11/2022 – Fachartikel Swiss Infosec AG
Viele Organisationen verwalten ihre Informationen und digitalen Daten mehr schlecht als recht: Daten sind teilweise doppelt vorhanden, Daten können nicht oder nur mühsam gefunden werden, die stufen- und funktionsgerechte Zugänglichkeit ist nicht gewährleistet, die an verschiedenen Orten gespeicherten Daten widersprechen sich, die Aktualität kann vom Mitarbeitenden nicht beurteilt werden, die Mitarbeitenden trauen den Daten nicht oder gesetzlich vorgegebene Löschungen können nicht erfolgen. Hier hilft das «Mindset Information Governance», ein Denk- und Organisationsansatz zur firmeninternen, angemessenen Umsetzung der Information Governance.
Vor dem Hintergrund der Informationssuperinflation, der fortschreitenden Digitalisierung und dem zunehmenden Wert «guter» Informationen fordert das «Mindset Information Governance» völlig zu Recht einen ganzheitlichen Ansatz für die Verwaltung und Bearbeitung von Informationen.
Information Governance hat zum Ziel, die Bearbeitung[1] von Informationen basierend auf Grundsätzen, Leitlinien und Weisungen unternehmensweit zu steuern und zu optimieren. Information Governance ist ein ganzheitlicher Ansatz zur Verwaltung von Unternehmensinformationen mittels definierter Prozesse, Rollen, Kontrollen und Metriken, die allesamt Informationen konsequent als wertvolles Business Asset behandeln.
Information Governance bietet den Rahmen für den sicheren, vertraulichen und rechtskonformen Umgang mit Informationen, der es dem jeweiligen Unternehmen und dessen berechtigten Mitarbeitenden ermöglicht, Informationen entsprechend ihrer Vertraulichkeits-, Verfügbarkeits- und Integritätsanforderungen gezielt, effizient und effektiv zur bestmöglichen Aufgabenerfüllung und Erreichung wirtschaftlich optimaler Resultate zu bearbeiten. Information Governance befasst sich also auch bspw. mit der Wirtschaftlichkeit der Informationsbearbeitung, mit der Benutzerfreundlichkeit der eingesetzten Verfahren zur Bearbeitung der Informationen und auch mit der Frage, welche Mitarbeitenden Zugriff auf welche Informationen erhalten sollen.
Information Governance stellt eine Strategie zur Wertmaximierung der im Unternehmen bearbeiteten Informationen und zur Minimierung der mit der Bearbeitung dieser Informationen verbundenen Ressourcen, Kosten und Risiken dar. Die Informationen des Unternehmens werden dabei sowohl als wert- wie auch als kostenhaltig angesehen. Dementsprechend werden Anforderungen an die Steuerung, Überwachung und Koordination auf höchster Managementebene gefordert.
Information Governance kann auch als Prozess zur Steuerung der Sicherheit und Benutzerfreundlichkeit der durch die jeweilige Organisation bearbeiteten Informationen, basierend auf verbindlichen Vorgaben zur Bearbeitung von Informationen, betrachtet werden. Information Governance stellt auch die Konsistenz, Verlässlichkeit und Vertrauenswürdigkeit und die Verhinderung eines Missbrauchs der bearbeiteten Informationen sicher.
Information Governance als Teil der Corporate Governance
Der Begriff Governance stammt aus dem französischen governer, «verwalten, leiten, erziehen», oft übersetzt als Führung, und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer Organisation.
Unter Corporate Governance (dt. Grundsätze der Unternehmensführung) wird der rechtliche und faktische Ordnungsrahmen für die Leitung und Überwachung von Unternehmen zum Wohl aller relevanter Anspruchsgruppen/Stakeholder verstanden. Dieser Ordnungsrahmen wird massgeblich durch den Gesetzgeber, allfällige Regulatoren und die Eigentümer (Aktionäre) bestimmt. Die konkrete Ausgestaltung ist Aufgabe des Verwaltungsrates und der Unternehmensleitung. Das unternehmensspezifische Corporate Governance-System besteht aus der Gesamtheit aller relevanten Gesetze, Richtlinien, Kodizes, Absichtserklärungen, Unternehmensleitbild und der Praxis der Unternehmensleitung und -überwachung.
Corporate Governance ist dabei sehr vielschichtig und umfasst obligatorische und fakultative Massnahmen: das Einhalten von Gesetzen und Regelwerken (Compliance), das Befolgen anerkannter Standards und Empfehlungen sowie das Entwickeln und Befolgen eigener Unternehmensleitlinien. Ein weiterer Aspekt der Corporate Governance ist die Ausgestaltung und Implementierung von Leitungs- und Kontrollstrukturen. Gute Corporate Governance gewährleistet verantwortliche, qualifizierte, transparente und auf den langfristigen Erfolg ausgerichtete Führung und soll so der Organisation selbst, ihren Eigentümern, aber auch externen Interessengruppen (Geldgebern, Absatz- und Beschaffungsmärkten, der Gesellschaft, den Bürgern) dienen (Quelle Wikipedia).
Gemeinhin hat sich für die drei Teilbereiche der Corporate Governance die Abkürzung GRC entwickelt: Governance, Risk und Compliance (siehe hierzu bspw. Swiss GRC AG).
Die Information Governance bildet aus unserer Sicht einen wichtigen und strategischen Teil der Corporate Governance. Information Governance darf und kann nicht Teil der IT Governance sein. Die Zuordnung der Information Governance zur IT Governance würde den falschen Glauben, die IT sei für die Informationen eines Unternehmens verantwortlich, noch weiter stärken. Die Verantwortung für die Informationen eines Unternehmens gehört ins Business und in die Linie. Genau dies ist auch eines der Hauptziele der Information Governance: Die Verantwortlichkeiten für die Informationen eines Unternehmens klar zu regeln.
Je umfangreicher sich die Bearbeitung von Informationen absolut (Umfang) oder relativ (Anteil) innerhalb einer Organisation darstellt, desto wichtiger und dringender ist es, die mit der Information Governance einhergehenden Chancen und Herausforderungen aktiv anzugehen.
Information Governance – Themenübersicht: Das «Mindset Information Governance» stellt kein Zielbild, sondern eine exemplarische Verortung und Darstellung der in der Unternehmenspraxis häufig angetroffenen und teilweise als Insellösung agierenden Bereiche bzw. Vorhaben dar. Die Grafik soll die Komplexität der in der Information Governance angesiedelten Themen und ihre Schnittstellen aufzeigen. Wir unterstützen Sie gerne bei der Identifikation, Verortung und Bewertung der in Ihrem Unternehmen real existierenden Teilbereiche der Information Governance.
Themen der Information Governance
Information Governance ist thematisch an die Bearbeitung von Informationen bzw. an die Information an und für sich gebunden. Begriffstechnisch geht Information Governance also bspw. viel weiter als IT Governance oder Data Governance, die ausschliesslich digital gespeicherte bzw. bearbeitete Daten im Fokus haben und einen Teilbereich der Information Governance darstellen.
Die Integrale Sicherheit, verstanden als Bündelung aller Sicherheitsteilbereiche eines Unternehmens, überschneidet sich nur teilweise mit der Information Governance. Einerseits beschäftigen sich nicht alle Sicherheitsteilbereiche mit dem seitens Information Governance ins Zentrum gestellten Schutzobjekt Information. Trotzdem haben alle Sicherheitsteilbereiche die Verfahrensvorgaben der Corporate Governance bzw. der Bereiche Governance, Risk und Compliance einzuhalten bzw. zu unterstützen. Hierzu zählen insbesondere allfällige Verfahrensvorgaben bezüglich des Managements von Risiken, wie bspw. Kategorisierung von Risiken bzw. Schaden und Eintrittswahrscheinlichkeit.
Hier wird eine weitere grosse Chance des Mindsets «Information Governance» sichtbar. Die eineindeutige Zuordnung eines Themenbereiches zur Information Governance eröffnet die Möglichkeit, die Vorgaben und Verfahren des GRC-Bereiches direkter und effizienter umzusetzen. Dies ist oft auch verbunden mit einer stärkeren Unterstützung der in diesen Verfahren geübteren Linienfunktionen.
Sämtliche Aktivitäten im Bereich Informationssicherheit sind direkt der Information Governance zuzuordnen. Die Informationssicherheit soll eine angemessene Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability) und Integrität (Integrity) der bearbeiteten Informationen und der zu deren Bearbeitung eingesetzten Funktionen, Systeme und Prozesse erreichen. Insbesondere öffentliche Verwaltungen, so bspw. der Bund, ergänzen die Schutzziele der Informationssicherheit um den Begriff «Nachvollziehbarkeit». Die sich überschneidenden Bereiche Datenschutz (Bearbeitung Personendaten), IT-Sicherheit (digitale Bearbeitung bzw. digitale Instrumente) und Informationsschutz (Vertraulichkeit unternehmenseigener Informationen, «klassifizierte» Informationen) bilden gemäss Lehre und Praxis Teil der Informationssicherheit.
Das Thema Datenschutz stellt zwar gemäss Lehre auch einen Teilbereich der Informationssicherheit dar. Aufgrund der zunehmenden Regelungsdichte und der damit einhergehenden steigenden Risiken im Bereich Datenschutz hat sich dieser Bereich vielerorts aber verselbstständigt. Eine Zuordnung des Datenschutzes zum Thema Information Governance wäre anzustreben. Somit wäre auch eine entsprechende organisatorische Nähe zu den Bereichen Records Management, Informationssicherheit und Compliance gegeben.
Archivierung, verstanden als rechtskonforme Aufbewahrung von Informationsobjekten gemäss internen und externen Vorgaben, wird häufig dem Thema Informationssicherheit zugeordnet. Dies unter anderem deshalb, weil die Mechanismen zur Erreichung der gesetzlich geforderten Fälschungssicherheit des Archivguts im Bereich der IT-Sicherheit bestens bekannt sind. Die Archivierung bildet aber «nur» den zweitletzten Schritt (vor der Löschung) im übergeordneten Records Management-Prozess. Records Management an und für sich bildet nicht Teil der Informationssicherheit. Dies führt in der Praxis zu Schwierigkeiten der Einordnung des Themas Records Management. Wie bereits oben erwähnt, bildet die Löschung den letzten Schritt im Records Management-Prozess. Gerade aber diese Löschung wird nun allzu oft – unabhängig von einem bestehendem Records Management – seitens Datenschutz gefordert und im Einzelfall umgesetzt. Zur Erreichung von zuverlässigen und nutzenstiftenden Löschvorgängen ist es aus Sicht des Autors dringend angezeigt, entsprechende Records Management-Prozesse aufzubauen und umzusetzen. Löschkonzepte dürfen nicht Datenschutzinseln bleiben.
Bezüglich Archivierung, Records Management und Datenschutz bietet sich die Information Governance als Chance an. Die Themen lassen sich direkter, klarer und umfassender zuordnen. So ergeben sich gute und stufengerechte Lösungen.
Ziele der Information Governance am Beispiel eines mittelgrossen Unternehmens
Maximierung des Wertes der unternehmenseigenen Ressourcen durch Gewährleistung/Sicherstellung, dass die Daten sicher und vertraulich aufbewahrt, ordnungsgemäss und rechtmässig erlangt, genau und zuverlässig aufgezeichnet, effektiv und ethisch vertretbar eingesetzt werden und auf angemessene und rechtmässige Weise weitergegeben und offengelegt werden.
Zum Schutz der Informationsbestände vor allen Bedrohungen, ob intern oder extern, absichtlich oder fahrlässig, werden folgende Massnahmen umgesetzt:
- Die Informationen werden vor unberechtigtem Zugriff geschützt.
- Die Vertraulichkeit der Informationen wird gewährleistet
- Die Integrität der Informationen wird gewahrt.
- Die Informationen werden durch Daten von höchster Qualität gestützt.
- Die regulatorischen und gesetzlichen Anforderungen werden erfüllt.
- Es werden Pläne zur Aufrechterhaltung des Geschäftsbetriebs erstellt, gepflegt und getestet.
- Schulungen zur Informationssicherheit werden für alle Mitarbeitenden angeboten, und alle tatsächlichen oder vermuteten Verstösse gegen die Informationssicherheit werden dem Verantwortlichen für Information Governance gemeldet und von ihm untersucht.
Umsetzung des «Mindsets Information Governance»
Bei der Erarbeitung der Vorgaben im Bereich Information Governance sind mindestens folgende Punkte zu regeln oder zu referenzieren:
- Definition der im Bereich Information Governance anwendbaren Prinzipien und Grundsätze
- Sicherstellung einer engen, auch formalisierten Zusammenarbeit zwischen Risk Management, IT, Legal und Compliance, Records Management, Integrale Sicherheit, Informationssicherheit und Datenschutz mit den Zielen: Minimierung der Informationsrisiken und Maximierung des Werts der Informationen
- Klärung der Aufgaben/Kompetenzen/Verantwortlichkeiten bezüglich folgender Funktionen: Governance, Risk, Compliance, Information Governance, Informationssicherheit, Datenschutz, IT Security, Informationsschutz, Records Management, Archivierung, Data Governance, usw. Erstellung und Nachführung angemessener Vorgaben in diesen Bereichen
- Aufbau Records Management, unter Einschluss datenschutzkonformer Archivierung und Löschung/Entsorgung
- Richtlinie zum Zugriff auf Informationen, die genau festlegt, wer unter welchen Umständen auf Informationen/Daten welcher Bereiche/Kategorien zugreifen darf und wie dieser Zugriff mindestens zu schützen ist
- Richtlinie zur sicheren Nutzung von Informationen, die genau festlegt, welche Sicherheitsmassnahmen der Benutzer bei der Bearbeitung von Informationen einhalten muss
- Richtlinie zum Einsatz von Bearbeitungssystemen (intern, extern, Cloud, Standort, usw.) in Abhängigkeit Bereiche/Kategorien
Vorteile von Information Governance im Überblick
- Reduktion der mit der Erstellung, Nutzung und Weitergabe von Unternehmensdaten verbundenen Risiken
- Reduktion rechtlicher Risiken, die mit nicht oder inkonsistent verwalteten Informationen verbunden sind
- Höhere Produktivität durch gemeinsame Nutzung von Daten
- Vereinfachte Rechtskonformität: Die Umsetzung der gesetzlichen Anforderungen wird durch die Ordnung in den Informationen und Daten, deren Kategorisierung und Klassifizierung, massiv vereinfacht
- Zulässige Speicherorte sind klar definiert und können angemessen geschützt werden, Redundanzen werden reduziert
- Massnahmen zum Schutz der Informationen sind definiert, können überprüft und laufend optimiert werden
- Zusätzliche Sicherheitsmassnahmen können gezielt, basierend auf Klassifizierung/Schutzbedarf, risikobasiert umgesetzt werden
- Vereinfachter Zugriff auf aktuelle und vertrauenswürdige Informationen
- Aufgrund klarer Zugriffsvorgaben können die Entscheidungsprozesse bezüglich Benutzerzugriffen massiv verkürzt werden
- Aufgrund der begrenzten Aufbewahrungsdauer können Verwaltungs- und Speicherkosten gesenkt werden
Fazit
Die vom «Mindset Information Governance» erfassten Themen sind in den Unternehmen oft verstreut den unterschiedlichsten Bereichen zugeordnet. Vielfach sind die Themen unvollständig adressiert und/oder das Zusammenwirken der Themen wird nicht sichergestellt.
Die oben dargestellte Grafik, das «Mindset Information Governance», zeigt die Komplexität und die Vielzahl der Schnittstellen sehr deutlich auf. Dabei handelt es sich grösstenteils um Themen, die sich überschneiden und fein miteinander verwoben sind und dementsprechend eine enge unternehmensinterne Abstimmung erfordern.
Die unternehmensinterne Information Governance soll im Sinne einer Klammerfunktion übergeordnete Grundsätze und Prinzipien definieren und deren themenübergreifende koordinierte, lückenlose, schrittweise Umsetzung unterstützen. Das Zusammenwirken wichtiger Themenbereiche soll sichergestellt werden. So können auch Redundanzen, Ressourcen und Aufwände reduziert werden.
Die Verantwortung für die Erstellung und Pflege der Information Governance liegt in der Praxis oft bei den obersten Führungskräften im Finanz- und Compliance-Bereich (CFO und CCO) und ihren Teams.
Wir empfehlen Ihnen, das «Mindset Information Governance» in einem entsprechend zusammengesetzten Fachgremium unter Führung einer C Level-Position mit einer Standortbestimmung und einem Aktionsplan anzugehen – im Hinblick auf den Wert Ihrer Informationen lieber heute als morgen.
[1] Die Definition von «Bearbeiten» nach Art. 5 d nDSG (SR 235.1), gültig ab 1. September 2023: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten
Direkt zur Beratungsseite Information Governance
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können.
Swiss Infosec AG; 01.11.2022
Kompetenzzentrum Consulting, +41 41 984 12 12, infosec@infosec.ch