Anbieterbeschreibung…

Voraussetzungen: keine

Seminar-Inhalte

In einem 5-tägigen Kompaktseminar bereiten wir die Teilnehmer auf die Wahrnehmung der Funktion des IT-Compliance-Managers vor und bieten ihnen die Möglichkeit, sich von einer international anerkannten Zertifizierungsstelle (SGS TÜV) prüfen zu lassen. Die Absolventen kennen die Compliance-Anforderungen im IT-Betrieb und wissen, wie sie praktisch umzusetzen sind. Risiken werden dadurch nachhaltig reduziert.

Dank der Seminarlänge bietet sich auch immer wieder Raum für Diskussionen, sowie Meinungs- und Erfahrungsaustausch.

Tag 1: Grundlagen der Informationssicherheit und des IT-Risikomanagements

• Begrifflichkeiten, Vorgehen und Methodik
• Grundsätzliche rechtliche Rahmenbedingungen
• Einführung in den Datenschutz
• Einführung in das Risikomanagement
• Risikostrategie und Risikobehandlungsoptionen
• Überblick zu den relevanten Kontroll- und Schutzzielen
• Kontrolldesign und Maßnahmenklassen
• Maturitäts- und Reifegradmodelle
• Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
• Ablauforganisation, Prozesse und Verfahren:
  • Reaktion auf Sicherheitsvorfälle
  • Konfigurations- bzw. Dokumentationswesen
  • Änderungswesen
  • Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement

Tag 2: Grundlagen der IT-Compliance - Recht und Haftung im IT-Betrieb

• Gesetzliche Regelungen
  • Überblick zu relevanten gesetzlichen und sonstigen Regelungen
• Haftungsszenarien
  • Datenverlust, Fehler beim IT-Outsourcing
  • Urheberrechtsverletzungen, Datenschutzverstöße
• Arbeitnehmerhaftung
  • Haftung der Systemadministratoren, Datenschutz- und Sicherheitsbeauftragten
  • Grenzen zulässiger Kontrollen des IT-Verhaltens von Mitarbeitern durch Geschäftsführung und Technik
  • Mitverschulden der Geschäftsleitung
• Vermeidung von Haftungsrisiken
  • Organisationspflichten des Unternehmens
  • Haftungsverlagerung durch Risikotransformation
  • Risikomanagement und Notfallvorsorge
  • Datenschutzorganisation im Unternehmen
  • Einhaltung betrieblicher Mitbestimmungsrechte
  • Fraud-Prevention und Wistle Blowing

Tag 3: Grundlagen des IT-Vertragsrechts

• Überblick über die relevanten Vertragstypen und - formen
• Grundlegende Vertragsbestandteile
• Wichtige Regelungen des Schuldrechts
• Formvorschriften, Text - vs. Schriftform
• Allgemeine Geschäftsbedingungen (AGB)
• Besonderheiten der Verträge zur Beschaffung und Erstellung von Hard- und Software
• IT-spezifische Verträge: Lizenzverträge, Pflegeverträge, NDA, Projektverträge etc.
• Notwendigkeit von Lasten- und Pflichtenheft
• Umgang mit Änderungswünschen am Leistungsgegenstand (Change Request)
• Besonderheiten bei IT-Outsourcing und bei ASP-Verträgen
• Umgang mit Leistungsstörungen
• Haftung für Sach- und Hintergründe zu weiteren wichtigen Haftungsfragen
• Wissenswertes über das Lizenzrecht
• Einbindung von Subunternehmen in das Vertragswerk

Tag 4: Interne Kontrollsysteme (IKS) in der IT

• Begrifflichkeiten, Überblick nationale und internationale gesetzliche Anforderungen
• Methoden, Standards und Vorgehensweisen
• Grundsätzliche Anforderungen an ein IKS
• IT-Kontrollen und IT-Kontrollziele
• Rollen und Verantwortungen im ordnungsgemäßen IT-Betrieb, sowie Funktionssteuerung
• Anwendungskontrollen als Schnittstelle zwischen IT und operativen Prozessen
• Design und Dokumentation des Kontrollsystems, sowie der Kontrollen
• Bewertung der Angemessenheit (Effizienz) und Wirksamkeit (Effektivität), KPIs, Metriken
• Reifegradbestimmungen des IKS und der jeweiligen IT-Kontrollen
• Vorbereitung auf externe Prüfungen
• Nachweismöglichkeiten, relevante Testierungen

Tag 5: Aufbau einer Compliance-Organisation

• Verantwortung des Managements zum Aufbau einer Compliance-Struktur und Kultur im Unternehmen
• Mehrwert von Compliance-Strukturen für einzelne Unternehmensbereiche
• Organisatin der Compliance-Aufgaben
• Anforderungen an den Compliance-Officer
• Identifizierung von Compliance-Risiken und Einführung von Kontrollverfahren
• Effektive unternehmensinterne Kommunikation, Einrichtung eines Helpdesks
• Vor- und Nachteile der Wistleblower-Hotline
• Umsetzung von Compliance-Strukturen, Zustimmungspflichten und Absprache mit dem Betriebsrat
• Vermittlungsansätze um Mitarbeiter und Management von der Notwendigkeit der Compliance-Struktur zu überzeugen
• Möglichkeiten externer Beratung bzw. Unterstützung

Zielgruppen

Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, Geschäftsführung, IT-Projektleiter

SGS-TÜV-Bescheinigung nach bestandener Prüfung