Tag 1:
Grundlagen der Informationssicherheit und des IT-Risikomanagements
- Begrifflichkeiten, Vorgehen und Methodik
- Grundsätzliche rechtliche Rahmenbedingungen
- Einführung in den Datenschutz
- Einführung in das Risikomanagement
- Risikostrategie und Risikobehandlungsoptionen
- Überblick zu den relevanten Kontroll- und Schutzzielen
- Kontrolldesign und Maßnahmenklassen
- Maturitäts- und Reifegradmodelle
- Aufbauorganisation, Rollen und Verantwortungen, Funktionstrennung, RACI-Modell
- Ablauforganisation, Prozesse und Verfahren:
- Reaktion auf Sicherheitsvorfälle
- Konfigurations- bzw. Dokumentationswesen
- Änderungswesen
- Schadenspotential- und Risikoanalyse für Informationssicherheit und Risikomanagement
Tag 2:
Grundlagen der IT-Compliance - Recht und Haftung im IT-Betrieb
- Gesetzliche Regelungen
- Überblick zu relevanten gesetzlichen und sonstigen Regelungen
- Haftungsszenarien
- Datenverlust, Fehler beim IT-Outsourcing
- Urheberrechtsverletzungen, Datenschutzverstöße
- Arbeitnehmerhaftung
- Haftung der Systemadministratoren, Datenschutz- und Sicherheitsbeauftragten
- Grenzen zulässiger Kontrollen des IT-Verhaltens von Mitarbeitern durch Geschäftsführung und Technik
- Mitverschulden der Geschäftsleitung
- Vermeidung von Haftungsrisiken
- Organisationspflichten des Unternehmens
- Haftungsverlagerung durch Risikotransformation
- Risikomanagement und Notfallvorsorge
- Datenschutzorganisation im Unternehmen
- Einhaltung betrieblicher Mitbestimmungsrechte
- Fraud-Prevention und Wistle Blowing
Tag 3:
Grundlagen des IT-Vertragsrechts
- Überblick über die relevanten Vertragstypen und - formen
- Grundlegende Vertragsbestandteile
- Wichtige Regelungen des Schuldrechts
- Formvorschriften, Text - vs. Schriftform
- Allgemeine Geschäftsbedingungen (AGB)
- Besonderheiten der Verträge zur Beschaffung und Erstellung von Hard- und Software
- IT-spezifische Verträge: Lizenzverträge, Pflegeverträge, NDA, Projektverträge etc.
- Notwendigkeit von Lasten- und Pflichtenheft
- Umgang mit Änderungswünschen am Leistungsgegenstand (Change Request)
- Besonderheiten bei IT-Outsourcing und bei ASP-Verträgen
- Umgang mit Leistungsstörungen
- Haftung für Sach- und Hintergründe zu weiteren wichtigen Haftungsfragen
- Wissenswertes über das Lizenzrecht
- Einbindung von Subunternehmen in das Vertragswerk
Tag 4:
Interne Kontrollsysteme (IKS) in der IT
- Begrifflichkeiten, Überblick nationale und internationale gesetzliche Anforderungen
- Methoden, Standards und Vorgehensweisen
- Grundsätzliche Anforderungen an ein IKS
- IT-Kontrollen und IT-Kontrollziele
- Rollen und Verantwortungen im ordnungsgemäßen IT-Betrieb, sowie Funktionssteuerung
- Anwendungskontrollen als Schnittstelle zwischen IT und operativen Prozessen
- Design und Dokumentation des Kontrollsystems, sowie der Kontrollen
- Bewertung der Angemessenheit (Effizienz) und Wirksamkeit (Effektivität), KPIs, Metriken
- Reifegradbestimmungen des IKS und der jeweiligen IT-Kontrollen
- Vorbereitung auf externe Prüfungen
- Nachweismöglichkeiten, relevante Testierungen
Tag 5:
Aufbau einer Compliance-Organisation
- Verantwortung des Managements zum Aufbau einer Compliance-Struktur und Kultur im Unternehmen
- Mehrwert von Compliance-Strukturen für einzelne Unternehmensbereiche
- Organisatin der Compliance-Aufgaben
- Anforderungen an den Compliance-Officer
- Identifizierung von Compliance-Risiken und Einführung von Kontrollverfahren
- Effektive unternehmensinterne Kommunikation, Einrichtung eines Helpdesks
- Vor- und Nachteile der Wistleblower-Hotline
- Umsetzung von Compliance-Strukturen, Zustimmungspflichten und Absprache mit dem Betriebsrat
- Vermittlungsansätze um Mitarbeiter und Management von der Notwendigkeit der Compliance-Struktur zu überzeugen
- Möglichkeiten externer Beratung bzw. Unterstützung
