Compliance und Richtlinien

Compliance ist das Thema, das derzeit die IT und viele andere in Unternehmen Tätigen am stärksten bewegt. Es ist vielschichtig und muss an vielen verschiedenen Stellen adressiert werden. Auch die Richtlinien von Lotus Notes/Domino können helfen, die Compliance-Anforderungen zu erfüllen

Compliance bedeutet die Einhaltung von gesetzlichen, aufsichtsbehördlichen und internen Regelungen wie Gesetzen und Richtlinien. Das Thema hat vor allem durch Prozesse in den USA gegen Manager von Enron und Worldcom mehr Beachtung gefunden als früher. Es ist aber keineswegs ein neues Thema. So zählt beispielsweise auch das BDSG (Bundesdatenschutzgesetz) zu den Compliance-Regelungen, ebenso wie einzelne Paragraphen aus dem BVG (Betriebsverfassungsgesetz) und anderen schon lange bestehenden Regelungen. Insgesamt sind die Vorschriften aber in den vergangenen Jahren deutlich verschärft worden, teils durch Gesetze, teils durch ergänzende Richtlinien, beispielsweise für Wirtschaftsprüfer.

Aus Sicht der IT liegt ein Problem der Compliance darin, dass die Regelungen in fast allen Fällen sehr unscharf sind. Es wird nicht genau beschrieben, was getan werden muss und was zu lassen ist. Vielmehr gibt es teilweise sehr abstrakte Vorschriften, beispielsweise für das Risikomanagement und die Fortführung von Unternehmen auch im Katastrophenfall. Das macht es schwierig, die Regelungen zu erfüllen.

Es gibt aber auch konkretere Leitlinien wie das BSI-Grundschutzhandbuch und die Regelungen der ISO 27000-Reihe, die früher als BS 7799/ISO 17799 bekannt waren. Interessant ist auch die nur für einzelne Branchen relevante Regelung 21 CFR Part 11 der US-FDA (Food and Drug Administration), die sehr umfassend die konkreten Maßnahmen beschreiben, die für die Erreichung von Compliance ergriffen werden müssen.

In diesem Artikel wird versucht, die Konfigurationseinstellungen in den Richtlinien von Lotus Domino herauszuarbeiten, die unter dem Aspekt der Compliance von besonderer Bedeutung sind.