Berechtigungsmanagement und -prozess in der Bankenpraxis

image_print

Relevante Handlungsfelder rund um den Managementprozess, um die bestehenden Erfordernisse im Sinne der regulatorischen Anforderungen zu erfüllen

 

 Martina Vinken, Teamleiterin Organisation, Prozessmanagement und Organisation, Volksbank Mittelhessen

Die heute geltenden regulatorischen Anforderungen an das Management von Benutzerrechten und den Berechtigungsvergabeprozess stellen Banken im Praxistransfer vor hohe Herausforderungen. Die Institute sind in der Pflicht, den rechtlichen Erfordernissen durch entsprechende aufbauorganisatorische Regelungen und vollumfänglicher Dokumentation nachzukommen.

 

 SEMINARTIPPS

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Berechtigungsmanagement: Rezertifizierung und minimale Rechtevergabe, 19.03.2019, Berlin.

7. Fachtagung Informationssicherheit, 20–21.03.2019, Berlin.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019 in Frankfurt/M.

 

Sollkonzept der Berechtigungen

Zur Realisierung der Anforderungen gem. den MaRisk, ist das Vorhandensein eines anwendungsübergreifenden Sollkonzepts für Benutzerberechtigungen unter Einhaltung von Funktionstrennung und Sparsamkeitsgrundsatz elementar. Idealerweise baut das Sollkonzept dabei auf ein bestehendes Rechte-/Rollenkonzept auf.

 

 BUCHTIPP

Bona-Stecki/Riediger/Uribe (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement, 2016.

 

 

Rezertifizierung

Die Existenz eines Sollkonzepts ist Voraussetzung für die erforderliche Umsetzung der regelmäßigen Überprüfung von Benutzerrechten. Die Rezertifizierung gelingt, indem ordentliche Prozesse, Zuständigkeiten und institutsinterne Regularien diesbezüglich bestehen. Im Anschluss eines Rezertifizierungsdurchlaufs erfolgt im Idealfall der Abgleich zwischen Sollkonzept und den Anwendungssystemen, um darin erforderliche Korrekturen umgehend vorzunehmen.

PRAXISTIPPS

  • Die Umsetzung des Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Dokumentationsverfahren sowie die Bereitstellung von Mitarbeiterressourcen.
  • Idealtypisch gelingt die Umsetzung, wenn die Zuständigkeit im Institut einer zentralen und unabhängigen Stelle obliegt.
  • Zum Praxistransfer im Gesamthaus gehört ebenfalls die Unterrichtung und Sensibilisierung der Führungskräfte und Mitarbeiter zum Berechtigungsvergabeprozess, insbesondere bezüglich der Einhaltung des Sparsamkeitsgrundsatzes.
  • Die Implementierung des Sollkonzepts erfolgt bestenfalls systemisch durch Verwendung einer Berechtigungsmanagementsoftware.
  • Für den ordentlichen Rezertifizierungsablauf werden Prozessdefinitionen und Ablaufbeschreibungen, wie beispielsweise ein institutseigener Rezertifizierungskalender, benötigt.
  • Es sollen eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen bestehen. Denn jede Neuanlage, Änderung oder Löschung von Benutzerrechten in einem Anwendungssystem bedeutet die Veränderung des Sollkonzepts.

 

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.