wichtig?
  • Wie lange ist sie nützlich?
  • Welche anderen Informationen hängen von dieser Information ab?

Die Beantwortung all dieser Fragen für jeden Informationsbestand im Unternehmen ist eine umfangreiche Aufgabe. Sobald eine Organisation jedoch diese Antworten gesammelt hat, wird ein Weg zur Verwaltung immer klarer.

Frameworks werden auf die individuellen Governance-Anforderungen des Unternehmens zugeschnitten, sollten aber die folgenden Bereiche definieren:

  • Richtlinien (Policy). Das Framework definiert, welche weitreichenden, übergreifenden Unternehmensrichtlinien und -verfahren für das Information-Governance-Programm als Ganzes relevant sind, einschließlich der Datensicherheit, des Records Managements (Schriftgutverwaltung), der Aufbewahrungs- und Entsorgungspläne, des Datenschutzes und der Richtlinien für den Informationsaustausch im Unternehmen.
  • Prozess. Das Framework definiert sorgfältig, wie die Richtlinien umgesetzt werden.
  • Rollen und Verantwortlichkeiten. Wer was macht, ist ein wichtiger Teil der Richtlinienimplementierung und des Prozesses. Ein Framework zur Verantwortlichkeit definiert die Schlüsselrollen des Information-Governance-Programms, einschließlich der Verantwortlichkeiten bestimmter Mitarbeiter und Abteilungen im Rahmen der Implementierung und Integration des Programms. Wer hat zum Beispiel die letztendliche Verantwortung für die Verwaltung bestimmter Informationen, insbesondere sensibler Informationen? Was sind die Konsequenzen von Missmanagement in diesem Bereich?
  • Metriken. Organisationen können die Qualität von Informationen, den Zugriff und das Lifecycle-Management verfolgen, indem sie Aktivitäten, die Qualität der Ergebnisse und Probleme messen. Starke Metriken sorgen für starke Prozesse und effektives Risikomanagement.
  • Compliance. Ein Framework hebt rechtliche und behördliche Belange hervor, um sicherzustellen, dass sie beachtet werden und um festzulegen, wie.
  • Umfang. Das Framework legt den Umfang des Information-Governance-Programms fest, einschließlich einer klaren Beschreibung der Gesamtziele, der Mitarbeiter, die an der Erreichung dieser Ziele beteiligt sind, und der Arten von Daten, die das Information-Governance-Programm verwalten soll.
  • Internes und externes Datenmanagement. Das Information Governance Framework definiert, wie Mitarbeiter und die Organisation bestimmte Daten verwalten, wobei relevante Abschnitte die Einhaltung rechtlicher und behördlicher Vorschriften, akzeptable Inhaltstypen, die Verwaltung personenbezogener Daten, die Speicherung, Archivierung und Entsorgung von Daten sowie die Weitergabe von Informationen umfassen. Außerdem muss festgelegt werden, wie die Organisation arbeitet und Informationen mit Stakeholdern, Partnern und Lieferanten austauscht. Das Framework sollte die Richtlinien und Verfahren für die gemeinsame Nutzung von Informationen mit Dritten definieren, wie der Information-Governance-Prozess vertragliche Verpflichtungen beeinflusst und wie die Organisation feststellt, ob Dritte ihre Information-Governance-Ziele erfüllen.
  • Disaster Recovery (DR) und Business Continuity (BC). Das Framework sollte die Unternehmensabläufe im Falle einer Datenverletzung klar umreißen, einschließlich der Meldung von Informationsverlusten und -verletzungen, Besonderheiten des Incident Managements, DR-Prozesse, BC-Strategien und die Überprüfung dieser DR- und BC-Prozesse.
  • Kontinuierliche Überwachung. Das Framework sollte Pläne für die Qualitätssicherung (QS) von Information-Governance-Prozessen skizzieren, einschließlich der Frage, wie das Unternehmen den Zugriff auf und die Nutzung von Informationen überwacht, die Einhaltung gesetzlicher Vorschriften misst, effektive Sicherheit aufrechterhält, Risikobewertungen durchführt und das Information-Governance-Programm als Ganzes regelmäßig überprüft.

Gesetze und Vorschriften

Information Governance ist nicht nur eine Frage von Best Practices, sondern eine Frage der Regulierung an sich, da sie so tief mit Security-, Datenschutz- und Compliance-Belangen verwoben ist.

Da technologische Innovationen die Geschäftsmöglichkeiten immer weiter ausbauen und die Datenmengen in Unternehmen wachsen, sind Vorschriften, die strenge Anforderungen an Information-Governance-Prozesse stellen, zur Norm geworden. Dies gilt insbesondere für den Datenschutz und die Datensicherheit, da persönlich identifizierbare Informationen (PII) ein großes Ziel für Hacker und böswillige Akteure geworden sind. Datenschutzgesetze, wie zum Beispiel die EU-Datenschutz-Grundverordnung (EU-DSGVO), haben sich in Ländern auf der ganzen Welt ausgeweitet und schaffen neue Verpflichtungen für Unternehmen im Bereich der Informationssicherheit (Infosec).

Viele Branchen, darunter stark regulierte Sektoren wie Energie und Finanzdienstleistungen, unterliegen Vorschriften, die die Aufbewahrung von Aufzeichnungen und elektronischer Kommunikation für einen Mindestzeitraum vorschreiben. Regulatorische Berichtsanforderungen verlangen von Unternehmen außerdem häufig, dass sie in bestimmten Abständen, zum Beispiel jährlich, Rechenschaft über die Einhaltung von Vorschriften ablegen, meist in Form von Rohdaten oder Zusammenfassungen.

Information-Governance-Modelle

Neben Frameworks gibt es auch Information-Governance-Modelle. Organisationen können diese verwenden, um die Qualität und Effektivität eines Information-Governance-Programms zu bewerten, sobald sie es implementiert haben.

  • Das Information Governance Reference Model (IGRM) gibt Organisationen ein Mittel an die Hand, um die Prozesse, Richtlinien und Verantwortlichkeiten eines Information-Governance-Programms mit den wichtigsten Interessengruppen zu kommunizieren. Dessen Ziel ist es, eine klare Zuordnung der Verantwortlichkeiten für das Informationsmanagement innerhalb der Organisation und zwischen ihren Partnerorganisationen zu schaffen.
  • Das Information Governance Maturity Model (IGMM) ist auf Best Practices ausgerichtet. Es baut auf den Generally Accepted Recordkeeping Principles auf und fördert die Implementierung von Prozessen, die nicht nur konform, sondern auch fortschrittlich sind und die Organisation zu mehr Effizienz, Wettbewerbsfähigkeit und Kundenorientierung anspornen.
  • Das Information Governance Implementation Model (IGIM) sorgt für ein gemeinsames Verständnis der Governance-Prinzipien und -Richtlinien unter den Beteiligten, wodurch Risiken reduziert und die Zusammenarbeit sowie die breite Akzeptanz der Prozesse gefördert werden.
Diese Definition wurde zuletzt im April 2021 aktualisiert

Erfahren Sie mehr über IT-Sicherheits-Management