Bereits im Früjahr 2010 stieg Microsoft in den IT-Service Management Markt mit dem System Center Service Manager ein. Nun erweitert Microsoft diese Lösung mit dem IT Governance, Risk & Compliance (GRC) Modul und ermöglicht die Teilautomatisierung von IT-Compliance Audits.
Dieses Modul bietet u.a. die Möglichkeit zur automatisierten Überprüfung von Systemen/Applikationen auf ihren aktuellen Konfigurations-Zustand und dessen mögliche Abweichung zu entsprechenden Richtlinien. Viele Standards wie z.B. der Informations-Sicherheitsstandard ISO 27001 erfordern die periodische Überprüfung dieser Zustände. Microsoft bietet hier nicht nur die Möglichkeit, diese Audits zu automatisieren, sondern liefert auch bereits auf Basis verschiedenster Standards Control Sets, die für die Überprüfung erforderlich sind.
Ein Beispiel hierfür wäre z.B. Passwort Management. Mittels dieser Lösung ist es möglich, eine automatische Überprüfung von z.B. Passwortlänge und Passwortkomplexität auf Systemen durchzuführen. Aber auch die Durchführung von nicht-technischen Vorgaben werden über manuelle Controls im Modul durchgeführt. Dies ist z.B. die „Clear Desk Policy“, bei der ein Auditor durch visuelle Überprüfung sicherstellt, dass keine vertraulichen Dokumente auf den Schreibtischen frei zugänglich sind. Das Ergebnis wird dann vom Auditor ins System eingegeben.
Die Auswertung der aktuellen IT-Compliance ist dann entweder über Berichte oder über ein Dashboard zentral verfügbar.
Des weiteren bietet das Modul die Möglichkeit, IT-Risiken zentral zu verwalten.
Im Rahmen dieses Blogs werden weitere Beiträge veröffentlicht, die einen tieferen Einblick in dieses Modul geben werden.
IT-Compliance Blog 