Beschreibung
Einbezug in IT-Risikomanagementprozesse & OpRisk!
Die Prozesspflichten um die hausindividuelle Festlegung des Schutzbedarfs und der Maßnahmen werden explizit in den BAIT genannt, waren aber schon zuvor im Blick von Bundesbank-Prüfungen und Interner Revision. Ganz besonders im Vordergrund steht die Beurteilung des Schutzbedarfs von IT-Systemen durch die Fachbereiche. Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden (Risikoanalyse). Ein unvollständiger roter Faden führt oft zu vermeidbaren Prüfungsfeststellungen. Konkretisierte regulatorische Vorgaben mit Praxis- und Prüfungserfahrungen werden dargestellt, mit besonderem Fokus auf das Informationsrisikomanagement. Das Seminar adressiert die IT/Orga, IT-Sicherheit, Compliance, Revision sowie externe Berater.
10:00 – 12:00 Uhr
Klare Erwartungen der Bundesbank nach den neuen aufsichtsrechtlichen Anforderungen (MaRisk, BAIT) an die Schutzbedarfsanalyse (SBA)
- Aufsichtsrechtliche Anforderungen an den Überblick des Informationsverbundes und Ermittlung des Schutzbedarfs – Prüfungserfahrungen
- Festlegung von Anforderungen zur Umsetzung der Schutzziele (Sollmaßnahmenkatalog) -> Anforderungen an Plausibilität und Dokumentation
- Welche Kriterien stehen bei der Risikoanalyse im Vordergrund? – Bedeutung des Prüfungsfeldes Soll-Ist-Abgleich
- Welche Schritte sind nach der Ermittlung der IT-Restrisiken zur Überleitung in das OpRisk-Management einzuleiten? – Regelmäßige Überwachung und Risiko-Reporting
- Konkrete Anforderungen an die einzelnen Fachbereiche – SBA als Schnittstelle zwischen den Fachbereichen und der IT
13:00 – 14:45 Uhr
Schutzbedarfsanalysen (SBA) und externe Dienstleister • OpRisk-Reporting
- Strukturanalyse der IT-Architektur: Identifikation und Gruppierung der IT-Schutzobjekte (Anwendungen, Systeme, Infrastruktur)
- Schutzbedarfsklassifizierung der Dienstleister – Typische Risiken und Sollmaßnahmen
- Durchführung von Risiko- und Restrisikoanalysen – Welche Konsequenzen sind nach der Ermittlung zu ziehen? – Praxisempfehlungen
- OpRisk-Reporting – Berichte über IT-Risiken unter Einbezug externer Dienstleister – Erfahrungen aus der Praxis
- Soll/Ist-Abgleich – Häufige Schwachstellen bei der Aktualisierung der Schutzbedarfsanalyse und des Sollmaßnahmenkatalogs
15:15 – 17:00 Uhr
Funktionstrennung bei der SBA – Rolle der IT-Abteilung und Verantwortung der Fachbereiche
- Wie sind angemessene Aufbau- und Ablauforganisationen zu regeln?
- Die (neue) Rolle des ISB – Interne Unabhängigkeit und Auslagerbarkeit im Sinne von Transparenz und Steuerbarkeit
- Anwendung des Maximal- und des Vererbungsprinzips – Ermittlung des Gesamtschutzbedarfs – Schutzbedarf für Infrastrukturen bzw. Basisinfrastrukturen
- Daten-Owner-Prinzip – Prozessuale Verantwortung der Fachabteilungen und der IT-Abteilung – Schutzklassifizierung
- Praxisempfehlungen anhand aktueller Anforderungen
Referenten
- Lars Ehrenfeld, Leiter Projekt- und Prozessmanagement, Volksbank Heilbronn eG
- Volker Köster, Direktor Organisation und Informationssicherheits-Beauftragter, Kreissparkasse Verden
- Christian Elsässer, Bundesbankinspektor, Deutsche Bundesbank
Bewertungen
Es gibt noch keine Bewertungen.