Design, Implementierung und Durchführung des europaweiten SOX-Compliance-Prozesses bei Telekommunikationsanbieter

Ausgangssituation

Das international tätige Unternehmen der Telekommunikationsbranche muss im Zuge der jährlichen Auditierungen im Rahmen des Sarbanes-Oxley Act (SOX) ca. 2000 hochkritische Systeme (Server und Datenbanken) seiner europaweit verteilten IT-Infrastruktur überprüfen. Ein Schwerpunkt bildet bei dieser Überprüfung die Härtung (explizite Definition und Überprüfung sicherheitsrelevanter Systemkonfigurationen) der hochkritischen Systeme. Das Unternehmen entscheidet sich, ein eigenentwickeltes Compliance Tool durch eine umfassende, integrierte und toolgestützte IT-Governance, Risk and Compliance (IT-GRC) Lösung abzulösen. Im Zuge der Migration auf das neue Compliance Toolset entsteht der Bedarf nach Unterstützung bei der Neugestaltung und Durchführung des jährlichen SOX-Compliance-Prozesses.

 

Aufgaben

• Schwachstellenanalyse mit internationalen Stakeholdern (IT Security, Risk & Compliance, Rechenzentren, lokale Märkte, Management, Auditoren), Entwicklung und Implementierung eines optimierten Prozessdesigns
• Identifizierung und Definition des Umfangs der zu überprüfenden Systeme
• Messung und Auswertung der Compliance-Daten von ca. 2000 hochkritischen Systemen
• Integration von Compliance-Daten und prozessorientierten Daten zur Fortschrittskontrolle auf Basis des Microsoft SQL Servers und der Microsoft SQL Server Integration Services
• Design, Erstellung und Verteilung von Compliance-Berichten mit Hilfe von Microsoft SQL Server, Microsoft SQL Server Integration Services, Microsoft Excel und Mail
• Einleitung von Folgeprozessen zur Beseitigung der Schwachstellen in den Rechenzentren bzw. zum Exception Management (explizite Akzeptanz von Schwachstellen durch das Management)
• Koordination und Kontrolle aller Arbeitspakete
• Vorstellung und Verteidigung der erzielten Ergebnisse vor Auditoren
• Dokumentation und Lieferung der Beweismittel an die Auditoren

 

Kundennutzen

Durch die stetige Überprüfung und Optimierung der Prozesse und der eingesetzten Technologien im Rahmen der jährlichen SOX-Auditierung im Bereich der Härtung von Servern und Datenbanken konnten in den vergangenen fünf Jahren nicht nur die Auditierungen jährlich erfolgreich abgeschlossen werden, sondern auch deutliche Verbesserungen in Bezug auf die Effektivität und Effizienz bei der Beweiserbringung erzielt werden. Die kontinuierlichen Anpassungen des Berichtswesens auf geänderte Prozesse und Anforderungen durch die Auditoren führten zudem zu einer erhöhten Transparenz für alle Stakeholder und ermöglichten eine lückenlose Beweiserbringung.