Lehr- und Forschungseinheit für Kommunikationssysteme und Systemprogrammierung

Compliancemanagement für außeruniversitäre Forschungseinrichtungen und wissenschaftliche IT-Service-Provider

Hintergrund der Arbeit
Die Einhaltung rechtlicher oder vertraglicher Rahmenbedingungen ist für viele große Unternehmen oder international verteilte Konzerne inzwischen Alltag. Im Gegensatz dazu tun sich kleinere und mittelständische Unternehmen, außeruniversitäre Forschungseinrichtungen oder Hochschulen und Universitäten zunehmend schwer, einen vollständigen Überblick zu haben und diesen auch ständig zu behalten, welche nationale oder Bundesland-spezifischen Gesetze, branchenspezifischen Standards und Gesetze sowie mit Kunden geschlossenen Verträge existieren und welche Rechte und Pflichten damit verknüpft sind. Auch im Rahmen des Aufbaus eines Informationssicherheits-Managementsystems nach international anerkannten Standards wie der ISO/IEC 27001 wird explizit die Einhaltung rechtlicher und vertraglicher Rahmenbedingungen gefordert, jedoch nicht näher spezifiziert.

Im Rahmen dieser Bachelorarbeit soll ein Konzept und ein daraus abgeleiteter Managementprozess zum Aufbau eines Compliance-Managementsystems am Beispiel des Leibniz-Rechenzentrums erstellt werden. Dieses Compliance Managementsystem soll in Anlehnung an den IDW PS 980 aus den sieben Grundelementen (Compliance-Kultur, -Ziele, -Risiken, -Programm, -Organisation, -Kommunikation, - Überwachung und Verbesserung) bestehen. Dabei sollte das CMS besonders auf das Management der Vorgabedokumente, also die zentrale Sammlung und Bereitstellung von rechtlichen und vertraglicher Anforderungen (Rechtsmonitoring) und dem Management von Nachweisdokumenten (Reporting), um z.B. im Rahmen eines Audits entsprechend die Erfüllung der Vorgaben nachweisen zu können, eingehen.

Ziele der Arbeit:

• Bestandsaufnahme der bereits implementierten Compliance-Elemente und der Compliance-Situation des Leibniz-Rechenzentrums
• Definition eines Prozesses für das Compliancemanagement (in Anlehnung an den IDW PS 980) unter Berücksichtigung spezieller Anforderungen im wissenschaftlichen Umfeld sowie von Schnittstellen zu in einer Organisation bereits umgesetzter Managementprozesse im Bereich IT-Service- bzw. Informationssicherheitsmanagement.
• Entwickeln eines Informationsmodells zum Aufbau eines möglichst zentralen Dokumentrepositories zur Ablage von Vorgabe- und Nachweisdokumente sowie deren Lenkung (Rechtsmonitoring und Reporting)
• Prüfung inwieweit eine organisationsübergreifende Diensterbringung, d.h. ein IT-Dienst wird von mehr als einer Organisation dem (End-)Kunden bereitgestellt, das Compliance-Management beeinflusste und falls ja, Erweiterung des organisationsinternen Konzepts
• Prototypische Implementierung des Konzepts und exemplarische Anwendung

Aufgabensteller:
Prof. Dr. Helmut Reiser

Anforderungen:

• Gute Kenntnisse im Bereich Informationssicherheitsmanagement
• Freude am selbständigen Arbeiten
• Analytische Fähigkeiten, technisches Verständnis, ausgeprägte Leistungs- und Teamorientierung

Dauer der Bachelorarbeit: gemäß Studienordnung

Anzahl Bearbeiter: 1

Betreuer:

• Stefan Metzger