In Zeiten ungebremster Informationsflut und fortschreitender Digitalisierung, ist die Fokussierung auf den Wert «guter» Informationen unabdingbar. Nur, wie können Informationen und Daten konsequent als wertvolles Business-Asset behandelt werden? Wie sieht ein ganzheitlicher Ansatz für die Verwaltung und Bearbeitung von Informationen aus? Das Konzept «Information Governance» weist den Weg.
Viele Organisationen verwalten ihre Informationen und Daten mehr schlecht als recht: Daten sind teilweise doppelt vorhanden, Daten können nicht oder nur mühsam gefunden werden, die stufen- und funktionsgerechte Zugänglichkeit ist nicht gewährleistet, die an verschiedenen Orten gespeicherten Daten widersprechen sich, die Aktualität kann vom Mitarbeitenden nicht beurteilt werden, sie trauen den Daten nicht oder gesetzlich vorgegebene Löschungen können nicht erfolgen. Hier hilft das Konzept «Information Governance».
Was ist Information Governance?
Information Governance hat zum Ziel, die Bearbeitung von Informationen basierend auf Grundsätzen, Leitlinien und Weisungen unternehmensweit zu steuern und zu optimieren. Sie ist ein ganzheitlicher Ansatz zur Verwaltung von Unternehmensinformationen mittels definierter Prozesse, Rollen, Kontrollen und Metriken.
Information Governance bietet den Rahmen für den sicheren, vertraulichen und rechtskonformen Umgang mit Informationen. Sie gewährleistet deren gezielte, effiziente und effektive Bearbeitung im Kontext von Vertraulichkeit, Verfügbarkeit und Integrität/Nachvollziehbarkeit. Gleichzeitig trägt Information Governance zur bestmöglichen Aufgabenerfüllung und Erreichung wirtschaftlich optimaler Resultate bei. Die Informationen des Unternehmens werden dabei sowohl als wert- wie auch als kostenhaltig angesehen. Dementsprechend hoch sind die Anforderungen an die Steuerung, Überwachung und Koordination auf höchster Managementebene.
Information Governance als Teil der *Corporate Governance
Unter Corporate Governance (dt. Grundsätze der Unternehmensführung) wird der rechtliche und faktische Ordnungsrahmen für die Leitung und Überwachung von Unternehmen verstanden, wobei das Wohl aller relevanten Anspruchsgruppen/Stakeholder im Mittelpunkt steht. Dieser Ordnungsrahmen wird massgeblich durch den Gesetzgeber, allfällige Regulatoren und die Eigentümer (Aktionäre) bestimmt. Die konkrete Ausgestaltung ist Aufgabe des Verwaltungsrates und der Unternehmensleitung.
Die Information Governance bildet aus meiner Sicht einen wichtigen und strategischen Teil der Corporate Governance. Information Governance darf und kann aber nicht Teil der IT Governance sein. Die Zuordnung der Information Governance zur IT Governance würde den falschen Glauben noch weiter stärken, die IT sei für die Informationen eines Unternehmens verantwortlich. Die Verantwortung für die Informationen eines Unternehmens gehört ins Business und in die Linie. Die klare Regelung der Verantwortlichkeiten für die Informationen eines Unternehmens ist denn auch eines der Hauptziele der Information Governance.
Themen der Information Governance
Information Governance ist thematisch an die Bearbeitung von Informationen bzw. an die Information an und für sich gebunden. Begriffstechnisch geht Information Governance deshalb viel weiter als beispielsweise IT Governance oder Data Governance, die ausschliesslich digital gespeicherte beziehungsweise bearbeitete Daten im Fokus haben und einen Teilbereich der Information Governance darstellen.
Integrale Sicherheit
Integrale Sicherheit, die Bündelung aller Sicherheitsteilbereiche eines Unternehmens, überschneidet sich zwar nur teilweise mit der Information Governance. Allerdings haben alle Sicherheitsteilbereiche die Verfahrensvorgaben der Corporate Governance bzw. der Bereiche Governance, Risk und Compliance (GRC) einzuhalten bzw. zu unterstützen. Information Governance hilft dabei, Vorgaben und Verfahren des GRC-Bereichs direkter und damit effizienter umzusetzen.
Informationssicherheit
Sämtliche Aktivitäten im Bereich Informationssicherheit sind hingegen direkt der Information Governance zuzuordnen. Schliesslich gehört die Sicherstellung einer angemessenen Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und informationsverarbeitenden Systemen zur Kernaufgabe der Informationssicherheit.
Datenschutz
Datenschutz ist streng genommen ein Teilbereich der Informationssicherheit. Aufgrund der zunehmenden Regelungsdichte und der damit einhergehenden steigenden Risiken im Bereich Datenschutz hat sich dieser Bereich vielerorts aber verselbstständigt. Eine Zuordnung des Datenschutzes zum Thema Information Governance wäre anzustreben. Nicht zuletzt um eine entsprechende organisatorische Nähe zu den Bereichen Records Management (z. B. mit den Schritten Archivierung und Löschung), Informationssicherheit und Compliance zu erreichen. Aber auch um die einzelnen Themen direkter, klarer und umfassender zuzuordnen und um gute und stufengerechte Lösungen zu erzielen.
Archivierung
Archivierung, verstanden als rechtskonforme Aufbewahrung von Informationsobjekten gemäss internen und externen Vorgaben, wird häufig dem Thema Informationssicherheit zugeordnet. Dies unter anderem deshalb, weil die Mechanismen zur Erreichung der gesetzlich geforderten Fälschungssicherheit des Archivguts im Bereich der IT-Sicherheit bestens bekannt sind. Die Archivierung bildet aber «nur» den zweitletzten Schritt (vor der Löschung) im übergeordneten Records Management-Prozess.
Records Management
Records Management an und für sich bildet nicht Teil der Informationssicherheit. Dies führt in der Praxis zu Schwierigkeiten der Einordnung des Themas Records Management. Wie erwähnt, bildet die Löschung den letzten Schritt im Records Management-Prozess.
Information Governance erfolgreich umsetzen
Bei der Erarbeitung der Vorgaben im Bereich Information Governance gilt es, zahlreiche Punkte zu regeln und zu referenzieren. So müssen u.a. anwendbare Prinzipien und Grundsätze definiert, Aufgaben, Kompetenzen und Verantwortlichkeiten geklärt, ein Records Management aufgebaut und verschiedene Richtlinien z. B. in den Bereichen Access Management, Sicherheit und Speichersysteme erarbeitet werden. Ganz wichtig ist dabei die Sicherstellung einer engen Zusammenarbeit zwischen Risk Management, IT, Legal und Compliance, Records Management, Sicherheit und Datenschutz. So oder so ist es ratsam, das Konzept Information Governance in einem entsprechend zusammengesetzten Fachgremium unter Führung einer C Level-Position mit einer Standortbestimmung und einem Aktionsplan anzugehen.
Das grosse Plus der Information Governance
Durch den ganzheitlichen Ansatz von Information Governance können Informationsrisiken minimiert und der Wert der Information maximiert werden. Je umfangreicher sich die Bearbeitung von Informationen absolut (Umfang) oder relativ (Anteil) innerhalb einer Organisation darstellt, desto wichtiger und dringender ist es, die mit der Information Governance einhergehenden Chancen aktiv anzugehen.
Das Konzept Information Governance soll im Sinne einer Klammerfunktion übergeordnete Grundsätze und Prinzipien definieren und deren themenübergreifende koordinierte, lückenlose, schrittweise Umsetzung unterstützen. Das komplexe Zusammenwirken wichtiger Themenbereiche und deren Abstimmung wird so sichergestellt und vereinfacht.
Wann entscheiden Sie sich dafür, den Wert Ihrer Informationen zu erhöhen?
Der Autor
Reto Zbinden ist Rechtsanwalt und CEO der Swiss Infosec AG
Zbinden hat 1989 die Swiss Infosec AG gegründet. Das Unternehmen mit Sitz in Sursee LU gehört zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit der Schweiz. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC AG über 100 Mitarbeitende. www.infosec.ch
Publikation in Zusammenarbeit mit: VIW – Wirtschaftsinformatik Schweiz | www.viw.ch
Der Beitrag erschien im topsoft Fachmagazin 24-4
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.