VOI PK-DML

Die Basislösung des VOI für Informationssicherheit und
IT-Compliance


Die VOI PK-DML richtet sich an Personen, die für „Informationssicherheit und Compliance“ im Ganzen oder in Teilen (z. B.: Datenschützer, Buchhaltung, IT-Sicherheit) zum Einsatz von Informationstechnologie (IT) verantwortlich sind oder diese sicherstellen oder prüfen müssen.

 

Welches Problem wird gelöst?

Der Nachweis von „Informationssicherheit und Compliance“ ist komplex. Zu den grundsätzlichen Erfordernissen kommen einsatzspezifische Anforderungen aus weiteren Gesetzen, Normen und Richtlinien hinzu.

 

Die Anforderungen müssen für alle Unternehmens- und Organisationsgrößen praktikabel und wirtschaftlich angemessen möglich sein.

Wie wird das Problem gelöst?

Um diesen Anspruch gerecht zu werden, hat der VOI e. V. bereits Ende 1990 das Rahmenwerk VOI PK-DML entwickelt und kontinuierlich angepasst. Es ist gleichsam Richtlinie und konkretes Konzept für:

 

             Verfahrensdokumentation

             Umsetzung in der Konzeption von IT-Systemen

             Realisierung und Nachweisführung in konkreten IT-Lösungen

             Risikoprävention

             Prüfung und Zertifizierung

 

Zentral sind ein ganzheitlicher Ansatz und eine saubere Trennung von Sachverhalten, so dass sachverständigen Dritten eine klare Beurteilung ihres Fachgebiets abgegrenzt möglicht wird. Beispiele dafür sind rechtliche Einschätzungen, Einhaltung der GoBD , Einhaltung von Datenschutz und IT-Sicherheit.

 

Das Konzept ist darauf ausgelegt:

             Verwaltungsakte zu minimieren,

             Dokumentationsredundanz zu vermeiden,

             fortlaufende Aktualität und Stimmigkeit der Nachweisführung zu gewährleisten,

             den IT-Betrieb zu sichern,

             systematische Kontrollen zu integrieren,

             flexibel auf Veränderungen reagieren zu können

             und Risiken zu minimieren.

 

Darüber hinaus sind folgende Herausforderungen berücksichtigt:

              Anpassung an fortlaufende Veränderungen in der IT

             Rechtsraumunabhängigkeit

             Zusammenhang und Stimmigkeit von technischen und organisatorischen Maßnahmen


Als Methodik ist hierfür festgelegt:

Herausforderung

Lösung

Ganzheitlichkeit

Festlegung von Bewertungsbereichen, die nach allgemeingültiger Auffassung grundlegend und zusammenhängend im Zusammenhang mit IT beschrieben sein müssen, damit sachverständige Dritte sicher beurteilen können.

Rechtsraumunabhängigkeit

Betrachtung der grundlegenden und von Gesetzen unabhängigen Erfordernisse an „Informationssicherheit und (IT) Compliance“.

Sofern spezifische Gesetze zu berücksichtigen sind, wird deren Einfluss und Wirkung im Gesamtprozess erkennbar abgegrenzt.

Redundanzvermeidung in Dokumentationserfordernissen

Festlegung der grundlegenden Struktur über die Bewertungsbereiche, deren inhaltliche Tiefe generisch nach Bedarf weiterentwickelt und konkret sachzusammenhängend gehalten werden.

Diese ist u. a. darauf ausgerichtet. eine stabile Zuordnung (Matching) zu anderen Vorschriften, Richtlinien und Normen zu ermöglichen und somit spezifische Nachweise vereinfacht führen zu können.

Konkrete Prüfbarkeit

Definition von Bewertungskriterien innerhalb der Bewertungsbereiche.

Qualität und Sicherheit bei der Erfüllung von Bewertungskriterien

Definition von Kernkriterien, die bei der Beurteilung „Erfüllung von Bewertungskriterien“ zugrunde zu legen sind.

Kontrolle und fortlaufende Aktualität

Zu den Bewertungsbereichen gehört die Beschreibung eines entsprechend geeigneten „Internen Kontrollsystems (IKS)“

Zukunftssicherheit

Die Weiterentwicklung des Rahmenwerks erfolgt abwärtskompatibel. Bestehende Bewertungskriterien bleiben erhalten und werden um neue ergänzt.

Inhaltliche Weiterentwicklung

Die Weiterentwicklung erfolgt auf Basis „signifikanter Technologieschübe“. Das Rahmenwerk ist aktuell in der 5. Auflage.

 

An Anfang standen On-Premise-Lösungen zur digitalen Archivierung, Dokumentenmanagement und deren Rechts- und Revisionssicherheit im Fokus. Heute verteilt sich die Ausgangsproblematik in heterogene Systemlandschaften, ergänzt durch neue Technologien, u. a. zum Echtheits- und Urhebernachweis, wie digitale Signaturen, Blockchain usw.

 

Der VOI hat die Weiterentwicklung als fundamentalen Baustein seiner Arbeit und in Kooperation mit der TÜViT (TÜV NORD GROUP) fest verankert.


Relevanz

Für sich stehen zunächst: das mehr als zwei Jahrzehnte andauernde Bestehen der VOI PK-DML, die Beständigkeit der Pflege und Fortschreibung, sowie darauf durchgeführte Prüfungen und Zertifizierungen.

 

Die Notwendigkeit der sicheren Nachweisführung zu “Informationssicherheit und (IT) Compliance” verschärft sich und ist schon heute ein „kritischen Faktor“ für die Zukunftsfähigkeit von Digitalisierungsmaßnahmen und der wirtschaftlichen Existenz. Dabei geht es nicht nur um gesetzgeberische Anforderungen und Entwicklungen, sondern auch um Aspekte wie:

  •   Entscheidungssicherheit und Handlungsfähigkeit
  •   Empfindliche Sanktionierung von Verstößen: Hier geht der Trend zu umsatzbezogenen Strafen 
     
    (z. B.   Datenschutzverstöße)
  •   Abwehr von Trittbrettfahrern (z. B. einige Abmahnanwälte) und Verleumdungskampagnen (Image-Schaden)
  •   Abwehr von (Cyber-) Kriminalität
  •   Vertrauenswürdigkeit

Ihre Vorteile - Auszug

  •  Alle Organisations- und Unternehmensgrößen können die VOI PK-DML praxisgerecht und in wirtschaftlich angemessenem  Rahmen anwenden
  •  Bürokratiewahnsinn und unnötige Kosten vermeiden – Mehr Zeit und Ressourcen fürs Kerngeschäft
  • Klare Nachweisführung zu Informationssicherheit und (IT) Compliance – bedarfsrechte Anpassung
  • Universelles und bewährtes Konzept für Verfahrensdokumentationen, z. B. für die Erfüllung der Anforderung nach GoBD
  • Matching mit Normen, wie der ISO/IEC 27001 „Informationssicherheitsmanagement“ und anderen Richtlinien einfach möglich.
  • Diverse Zertifizierungsangebote durch VOI-CERT und TÜVIT (TÜV NORD GROUP) – Starke Qualitätsnachweise

Wo finde ich weitergehende Informationen zur VOI PK-DML?

 

Das Buch zur VOI PK-DML gibt es als eBook oder Printmedium über den Buchhandel (Amazon, Buchhändler der Tolino Media GmbH & Co. KG): VOI PK-DML – Auditkriterien für digitale Dokumenten-Management-Prozesse und verbundene IT-Lösungen, ISBN: 978-3-932898-26-6.

 

Auf den Websites des VOI finden Sie darauf aufbauende Zertifizierungsmöglichkeiten, Angebote zur Erstellung von Verfahrens-dokumentationen sowie weitere Dienstleistungen.


Vor welcher Herausforderung zu „Informationssicherheit und (IT) Compliance“ stehen Sie?

Ob Industrieunternehmen, öffentliche Einrichtungen, KMUs oder sonstige Organisationen, im oder über das Netzwerk des VOI finden Sie einen passenden Partner – Sprechen Sie uns an!



Ihr Ansprechpartner

Ralf Kaspras

InnoDataTech

 

Mitglied des Vorstandes im VOI e.V.
VOI Certified VOI Expert (VCE)

Information Security & Compliance