Kontakt

individual

 

Muster-Arbeitsanweisungen IT-Organisation

Die Organisation des IT-Bereichs ist regelmäßig Gegenstand von externen Prüfungen (Verbandsprüfungen und Sonderprüfungen der Bankenaufsicht). Unabhängig vom jeweiligen Prüfungsschwerpunkt wird der IT-Bereich immer in die Betrachtungen einbezogen. Neben der Funktionsprüfung kommt dabei den schriftlich fixierten organisatorischen Regelungen eine besondere Bedeutung zu.

Diese sind so zu dokumentieren, dass gesetzliche Vorgaben sowie Richtlinien und Verordnungen der Bankenaufsicht Berücksichtigung finden. Zudem sind die Zuständigkeiten und Prozessabläufe der Ist-Organisation entsprechend und in einer sowohl für die eigenen Mitarbeiter als auch für Dritte nachvollziehbaren Form zu beschreiben.

Die Arbeitsanweisungen werden fortlaufend an die aktuellen Gegebenheiten angepasst. Die aktuellen Anpassungen des Updates 06/2017 finden sie hier.

Die folgenden Musterarbeitsanweisungen sind zurzeit verfügbar:

Informationssicherheitsleitlinie

In der Informationssicherheitsleitlinie werden die grundsätzlichen Vorgaben der IT-Strategie auf den Bereich des Informationssicherheitsmanagements bzw. die Informationssicherheitsziele erweitert. Zudem wird eine Informationssicherheitsorganisation (in Form eines Informationssicherheitsbeauftragten/Informationssicherheitsteams) inkl. deren Aufgaben und Zusammensetzung definiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

IT-Risikomanagement

In der Arbeitsanweisung für das IT-Risikomanagement werden die für den aufsichtsrechtlichen IT-Risikomanagementprozess erforderlichen (Sub-)Prozesse und Festlegungen definiert. Die Arbeitsanweisung versteht sich als organisatorische Ergänzung zu der Anwendung ForumISM, die dargestellten Prozesse sind auf ForumISM ausgerichtet. Es werden insbesondere die grundlegenden Anforderungen, der Umgang mit BSI-Checklisten sowie die Erhebung und Bewertung von Datenklassen, Geschäftsprozessen und IT-Schutzobjekten (inkl. der Berücksichtigung von IT-Sicherheitskonzepten) sowie ggf. daraus resultierende Folgeaufgaben (z.B. Vorstandsgenehmigungen) definiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Benutzerberechtigungen

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf den IT-Berechtigungen und deren Vergabe (AT 7.2 Tz. 2 MaRisk). Hier wird die Entwicklung eines Soll-Konzeptes für die Zuordnung von Benutzerberechtigungen auf Funktionseinheiten beschrieben und durch Muster ergänzt. Um der Bank ein vollständiges Werk an die Hand zu geben, sind weitere Vollmachten/Kompetenzen ebenfalls mit aufgeführt. Des Weiteren wird ein Vergabeprozess für angemessene IT-Berechtigungen, wie er in den MaRisk AT 7.2 Tz. 2 gefordert wird, als Muster beschrieben.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Softwareeinsatz

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf der Darstellung des gemäß AT 7.2 Tz. 3 erforderlichen bankinternen Test und Freigabeverfahrens, welches für sämtliche in der Bank eingesetzten wesentlichen Anwendungen erforderlich ist. Zusätzlich sind ein Prozess für die Auswahl und Einführung von neuen Anwendungen sowie die Anforderungen an die eigenerstellte Anwendungen bzw. den internen Softwareentwicklungsprozess aufgeführt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Hardwareeinsatz

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf der Darstellung des gemäß AT 7.2 Tz. 3 erforderlichen bankinternen Test und Freigabeverfahrens, welches für sämtliche in der Bank eingesetzten wesentlichen Hardware- und IT-Systeme erforderlich ist. Zusätzlich ist ein Muster-Prozess für die Auswahl und Einführung von neuen Hardware-/IT-Systemen aufgeführt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Notfallmanagement

In dieser Muster-Arbeitsanweisungen werden die Anforderungen des AT 7.3 MaRisk an ein prozessorientiertes Notfallkonzept umgesetzt. Neben der Definition und Abgrenzung der wichtigsten Begriffe (z.B. Störung, Notfall) werden unter anderem ein Notfallprozess, ein Notfalltestplan sowie die Bestimmung von für das Notfallkonzept zeitkritischen Prozessen dargestellt. Für die aus unserer Sicht wesentlichen zeitkritischen Prozesse und prozessübergreifenden Notfälle sind bereits Muster-Geschäftsfortführung und -Wiederanlaufpläne definiert und können als Basis für die bankindividuelle Anpassung dienen.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Bewertung von Veränderungen gem. MaRisk AT 8.2

Mit der Einführung des AT 8.2 MaRisk sind die Anforderungen an die Behandlung von Veränderungen in Kreditinstituten - insbesondere im Hinblick auf deren Auswirkungen auf das interne Kontrollsystem (IKS) - in der Bedeutung aufsichtsrechtlich definiert worden. Das Thema ist derzeit insbesondere im Hinblick auf die wave-Umstellung in den Banken interessant. Aber auch andere Veränderungen im Bereich der Aufbau- und Ablauforganisation sowie in den IT-Systemen sind entsprechend zu bewerten. In dieser Arbeitsanweisung wird der Prozess der Bewertung (Wesentlichkeit der Veränderung und Auswirkungen auf das IKS) beschrieben und institutionalisiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Datenschutz & Bankgeheimnis

Neben den gesetzlichen Grundlagen aus dem Bundesdatenschutzgesetz (BDSG) sowie aus dem Vertragsverhältnis zwischen Kunde und Bank sind in dieser Arbeitsanweisung die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten als "Wächter personenbezogener Daten" im Detail geregelt (Kapitel 2.2). Zudem werden auch verbindliche Regelungen für alle anderen Mitarbeiter und Stellen in der Bank getroffen. Schwerpunkt dieser Arbeitsanweisungen sind die Auswirkungen vom Datenschutz und Bankgeheimnis für auf den Bankbetrieb (Kapitel 2.3): Hier sind sämtliche Stellen bzw. Abteilungen definiert, bei denen personenbezogene oder vom Bankgeheimnis betroffene Daten mit externen Stellen ausgetauscht werden. Klar definierte Voraussetzungen für die Verarbeitung und Weitergabe von Daten bieten der Bank und ihren Mitarbeitern eine maximale Handlungssicherheit, wobei nicht zuletzt auf die Effizienz der beschriebenen Prozesse Wert gelegt wird.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Arbeitsanweisungen für den operativen IT-Betrieb

Die Arbeitsanweisungen für den operativen IT-Betrieb stellen die sinnvollerweise in einer Bank zu regelnden Sachverhalte und Prozesse im Rahmen der IT-Organisation dar. Hierzu haben wir verschiedene Pakete zusammen gestellt (siehe Bestellschein & Inhaltsverzeichnisse). Über diese Regelungen sollten die erforderlichen Bereiche abgedeckt sein.

 

   Inhaltsverzeichnis & Changelog Paket 1: Grundlagen, Server, Datensicherung, basis21, Entsorgung, Fremdpersonal

   Inhaltsverzeichnis & Changelog Paket 2: Passwörter

   Inhaltsverzeichnis & Changelog Paket 3: mobile Endgeräte, mobile Datenträger

   Inhaltsverzeichnis & Changelog Paket 4: Virenschutz, Internetzugang, Elektronische Kommunikation

   Inhaltsverzeichnis & Changelog Paket 5: Fernwartung

   Inhaltsverzeichnis & Changelog Paket 6: Sicherheitsvorfälle

   Inhaltsverzeichnis & Changelog Paket 7: Social Media

   Inhaltsverzeichnis & Changelog Paket 8: IT-Kontrollen

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

MaSI-Richtlinie

In der MaSI-Richtlinie werden die grundsätzlichen Vorgaben für die MaSI-Umsetzung definiert. Zusätzlich wird auf die einzelnen Handlungsfelder in der Bank aus dem BVR-Umsetzungsleitfaden eingegangen und es werden konkrete Hinweise sowie Musterformulierungen für die Umsetzung gegeben. Die Detailregelungen werden durch die angepassten Version unserer Muster-AAW IT-Sicherheitsleitlinie, IT-Risikomanagement und Sicherheitsvorfälle (Paket 6) - siehe Hinweise oben - ergänzt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

 

Die von uns zu ausgewählten Regelungsbereichen der IT-Organisation erstellten Musterarbeitsanweisungen sind so aufgebaut, dass sie mit überschaubarem zeitlichen Aufwand an die bankindividuellen Organisationsstrukturen und Vorgehensweisen angepasst werden können. Durch den in weiten Teilen tabellarischen Aufbau und die integrierten Bearbeitungshinweise ist sichergestellt, dass die Übersichtlichkeit dabei nicht verloren geht. Durch die aufeinander aufbauende Gestaltung und Definitionen wird eine ganzheitliche Umsetzung in Ihren Häusern erleichtert.

TOP