COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Suche verfeinern

Nutzen Sie die Filter, um Ihre Suchanfrage weiter zu verfeinern.

Ihre Auswahl

… nach Suchfeldern

… nach Jahr

Alle Filter entfernen

Suchergebnisse

15 Treffer, Seite 1 von 2, sortieren nach: Relevanz Datum
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Identitäts- und Rechtemanagement

    Axel Becker
    …75 6. Identitäts- und Rechtemanagement Das Identitäts- und Rechtemanagement hat alle Vorgaben der Informations- sicherheit und der MaRisk… …, insbesondere der internen Kontrollen (wie Identi- tätsprüfung), des Funktionsumfangs (Prinzip der minimalen Berechtigun- gen) und fachliche Vorgaben (wie die… …„Aufbau- und Ablauforganisation“, AT 7.2 „Technisch-organisatorische Ausstattung“ und BTO „Anforderungen an die Aufbau- und Ablauforganisation“ verteilt… …. Need-to-know- und Least-Privilege-Prinzip Nach AT 4.3.1 Tz. 2 MaRisk sind Berechtigungen und Kompetenzen nach dem Sparsamkeitsgrundsatz (Need-to-know und… …Least-Privilege-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regel- mäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeich-… …nungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei… …Zusammenfassung von Berechtigungen in einem Rollenmodell ist dabei möglich. Die Eignung der IT- Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich… …und technisch zuständigen Mitarbeitern zu überprüfen. Die eingerichteten Be- rechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung… …von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rah- 6.1 Ein Identitäts- und Rechtemanagement stellt sicher, dass den Benutzern… …eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

    Axel Becker
    …113 9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Die folgenden Ausführungen beschreiben die Anforderungen an die Auslage-… …rungen und den sonstigen Fremdbezug von IT-Dienstleistungen. Die wesentlichen Vorgaben aus den MaRisk wurden hier nahtlos übernom- men. Als… …Prüfungshinweis für die Interne Revision ist zu entnehmen, dass im Rahmen von MaRisk-Prüfungen des Outsourcings die IT-relevanten Auslage- rungen mit geprüft und… …Outsourcing. Risikobewertung Art und Umfang einer Risikobewertung kann das Institut unter Proportiona- litätsgesichtspunkten nach Maßgabe seines allgemeinen… …. Die für die Informationssicherheit und das Notfallmanagement verantwortli- chen Funktionen des Instituts werden eingebunden.98) 9.1… …Software) und deren Ange- bot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte Schnittstellen sowie Protokolle erfolgen… …Fremdbezug von IT-Dienstleistungen vorab eine Risikobe- wertung durchzuführen. 9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen 114… …nagement, zum Informationssicherheitsmanagement und zum Notfallma- nagement, die im Regelfall den Zielvorgaben des Instituts entsprechen. Bei Relevanz wird… …auch die Möglichkeit eines Ausfalls eines IT-Dienstleisters be- rücksichtigt und eine diesbezügliche Exit- bzw. Alternativ-Strategie entwi- ckelt und… …berücksichtigen. Die Ergebnisse der Risikobewertung sind in angemessener Art und Weise im Managementprozess des operationellen Risikos, vor allem im Bereich der…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Projekte, Anwendungsentwicklung

    Axel Becker
    …85 7. IT-Projekte, Anwendungsentwicklung In diesem Kapitel werden die Anforderungen aus den MaRisk und BAIT im Zusammenhang mit der Verwaltung und… …Steuerung von IT-Projekten und der Anwendungsentwicklung vorgestellt. In AT 7.2 Tz. 3 MaRisk wird gefordert, dass IT-Systeme vor ihrem erstmali- gen Einsatz… …und nach wesentlichen Veränderungen zu testen und von den fachlich sowie von den technisch zuständigen Mitarbeitern abzunehmen sind. Hierfür ist ein… …Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren.65) Diese An- forderungen gelten gemäß… …Kritikalität der unterstützten Geschäftsprozesse und die Be- deutung der Anwendungen für diese Prozesse zu beachten. IT-Aufbau- und Ablauforganisation Vor… …wesentlichen Veränderungen in der Aufbau- und Ablauforganisation so- wie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Ver- änderungen auf… …die Kontrollverfahren und die Kontrollintensität zu analysie- ren.66) Die Anforderungen an Organisation und Steuerung von IT-Projekten in der BAIT… …IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungs- analyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im… …Hinblick auf den erst- maligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5)… …organisatorischen Grundlagen für IT-Projekte und die Kriterien für deren Anwendung sind zu regeln. 7. IT-Projekte, Anwendungsentwicklung 86 Folgende…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Governance

    Axel Becker
    …Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der da- zugehörigen IT-Prozesse auf Basis der IT-Strategie. Hierfür maßgeblich… …sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisa- tion (vgl. AT 4.3.1 MaRisk), zum Informationsrisiko- sowie Informationssi-… …cherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk)… …sowie zum Umfang und zur Qualität der technisch/ organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk). Regelungen für die IT-Aufbau- und… …IT-Ablauforganisation sind bei Veränderungen der Ak- tivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tzn. 1 und 2 Ma- Risk). Grundlagen der IT-Governance •… …Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT 4.3.1 MaRisk) • Regelungen zum Informationsrisiko- und Informationssicherheitsma- nagement (vgl… …. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk) • Regelungen zur quantitativ und qualitativ angemessenen Personalaus- stattung der IT (vgl. AT 7.1… …MaRisk) • Regelungen zum Umfang und zur Qualität der technisch-organisatori- schen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk) 27) Vgl. Tz. 3 BAIT. 2… …das Infor- mationsrisiko und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet… …erkannt und möglichst umgehend behoben werden kann. Aus demselben Grund ent- halten die BAIT die Anforderung, unvereinbare Tätigkeiten innerhalb der IT-…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Notfallmanagement

    Axel Becker
    …119 10. IT-Notfallmanagement Die Ausführungen zum IT-Notfallmanagement waren mehrfach angekündigt und sind nun in die BAIT aufgenommen worden… …. IT-Notfallplanung Die IT-Notfallplanung spezifiziert und ergänzt die in den MaRisk aufgeführte Notfallplanung für die Belange der IT. Dies ist auch sinnvoll und… …notwendig, denn die IT spielt im Rahmen der weiteren Digitalisierung der Banken und Finanzdienstleistungsunternehmen eine wesentliche Rolle. Wesentliche Pro-… …Funktion von organisatorischen Leitplanken für das IT-Notfallmanagement. 10.1 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus… …abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfall- konzept). Die… …Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Im Fall der Auslagerung von zeitkriti- schen Aktivitäten und Prozessen haben das… …auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzep- te zu verfügen (vgl. AT 7.3 Tz. 2 MaRisk). Die Wirksamkeit und… …Angemes- senheit des Notfallkonzeptes sind regelmäßig zu überprüfen. Für zeitkriti- sche Aktivitäten und Prozesse ist sie für alle relevanten Szenarien… …mindestens jährlich und anlassbezogen nachzuweisen (vgl. AT 7.3 Tz. 3 MaRisk). 10.2 Die Ziele und Rahmenbedingungen des IT-Notfallmanagements sind auf Basis… …Fachabteilungen sollen diese als wirkungsvolle Orientie- rungshilfe dienen. IT-Notfallpläne IT-Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationsrisikomanagement

    Axel Becker
    …Schutzbedarf nach den unterschiedlichen Schutzbedarfsklassen zu ermitteln, auf dieser Grundlage Sollmaßnahmen festzulegen und diese mit den wirksam umgesetzten… …Maßnahmen zu vergleichen. Die daraus abgeleite- te Transparenz der IT-Risikosituation und die Akzeptanz des ermittelten IT- Restrisikos durch die… …Geschäftsleitung ist die zentrale Anforderung zur Schärfung des IT-Risikobewusstseins im Institut und gegenüber IT-Dienst- leistern.33) Zusammengefasst benötigen… …die Institute funktionsfähige IT-Prozesse und ein funktionsfähiges IT-Management für die betriebsinternen Informations- risiken. 3.1 Die… …Informationsverarbeitung und -weitergabe in Geschäfts- und Service- prozessen wird durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt. Deren Umfang… …und Qualität hat sich insbesonde- re an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren (vgl. AT… …7.2 Tz. 1 MaRisk). IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informations- verbundes müssen die Integrität, die… …Informationsrisiken ver- bundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen (vgl. AT… …4.3.1 Tz. 2 MaRisk). Hierfür hat das Institut angemessene Überwa- chungs- und Steuerungsprozesse einzurichten (vgl. AT 7.2 Tz. 4 MaRisk) und… …Systems zum Management der Informationsrisiken sind unter Mitwirkung aller maßgeblichen Stellen und Funktionen kompe- tenzgerecht und frei von…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    MaRisk AT 7.3: Notfallkonzept

    Axel Becker
    …die Institute eine wirksame und auch funk- tionsfähige Vorsorge für den Notfall getroffen haben. Damit die Notfallmaß- nahmen auch in der Praxis… …zielführend sind, haben regelmäßige Notfalltests stattzufinden. Wichtig ist auch eine ausreichende Dokumentation der Tests, die bei internen und externen… …. Die Aufsicht spezifiziert die wesentlichen Begriffe in ihren Erläuterungen. Zeitkritische Aktivitäten und Prozesse Zeitkritisch sind jene Aktivitäten… …und Prozesse, bei deren Beeinträchtigung für definierte Zeiträume ein nicht mehr akzeptabler Schaden für das Institut zu erwarten ist. Zur… …Identifikation von zeitkritischen Aktivitäten und Pro- zessen sowie von unterstützenden Aktivitäten und Prozessen, hierfür not- wendigen IT-Systemen und sonstigen… …notwendigen Ressourcen sowie der potenziellen Gefährdungen führt das Institut Auswirkungsanalysen und Ri- sikoanalysen durch. Als Basis hierfür dient eine… …Übersicht über alle Aktivitä- ten und Prozesse (z.B. in Form einer Prozesslandkarte).124) Auswirkungsanalysen In Auswirkungsanalysen (Business Impact… …Analysen) wird über abgestufte Zeiträume betrachtet, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann… …. Die Auswirkungs- MaRisk AT 7.3, Tz. 1 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess… …festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfall- konzept). Die im Notfallkonzept festgelegten Maßnahmen…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    MaRisk AT 7.2: Technisch-organisatorische Ausstattung

    Axel Becker
    …cherstellen, dass die Erfordernisse der MaRisk auf Basis der verfügbaren IT- Systeme und -Ausstattungen eingehalten werden können.119) Die Anforderung… …beispielsweise systemrelevante Institute (Groß- banken). Die Interne Revision sollte im Rahmen ihrer Prüfungen auch eine Einstufung und Beurteilung der… …Angemessenheit der technisch-organisatorischen Aus- stattung vornehmen. MaRisk AT 7.2 Tz. 1 Umfang und Qualität der technisch-organisatorischen Ausstattung haben… …MaRisk – Bearbeitungs- und Prüfungsleitfaden, 3. Auflage, Becker, A. /Berndt, M. /Klein, J. (Hrsg.), Heidelberg 2013, S. 181. MaRisk AT 7.2, Tz. 2 Die… …IT-Systeme (Hardware- und Software-Komponenten), die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die… …Verfügbarkeit, die Authentizität sowie die Vertraulich- keit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der… …in einem Rollenmodell ist mög- lich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regel- mäßig von den fachlich und technisch… …gehören beispielsweise geschäftsrelevante In- formationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zu- gehörigen IT-Prozesse sowie Netz-… …und Gebäudeinfrastrukturen.120) Standards zur Ausgestaltung der IT-Systeme Zu solchen Standards zählen z.B. der IT-Grundschutz des Bundesamtes für… …Sicherheit in der Informationstechnik (BSI) und die internationalen Sicher- heitsstandards ISO/IEC 270XX der International Organization for Standardi- zation…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationssicherheitsmanagement

    Axel Becker
    …49 4. Informationssicherheitsmanagement In AT 7.2 Tz. 2 MaRisk werden Anforderungen an die IT-Systeme und die zu- gehörigen IT-Prozesse gestellt… …. Dabei sind die Integrität, die Verfügbarkeit, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. Bei der Ausgestaltung der IT-Systeme… …und IT-Prozesse verweisen die MaRisk auf gängige Standards wie z.B. die IT-Grundschutz-Standards und -Kataloge41) des Bundesamts für Sicherheit in der… …Informationstechnik (BSI) und die internationalen Sicherheitsstandards ISO/IEC 2700X der International Organization for Standardization. Insbesondere der BSI-Standard… …200-1 „Managementsysteme für Informationssicherheit (ISMS)“ beschreibt, wie ein Informationssicherheitsmanagementsystem aufgebaut und wirkungsvoll ein-… …, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit. Verantwortlich für die Einrichtung der unterneh- mensweiten Informationssicherheit ist… …die Geschäftsleitung. Der Informati- onssicherheitsbeauftragte ist für die operative Umsetzung des ISMS zustän- dig und hat die Geschäftsleitung… …Informati- onssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fort-… …laufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichts- pflichten des… …Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk. 41) Vgl. BSI IT-Grundschutz-Standards und
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Einleitung

    Axel Becker
    …für das Mana- gement von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in die BAIT. Das Kürzel IKT steht für Informations- und… …sich bei den Neuerungen um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt.2) Für die Institute… …Neufassung Wesentlicher Grund für die Neufassung der BAIT war letztlich die Veröffent- lichung der „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ im… …sind die beiden Kapitel „Operative Informationssicherheit“ und „IT- Notfallmanagement“ neu entstanden. Neue Inhalte sind hierbei Anforderun- gen zur… …Überwachung der Informationssicherheit, zur Kontrolle der Wirk- samkeit von Informationssicherheitsmaßnahmen und zur Konkretisierung des AT 7.3 MaRisk… …(Notfallmanagement) im Zusammenhang mit zeitkriti- schen Prozessen und Aktivitäten. Ergänzt wurden weiterhin Verantwortlich- keiten und Kontrollen für das… …Informationsrisikomanagement und Anforde- rungen zur physischen Informationssicherheit.3) 1) Vgl. BaFin – BAIT-Novelle vom 16. 8. 2021. 2) Vgl. BaFin – BAIT-Novelle 2021… …Kapitel 5 „Benutzerberechtigungsma- nagement“ in die zwei neuen Kapitel 5 „Operative Informationssicherheit“ und Kapitel 6 „Identitäts- und… …und Wirksamkeit der Maßnahmen zum Schutz der Infor- mationen, welche zukünftig zu planen und durchzuführen sind. Das Informa- tionssicherheitsmanagement… …IT-Komponenten. Weiterhin ist auch die Verbesserung bestehender und die Etablierung zusätzlicher IT-Betriebs- prozesse, etwa zur Steuerung von Verfügbarkeit und
    Alle Treffer im Inhalt anzeigen
zurück 1 2 weiter ►

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2026 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance