individual

 

Muster-Arbeitsanweisungen IT-Organisation

Die Organisation des IT-Bereichs ist regelmäßig Gegenstand von externen Prüfungen (Verbandsprüfungen und Sonderprüfungen der Bankenaufsicht). Unabhängig vom jeweiligen Prüfungsschwerpunkt wird der IT-Bereich immer in die Betrachtungen einbezogen. Neben der Funktionsprüfung kommt dabei den schriftlich fixierten organisatorischen Regelungen eine besondere Bedeutung zu.

Diese sind so zu dokumentieren, dass gesetzliche Vorgaben sowie Richtlinien und Verordnungen der Bankenaufsicht Berücksichtigung finden. Zudem sind die Zuständigkeiten und Prozessabläufe der Ist-Organisation entsprechend und in einer sowohl für die eigenen Mitarbeiter als auch für Dritte nachvollziehbaren Form zu beschreiben.

Die Arbeitsanweisungen werden fortlaufend an die aktuellen Gegebenheiten angepasst. In den letzten Wochen haben wir die Bankaufsichtlichen Anforderungen an die IT (BAIT) in die Musterarbeitesanweisungen eingearbeitet. Die aktuellen Arbeitsanweisungen sowie die angepassten Sachverhalten können Sie den Links unten bei den einzelnen Arbeitsanweisungen entnehmen.

Als Service für Sie haben wir eine Checkliste für die Umsetzung der BAIT ausgearbeitet, die wir Ihnen kostenfrei zur Verfügung stellen: Checkliste BAIT-Umsetzung

Die folgenden Musterarbeitsanweisungen sind zurzeit verfügbar:

Informationssicherheitsleitlinie

In der Informationssicherheitsleitlinie werden die grundsätzlichen Vorgaben der IT-Strategie auf den Bereich des Informationssicherheitsmanagements bzw. die Informationssicherheitsziele erweitert. Zudem wird eine Informationssicherheitsorganisation (in Form eines Informationssicherheitsbeauftragten/Informationssicherheitsteams) inkl. deren Aufgaben und Zusammensetzung definiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Informationsrisikomanagement

In der Arbeitsanweisung für das Informationsrisikomanagement werden die für den aufsichtsrechtlichen Informationsrisikomanagement erforderlichen (Sub-)Prozesse und Festlegungen definiert. Die Arbeitsanweisung versteht sich als organisatorische Ergänzung zu der Anwendung ForumISM, die dargestellten Prozesse sind auf ForumISM ausgerichtet. Es werden insbesondere die grundlegenden Anforderungen, der Umgang mit BSI-Checklisten sowie die Erhebung und Bewertung von Datenklassen, Geschäftsprozessen und IT-Schutzobjekten (inkl. der Berücksichtigung von IT-Sicherheitskonzepten) sowie ggf. daraus resultierende Folgeaufgaben (z.B. Vorstandsgenehmigungen) definiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Benutzerberechtigungen

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf den IT-Berechtigungen und deren Vergabe (AT 7.2 Tz. 2 MaRisk). Hier wird die Entwicklung eines Soll-Konzeptes für die Zuordnung von Benutzerberechtigungen auf Funktionseinheiten beschrieben und durch Muster ergänzt. Um der Bank ein vollständiges Werk an die Hand zu geben, sind weitere Vollmachten/Kompetenzen ebenfalls mit aufgeführt. Des Weiteren wird ein Vergabeprozess für angemessene IT-Berechtigungen, wie er in den MaRisk AT 7.2 Tz. 2 gefordert wird, als Muster beschrieben.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Softwareeinsatz

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf der Darstellung des gemäß AT 7.2 Tz. 3 erforderlichen bankinternen Test und Freigabeverfahrens, welches für sämtliche in der Bank eingesetzten wesentlichen Anwendungen erforderlich ist. Zusätzlich sind ein Prozess für die Auswahl und Einführung von neuen Anwendungen sowie die Anforderungen an die eigenerstellte Anwendungen bzw. den internen Softwareentwicklungsprozess aufgeführt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Hardwareeinsatz

Der Schwerpunkt dieser Muster-Arbeitsanweisung liegt auf der Darstellung des gemäß AT 7.2 Tz. 3 erforderlichen bankinternen Test und Freigabeverfahrens, welches für sämtliche in der Bank eingesetzten wesentlichen Hardware- und IT-Systeme erforderlich ist. Zusätzlich ist ein Muster-Prozess für die Auswahl und Einführung von neuen Hardware-/IT-Systemen aufgeführt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Notfallmanagement

In dieser Muster-Arbeitsanweisungen werden die Anforderungen des AT 7.3 MaRisk an ein prozessorientiertes Notfallkonzept umgesetzt. Neben der Definition und Abgrenzung der wichtigsten Begriffe (z.B. Störung, Notfall) werden unter anderem ein Notfallprozess, ein Notfalltestplan sowie die Bestimmung von für das Notfallkonzept zeitkritischen Prozessen dargestellt. Für die aus unserer Sicht wesentlichen zeitkritischen Prozesse und prozessübergreifenden Notfälle sind bereits Muster-Geschäftsfortführung und -Wiederanlaufpläne definiert und können als Basis für die bankindividuelle Anpassung dienen.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Bewertung von Veränderungen gem. MaRisk AT 8.2

Mit der Einführung des AT 8.2 MaRisk sind die Anforderungen an die Behandlung von Veränderungen in Kreditinstituten - insbesondere im Hinblick auf deren Auswirkungen auf das interne Kontrollsystem (IKS) - in der Bedeutung aufsichtsrechtlich definiert worden. Das Thema ist derzeit insbesondere im Hinblick auf die wave-Umstellung in den Banken interessant. Aber auch andere Veränderungen im Bereich der Aufbau- und Ablauforganisation sowie in den IT-Systemen sind entsprechend zu bewerten. In dieser Arbeitsanweisung wird der Prozess der Bewertung (Wesentlichkeit der Veränderung und Auswirkungen auf das IKS) beschrieben und institutionalisiert.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

Datenschutz & Bankgeheimnis

Neben den gesetzlichen Grundlagen aus dem Bundesdatenschutzgesetz (BDSG) sowie aus dem Vertragsverhältnis zwischen Kunde und Bank sind in dieser Arbeitsanweisung die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten als "Wächter personenbezogener Daten" im Detail geregelt (Kapitel 2.2). Zudem werden auch verbindliche Regelungen für alle anderen Mitarbeiter und Stellen in der Bank getroffen. Schwerpunkt dieser Arbeitsanweisungen sind die Auswirkungen vom Datenschutz und Bankgeheimnis für auf den Bankbetrieb (Kapitel 2.3): Hier sind sämtliche Stellen bzw. Abteilungen definiert, bei denen personenbezogene oder vom Bankgeheimnis betroffene Daten mit externen Stellen ausgetauscht werden. Klar definierte Voraussetzungen für die Verarbeitung und Weitergabe von Daten bieten der Bank und ihren Mitarbeitern eine maximale Handlungssicherheit, wobei nicht zuletzt auf die Effizienz der beschriebenen Prozesse Wert gelegt wird.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

(IT-)Projektmanagement

Mit Einführung der BAIT sind die Anforderungen für das Management von IT-Projekten erstmals verbindlich für Banken in Deutschland von Seiten der Aufsicht vorgegeben worden.

Ziel dieser Musterarbeitsanweisung ist es, der Bank ein Rahmenwerk für die ordnungsgemäße und zugleich kosteneffiziente Regelung von (IT-)Projekten zur Verfügung zu stellen. Die aufgeführten Regelungen müssen in der einzelnen Bank individuell bewertet und ggf. angepasst/ ergänzt werden.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

Auslagerungsmanagement

Auslagerungen von Prozessen oder IT-Systemen sind bereits seit Jahren gängige Praxis in Kreditinstituten. Insbesondere im IT-Bereich (Rechenzentrum) hat die Auslagerung eine große Bedeutung. Aufsichtsrechtlich wird mit der Vereinbarung einer Auslagerung jedoch nicht die Verantwortung für das Thema abgegeben. Die Bank ist weiterhin in vollem Umfang für die Auslagerung bzw. die ausgelagerten Sachverhalte verantwortlich. Zudem werden durch die in dem Jahr 2017 erstmals veröffentlichten Bankaufsichtliche Anforderungen an die IT (BAIT) besondere Anforderungen an den Bezug von IT-Dienstleistungen gestellt. In dieser Muster-Arbeitsanweisung werden die sinnvollen und aufsichtsrechtlich erwünschten Regelungen im Umgang mit Auslagerungen dargestellt.

Ziel dieser Musterarbeitsanweisung ist es, der Bank einen Überblick über zu regelnde Vorgehensweisen zu verschaffen und gleichzeitig ein Muster zur Verfügung zu stellen, mit der bankintern eine Umsetzung erfolgen kann. Die aufgeführten Regelungen müssen in der einzelnen Bank individuell bewertet und ggf. angepasst/ ergänzt werden. Die Anforderungen des Standards für Ordnungsmäßigkeit der IT-Verfahren der Fiducia & GAD (SOIT) sowie der Bankaufsichtlichen Anforderungen an die IT (BAIT) sind in dieser Arbeitsanweisung bereits berücksichtigt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

Arbeitsanweisungen für den operativen IT-Betrieb

Die Arbeitsanweisungen für den operativen IT-Betrieb stellen die sinnvollerweise in einer Bank zu regelnden Sachverhalte und Prozesse im Rahmen der IT-Organisation dar. Hierzu haben wir verschiedene Pakete zusammen gestellt (siehe Bestellschein & Inhaltsverzeichnisse). Über diese Regelungen sollten die erforderlichen Bereiche abgedeckt sein.

 

   Inhaltsverzeichnis & Changelog Paket 1: Grundlagen, Server, Datensicherung, basis21, Entsorgung, Fremdpersonal

   Inhaltsverzeichnis & Changelog Paket 2: Passwörter

   Inhaltsverzeichnis & Changelog Paket 3: mobile Endgeräte, mobile Datenträger

   Inhaltsverzeichnis & Changelog Paket 4: Virenschutz, Internetzugang, Elektronische Kommunikation

   Inhaltsverzeichnis & Changelog Paket 5: Fernwartung

   Inhaltsverzeichnis & Changelog Paket 6: Serviceanfragen, Störungen und (Informations-) Sicherheitsvorfälle

   Inhaltsverzeichnis & Changelog Paket 7: Social Media

   Inhaltsverzeichnis & Changelog Paket 8: IT-Kontrollen

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

MaSI-Richtlinie

In der MaSI-Richtlinie werden die grundsätzlichen Vorgaben für die MaSI-Umsetzung definiert. Zusätzlich wird auf die einzelnen Handlungsfelder in der Bank aus dem BVR-Umsetzungsleitfaden eingegangen und es werden konkrete Hinweise sowie Musterformulierungen für die Umsetzung gegeben. Die Detailregelungen werden durch die angepassten Version unserer Muster-AAW IT-Sicherheitsleitlinie, IT-Risikomanagement und Sicherheitsvorfälle (Paket 6) - siehe Hinweise oben - ergänzt.

 

   Inhaltsverzeichnis & Changelog

   Bestellformular

 

Ihre Ansprechpartner:  Dirk Mertens, Björn Scherer

 

 

Die von uns zu ausgewählten Regelungsbereichen der IT-Organisation erstellten Musterarbeitsanweisungen sind so aufgebaut, dass sie mit überschaubarem zeitlichen Aufwand an die bankindividuellen Organisationsstrukturen und Vorgehensweisen angepasst werden können. Durch den in weiten Teilen tabellarischen Aufbau und die integrierten Bearbeitungshinweise ist sichergestellt, dass die Übersichtlichkeit dabei nicht verloren geht. Durch die aufeinander aufbauende Gestaltung und Definitionen wird eine ganzheitliche Umsetzung in Ihren Häusern erleichtert.

TOP