IT GRC umfaßt sich mit den eng verzahnten Bereichen IT-Governance, IT-Risk-Management und IT-Compliance.
Die IT-Governance bezieht sich auf die Ausrichtung der IT zur Gesamt-Organisation und die Führung der IT durch diese Gesamt-Organisation. Dagegen beschäftigt sich das IT-Risk-Management mit der Erfassung, Bewertung und Behandlung von Risiken der IT. Im Bereich IT-Compliance geht es um die Steuerung der Einhaltung von Regelungen, insbesondere von Gesetzen, aber auch von Regeln mit Kunden und Lieferanten.
Im Detail gehört zum Bereich IT GRC:
-
- Bedrohungsanalysen und Risk Assessment sowie Ableitung von geeigneten Massnahmen zur Erreichung/Aufrechterhaltung der Compliance
-
Performance measurement
Grad der Unterstützung des Business durch die IT? Definition von Key Performance Indikatoren (KPIs) -
IT control profiling
Identifikation der maßgeblichen Prozesse und der kritischen Erfolgsfaktoren für effektive Kontrollmechanismen -
Business Awareness
Definition der Risiken für die Geschäftstätigkeit bei Nichterreichung der Zielsetzungen -
Security Awareness
Information zu entwickelten und umgesetzten Maßnahmen zur Verbesserung des Sicherheitsbewußtseins im Unternehmen -
Benchmarking
Messung und Vergleich der eigene Performance -
Sicherheitsrichtlinien und Prozesse
Evaluierung und Erstellung von Sicherheitsrichtlien nach BSI Grundschutz sowie BS7799 bzw. ITGI best practices