InformationsRisikoManagement: Zusammenspiel ISB, Compliance & Revision

10:00 – 12:00 Uhr

Anforderungen an eine Informations-Sicherheits-Leitlinie (ISL) • Erfahrungen zu den zentralen Elementen der Leitlinie

• Erwartung an die bewusste Steuerung der IT-Risiken (OpRisk) – Richtige Ableitung, Formulierung, Messung und Kontrolle von Zielen im Rahmen eines gut dokumentierten IT-Strategieprozesses
• Informationssicherheitsmanagement – Kriterien und Schwachstellen zur Auslagerbarkeit des ISB – Reporting-Pflichten
• Häufige Probleme hinsichtlich der Auswirkungsanalyse von IT-Projekten – Umgang mit identifizierten Risiken – Rückführung in das Informationsrisikomanagement – Regelmäßige Dokumentation
• Wie müssen die Komponenten des ISMS definiert werden für eine ausreichende Beurteilung? – Wie ist die Ressourcen-Aufteilung? – Qualifizierung der Mitarbeiter
• Wie ist eine prüfungssichere Überwachung von IT-Risiken aus IT-Auslagerungen zu gestalten? – Revisionssichere Dokumentation
• Häufige Schwachstellen in der Praxis

12:45 – 14:00 Uhr

Auswirkungen der Unternehmensstrategie auf die Ausgestaltung des Three Lines of Defence-Modells

• Wesentliche regulatorische Anforderungen an die zweite Verteidigungslinie (u. a. MaRisk, SREP, BCBS 328, IT-Sicherheitsgesetz, EU-Datenschutz-Grundverordnung)
• Rollen und Zuständigkeiten, Gestaltungsmöglichkeiten, Abgrenzungsnotwendigkeiten
• Anforderungen an den Compliance-Beauftragten
• Angemessene Kriterien für die Durchführung einer Risikoanalyse
• Konsistente Ableitung von überschneidungsfreien Kontrollhandlungen
• Ausgestaltung des Berichtswesens der 2. Verteidigungslinie

14:00 – 15:15 Uhr

Wesentliche Aufgabe des ISB in Hinblick auf die BAIT

• Strategische Informationssicherheit – Wie der ISB die strategischen Geschäftsziele unterstützen kann! – Formulierung und Quantifizierung von Zielen der Informationssicherheit.
• Vermeidung von Interessenkonflikten (Tz. 6) sowie eindeutige organisatorische Trennung von Funktionen – Tipps aus der Praxis
• Identifizierung und Bewertung von Informationsrisiken – Wie geht der ISB mit diesen um? – Handlungsempfehlungen
• Informationsverbund: Methodik zur Feststellung des Schutzbedarfs – Ableitung der Soll-Maßnahmen in den Schutzbedarfskategorien
• IDV mit angemessenen Prozessen unter Berücksichtigung des Schutzbedarfs – Identifikation und Dokumentation von IDV-Anwendungen in Zusammenarbeit mit den Fachabteilungen
• Auslagerungen und sonstiger Fremdbezug – Einbindung der Funktion Informationssicherheit ins Auslagerungsmanagement

15:30 – 17:00 Uhr

BAIT aus Sicht der (IT-)Revision – Vorgehensweisen, Anforderungen, Konsequenzen und Handlungsempfehlungen der dritten Verteidigungslinie

• IT-Strategie und Revisionsstrategie: Zweck, Spielarten, Qualitätsanforderungen
• Zwischen Prüfungsprozess und -Inhalt: Stolpersteine und Chancen, Einblicke in die Praxis
• Unmittelbare Handlungsfelder für die IT-Revision: Themenpriorisierung, Herangehensweisen und Praxiseindrücke
• Konsequenzen aus den BAIT für die Revisionspraxis: Wie stellt sich die IT-Revision angesichts der Erwartungen „richtig“ auf?
• Herausforderungen und mögliche Lösungen für die Zukunft der Revision