Beschreibung
Durch die Veröffentlichung der BAIT ist klar, dass der ISB und der Compliance-Beauftragte in der zweiten Verteidigungslinie aufgestellt sind. Eine konkrete Abgrenzung der Aufgaben ist ein MUSS. Hier sollten die Organisationsrichtlinien angepasst werden, um eine Einbindung des ISB/Compliance-Beauftragten in die Themenfelder sicherzustellen. Es muss darauf geachtet werden, dass dies institutsindividuell ausgestaltet und intern definiert wird, in welchen Fällen der ISB/Compliance-Beauftragte in welchem Umfang beteiligt werden muss. Zielgruppe sind Führungskräfte und Spezialisten aus dem Bereich Revision, sowie ISBs und Compliance-Beauftragte.
10:00 – 12:00 Uhr
Anforderungen an eine Informations-Sicherheits-Leitlinie (ISL) • Erfahrungen zu den zentralen Elementen der Leitlinie
- Erwartung an die bewusste Steuerung der IT-Risiken (OpRisk) – Richtige Ableitung, Formulierung, Messung und Kontrolle von Zielen im Rahmen eines gut dokumentierten IT-Strategieprozesses
- Informationssicherheitsmanagement – Kriterien und Schwachstellen zur Auslagerbarkeit des ISB – Reporting-Pflichten
- Häufige Probleme hinsichtlich der Auswirkungsanalyse von IT-Projekten – Umgang mit identifizierten Risiken – Rückführung in das Informationsrisikomanagement – Regelmäßige Dokumentation
- Wie müssen die Komponenten des ISMS definiert werden für eine ausreichende Beurteilung? – Wie ist die Ressourcen-Aufteilung? – Qualifizierung der Mitarbeiter
- Wie ist eine prüfungssichere Überwachung von IT-Risiken aus IT-Auslagerungen zu gestalten? – Revisionssichere Dokumentation
- Häufige Schwachstellen in der Praxis
12:45 – 14:00 Uhr
Auswirkungen der Unternehmensstrategie auf die Ausgestaltung des Three Lines of Defence-Modells
- Wesentliche regulatorische Anforderungen an die zweite Verteidigungslinie (u. a. MaRisk, SREP, BCBS 328, IT-Sicherheitsgesetz, EU-Datenschutz-Grundverordnung)
- Rollen und Zuständigkeiten, Gestaltungsmöglichkeiten, Abgrenzungsnotwendigkeiten
- Anforderungen an den Compliance-Beauftragten
- Angemessene Kriterien für die Durchführung einer Risikoanalyse
- Konsistente Ableitung von überschneidungsfreien Kontrollhandlungen
- Ausgestaltung des Berichtswesens der 2. Verteidigungslinie
14:00 – 15:15 Uhr
Wesentliche Aufgabe des ISB in Hinblick auf die BAIT
- Strategische Informationssicherheit – Wie der ISB die strategischen Geschäftsziele unterstützen kann! – Formulierung und Quantifizierung von Zielen der Informationssicherheit.
- Vermeidung von Interessenkonflikten (Tz. 6) sowie eindeutige organisatorische Trennung von Funktionen – Tipps aus der Praxis
- Identifizierung und Bewertung von Informationsrisiken – Wie geht der ISB mit diesen um? – Handlungsempfehlungen
- Informationsverbund: Methodik zur Feststellung des Schutzbedarfs – Ableitung der Soll-Maßnahmen in den Schutzbedarfskategorien
- IDV mit angemessenen Prozessen unter Berücksichtigung des Schutzbedarfs – Identifikation und Dokumentation von IDV-Anwendungen in Zusammenarbeit mit den Fachabteilungen
- Auslagerungen und sonstiger Fremdbezug – Einbindung der Funktion Informationssicherheit ins Auslagerungsmanagement
15:30 – 17:00 Uhr
BAIT aus Sicht der (IT-)Revision – Vorgehensweisen, Anforderungen, Konsequenzen und Handlungsempfehlungen der dritten Verteidigungslinie
- IT-Strategie und Revisionsstrategie: Zweck, Spielarten, Qualitätsanforderungen
- Zwischen Prüfungsprozess und -Inhalt: Stolpersteine und Chancen, Einblicke in die Praxis
- Unmittelbare Handlungsfelder für die IT-Revision: Themenpriorisierung, Herangehensweisen und Praxiseindrücke
- Konsequenzen aus den BAIT für die Revisionspraxis: Wie stellt sich die IT-Revision angesichts der Erwartungen „richtig“ auf?
- Herausforderungen und mögliche Lösungen für die Zukunft der Revision
Referenten
- David Rother, Referat Bankgeschäftliche Prüfungen 2, Deutsche Bundesbank
- Mike Bona-Stecki, Manager/Auditor Informationssicherheit, DekaBank
- Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH
- Jürgen Krug, IT-Revisor, stellv. Abteilungsleiter Zentralrevision, Frankfurter Sparkasse
Bewertungen
Es gibt noch keine Bewertungen.