COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Suche verfeinern

Nutzen Sie die Filter, um Ihre Suchanfrage weiter zu verfeinern.

Ihre Auswahl

… nach Suchfeldern

… nach Dokumenten-Typ

Alle Filter entfernen

Suchergebnisse

517 Treffer, Seite 38 von 52, sortieren nach: Relevanz Datum
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Strategie

    Axel Becker
    …Geschäftsstrategie sind sowohl exter- ne Einflussfaktoren, wie z.B. die Marktentwicklung, die Wettbewerbssituati- on sowie das regulatorische Umfeld, als auch interne… …, (b) Zuordnung der gängigen Standards, an denen sich das Institut orien- tiert, auf die Bereiche der IT und der Informationssicherheit, (c) Ziele… …auch in den strategischen Ausfüh- rungen zu Auslagerungen enthalten sein.22) Zuordnung der gängigen Standards, an denen sich das Institut orientiert… …, auf die Bereiche der IT und der Informationssicherheit Auswahl der gängigen Standards und Um- setzung auf die IT-Prozesse und das Informa-… …Informationssicherheit in die Fach- bereiche und in das jeweilige Zusammenarbeitsmodell mit den IT-Dienst- leistern. Dies beinhaltet auch grundlegende Aussagen zur… …Wettbewerbssituation, das regulatorische Umfeld, interne Einflussfaktoren wie z.B. die interne Beurteilung der Informationssicherheit, des IT-Schutzbedarfs, der… …Standards, an denen sich das Institut orientiert, auf die Bereiche der IT und der Informationssicherheit (c) Ziele, Zuständigkeiten und Einbindung der… …das Informationssicherheitsmanagement des Instituts sowie Darstellung des avisierten Implementierungsumfangs der jeweiligen Standards? 11 Ist… …das je- weilige Zusammenarbeitsmodell mit den IT-Dienstleis- tern enthalten? (Dies umfasst auch grundlegende Aussagen zur Schu- lung und…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Governance

    Axel Becker
    das Infor- mationsrisiko und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet… …sind. Dies ist aus Sicht der Aufsicht wichtig, damit das Risiko einer qualitati- ven oder quantitativen Unterausstattung dieser Bereiche frühzeitig… …Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. 2.3 Das Institut hat insbesondere das… …Informationsrisikomanagement, das In- formationssicherheitsmanagement, den IT-Betrieb und die Anwendungs- entwicklung quantitativ und qualitativ angemessen mit Ressourcen aus-… …Der Internen Revision kommt die Aufgabe zu, im Rahmen von Prüfungen das Vorhandensein und die Funktionsweise der IT-Governance zu prüfen. Hierbei ist… …zur Qualität der technisch-organisatorischen Ausstattung. Bei der Um- setzung des Grundsatzes der IT-Governance orientiert sich das Institut an den… …. IT-Governance 31 Angemessene quantitative und qualitative Personalausstattung Weiterhin sorgt das Institut dafür, dass das Informationsrisikomanagement, das… …ist es das Ziel, eine ange- messene technisch-organisatorische Ausstattung für die Mitarbeiter des Ins- tituts bereitzuhalten. Vorgaben zur quantitativ… …qualifiziertes Personal am Markt akquiriert. Weiterhin bildet das Institut Nachwuchskräfte aus. • Das Institut hat im Rahmen der Aus- und Weiterbildung die… …IT-Sicherheit durchgeführt. Hierfür hat das Institut ausreichend Budgets sowie Schulungs- und Fortbildungszeiten zur Verfügung (vgl. Ausführungen in der…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationsrisikomanagement

    Axel Becker
    …41 3. Informationsrisikomanagement Schutzbedarfsermittlung Das Institut hat im Rahmen des Managements der Informationsrisiken den jeweiligen… …Verfügbarkeit, die Authentizität so- wie die Vertraulichkeit der Daten sicherstellen (vgl. AT 7.2 Tz. 2 MaRisk). Das Institut hat die mit dem Management der… …4.3.1 Tz. 2 MaRisk). Hierfür hat das Institut angemessene Überwa- chungs- und Steuerungsprozesse einzurichten (vgl. AT 7.2 Tz. 4 MaRisk) und… …werden müssen. Auch hierbei ist auf eine saubere und vollständige Aufnahme zu achten. 3.3 Das Institut hat über einen aktuellen Überblick über die… …Bestandteile des festgelegten Informationsverbunds sowie deren Abhängigkeiten und Schnittstellen zu verfügen. Das Institut sollte sich hierbei insbesondere an… …Fachbereichen erhoben werden (First-Line- of-Defense), hat die Aufsicht zur Quantifizierung/Plausibilisierung diese In- terne Kontrollfunktion durch das… …auch für das Reporting der IT-Risiken an die Geschäftsleitung. Sollmaßnahmenkatalog Der Sollmaßnahmenkatalog enthält lediglich die Anforderung, nicht… …3.4 Das Institut hat regelmäßig und anlassbezogen den Schutzbedarf für die Bestandteile seines definierten Informationsverbundes, insbesondere im… …verantwortet die Ermittlung des Schutzbedarfs. 3.5 Die Schutzbedarfsfeststellung sowie die zugehörige Dokumentation sind durch das… …Informationsrisikomanagement zu überprüfen. 3.6 Das Institut hat Anforderungen zu definieren, die zur Erreichung des je- weiligen Schutzbedarfs angemessen sind, und diese in…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationssicherheitsmanagement

    Axel Becker
    …auch eine monatliche, wöchent- liche oder sogar tägliche Berichterstattung notwendig sein. 4.1 Das Informationssicherheitsmanagement macht Vorgaben zur… …Informati- onssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fort-… …informationssicherheits- relevante Sachverhalte, die das Institut betreffen. • Die Funktion des Informationssicherheitsbeauftragten wird von den Be- reichen getrennt, die… …Informationssicherheitsmanagements durch die Interne Revision sollten folgende Punkte im Zusammenhang mit Informationssicher- heitsvorfällen geklärt werden: • Wie ist das Vorgehen… …Informationssicherheitsvorfälle gab es in der Vergangenheit und wie zeitnah wurden diese behoben? 49) Vgl. Erläuterungen zu 4.7 BAIT. 4.8 Das Institut hat eine Richtlinie über… …das Testen und Überprüfen der Maß- nahmen zum Schutz der Informationssicherheit einzuführen und diese regelmäßig und anlassbezogen zu überprüfen und bei… …Bedarf anzupassen. 4. Informationssicherheitsmanagement 56 Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der… …Instituts, • Kategorien von Test- und Überprüfungsobjekten (z.B. das Institut, IT-Sys- teme, Komponenten), • Art, Umfang und Frequenz von Tests und… …Überprüfungen, • Zuständigkeiten und Regelungen zur Vermeidung von Interessenkonflik- ten.50) Beispiel: Richtlinie über das Testen und Überprüfen der Maßnahmen… …in der Erläuterung zu 4.8 der BAIT ori- entiert ist. Vorspann zur allgemeinen Bedrohungslage Hierbei sollte das Institut eine kurze verbale…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Operative Informationssicherheit

    Axel Becker
    …69 5. Operative Informationssicherheit Das Kapitel Operative Informationssicherheit wurde neu in die BAIT einge- fügt. Hierbei sollen die… …entsprechender Maß- nahmen zur Risikobehandlung und -minderung umfassen (vgl. AT 7.2 Tz. 4 MaRisk). 5.2 Das Institut hat auf Basis der… …Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen (vgl. AT 7.2 Tz. 4 MaRisk)? 4 Hat das… …bei Transport und Speiche- rung geschützt und für eine angemessene Zeit zur späte- ren Auswertung zur Verfügung gestellt? 9 Verfügt das Institut über… …12 Ist der Zeitraum entsprechend der Bedrohungslage be- messen? 13 Verfügt das Institut über ein angemessenes Portfolio an Regeln zur Identifizierung… …Wirksamkeit geprüft und weiterentwi- ckelt werden? 16 Stellt das Institut in Form von Routinen (Regeln) fest, ob vermehrt nicht autorisierte Zugriffsversuche… …Stellt das Institut sicher, dass Ergebnisse hinsichtlich notwendiger Verbesserungen analysiert und Risiken an- gemessen gesteuert werden? 22 Richten sich…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Identitäts- und Rechtemanagement

    Axel Becker
    …75 6. Identitäts- und Rechtemanagement Das Identitäts- und Rechtemanagement hat alle Vorgaben der Informations- sicherheit und der MaRisk… …Beschränkung auf „Need-to-know“) zu berücksichtigen. Die Anforderungen an das Benutzerberechtigungsmanagement sind in den MaRisk auf die Kapitel AT 4.3.1… …eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Das… …das Identitäts- und Berechtigungsmanagement im Institut zu- ständig? • Wie ist sichergestellt, dass das Identitäts- und Berechtigungsmanagement an… …allen Veränderungen der System- und Anwendungslandschaft des Ins- titutes beteiligt ist? • Wie ist sichergestellt, dass das Identitäts- und… …eine eindeutige Zuordnung nicht möglich ist. Eine große Herausforderung für das Identitäts- und Berechtigungsmanage- ment ist es, alle personalisierten… …, Deaktivierung sowie Löschung von Berechti- gungen und die Rezertifizierung sind nachvollziehbar und auswertbar zu dokumentieren. 6.7 Das Institut hat nach… …Berechtigungen nur wie vorgesehen ein- gesetzt werden. Aufgrund der damit verbundenen weitreichenden Ein- griffsmöglichkeiten hat das Institut insbesondere für die… …Benutzerberechtigungsmanagement. Nr. Revisionsseitige Fragestellungen Erfüllt 1 Stellt das Identitäts- und Rechtemanagement sicher, dass den Benutzern eingeräumte Berechtigungen… …so aus- gestaltet sind und genutzt werden, wie es den organisa- torischen und fachlichen Vorgaben des Instituts ent- spricht? 2 Erfüllt das
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Projekte, Anwendungsentwicklung

    Axel Becker
    …wesentlichen Veränderungen in der Aufbau- und Ablauforganisation so- wie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Ver- änderungen auf… …verlegt. Bei- spiele für Vorgehensmodelle in der Softwareentwicklung sind das V-Modell68) und Scrum.69) Beispielsweise kann die Entscheidung über den… …(https://de.wikipedia.org/wiki/V-Modell). 69) Vgl. Wikipedia Artikel „Scrum“ (https://de.wikipedia.org/wiki/Scrum). 7.4 Das Portfolio der IT-Projekte ist angemessen zu überwachen und zu… …• Wie werden Projektrisiken im Risikomanagement berücksichtigt? In den Abschnitten 7.6 bis 7.7 der BAIT wird das Thema Anwendungsent- wicklung… …ermittelt werden. 7.11 Es ist eine Methodik für das Testen von Anwendungen vor ihrem erstma- ligen Einsatz und nach wesentlichen Änderungen zu definieren… …Prüfungen der Internen Revision in Fachbereichen sollte das Thema IDV ebenfalls immer ein fester Bestandteil sein. Dabei sind die wesentlichen IDV-… …Anwendungsentwicklungsprozesses zu erstellen- den Fach- und DV-Konzepte hat das Institut keinerlei Mindeststandards definiert. • Das Kontrollsystem war unvollständig; es wurden… …Veränderungen von IT-Systemen die Anfor- derungen des AT 7.2 erfüllt? 3 Hat das Institut die organisatorischen Grundlagen für IT-Projekte und die Kriterien für… …jeweiligen Vorgehensmo- dells gekoppelt? 7 Wird das Portfolio der IT-Projekte angemessen über- wacht und gesteuert? 8 Wird dabei berücksichtigt, dass auch… …, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvoll- ziehbar sichergestellt werden? 21 Hat das Institut hierfür geeignete Vorkehrungen getrof-…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Betrieb

    Axel Becker
    …Geschäftsstrategie und IT-Strategie sein. 90) Vgl. Erläuterungen zu 8.2 BAIT. 8.3 Das Portfolio aus IT-Systemen bedarf der Steuerung. IT-Systeme sollten regelmäßig… …aus der ITIL und hat das Ziel, standardisierte Methoden und Verfahren zur Durchführung von Änderungen an IT-Systemen zu definieren… …Informations- grundlage für das Change-Management ist die CMDB. In den Erläuterungen zu 8.5 werden einige Handlungsempfehlungen für eine sichere Umsetzung von… …IT-Systeme (insbesondere auch das Netzwerk und die vor- und nachgelagerten IT-Systeme), auch im Hinblick auf mögliche Sicherheits- oder Kompatibilitätsprobleme… …Änderungen oder der nachgelagerten Kontrolle).92) In 8.6 der BAIT werden die Anforderungen an das Incident-Management (Störungsmanagement) konkretisiert… …auch die Angemessenheit der Bewertung und Priorisierung, ist zu überwachen und zu steuern. Das Institut hat geeignete Kriterien für die Information der… …dauerhaft sichere Datenlagerung geeignet sind. Für die Nutzung von Da- tensicherung in Form von Cloudlösungen ist auf das Merkblatt der BaFin so- wie die… …umfasst, die bzw. der kein Cloud-Anbieter ist, aber in erheblichem Maße auf einen Cloud-Anbieter zurückgreift, um eine Funkti- on wahrzunehmen, die das… …die hierzu erfassten Bestandsangaben re- gelmäßig sowie anlassbezogen aktualisiert werden? 3 Führt das Institut folgende Bestandsangaben: • Bestand und… …. nicht mehr vom Hersteller unterstützten IT-Systemen berücksich- tigt (Lebenszyklus-Management)? 7 Hat das Institut die Prozesse zur Änderung von IT-Sys-…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

    Axel Becker
    …Outsourcing. Risikobewertung Art und Umfang einer Risikobewertung kann das Institut unter Proportiona- litätsgesichtspunkten nach Maßgabe seines allgemeinen… …. Die für die Informationssicherheit und das Notfallmanagement verantwortli- chen Funktionen des Instituts werden eingebunden.98) 9.1… …(Cloud-Dienstleis- tungen). Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienst- leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der… …angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk). 9.2 Wegen der grundlegenden Bedeutung der IT für das Institut ist auch für jeden sonstigen… …IT-Sicherheitsbeauftragten an den IT-Dienstleister basieren auf keiner vertraglichen Grundlage. • Das Institut hat mehrere Fremddienstleistungsbezüge nicht als Auslage- rung… …im aufsichtlichen Sinne identifiziert und folglich nicht als solche be- handelt. • Das Institut enthält vonseiten des externen Dienstleisters keine… …12 – 01/2018, Heidelberg 2018, S. 232. Nr. Revisionsseitige Fragestellungen Erfüllt 1 Hat das Institut sichergestellt, dass bei Auslagerungen von… …erfolgen (Cloud-Dienstleistungen), die Anforderungen nach AT 9 MaRisk? 7 Beachtet das Institut hat auch beim sonstigen Fremd- bezug von IT-Dienstleistungen… …geschuldeten Leistung beim sonstigen Fremdbezug von IT-Dienstleis- tungen entsprechend der Risikobewertung überwacht? 12 Hält das Institut dabei eine… …Verträgen des sonstigen Fremdbe- zugs von IT-Dienstleistungen (Vertragsportfolio)? 14 Hat das Institut die aus der Risikobewertung zum sons- tigen Fremdbezug…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Notfallmanagement

    Axel Becker
    …Funktion von organisatorischen Leitplanken für das IT-Notfallmanagement. 10.1 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus… …im Notfallkonzept festgelegten Maßnahmen müssen dazu ge- eignet sein, das Ausmaß möglicher Schäden zu reduzieren (vgl. AT 7.3 Tz. 1 MaRisk). Das… …Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen. Im Fall der Auslagerung von zeitkriti- schen Aktivitäten und Prozessen haben das… …auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzep- te zu verfügen (vgl. AT 7.3 Tz. 2 MaRisk). Die Wirksamkeit und… …Abhängigkeiten von externen Faktoren (Gesetzgeber, Anteilseigner, Öf- fentlichkeit etc.).103) 10.3 Das Institut hat auf Basis des Notfallkonzepts für IT-Systeme… …zept zu erstellen. 103) Vgl. Erläuterungen zu Tz. 10.3 BAIT. 10. IT-Notfallmanagement 121 IT-Testkonzept Das IT-Testkonzept beinhaltet sowohl… …Fragen für die Prüfung zu- sammen. 104) Vgl. Erläuterungen zu Tz. 10.4 BAIT. Tz. 10.5 Das Institut hat nachzuweisen, dass bei Ausfall eines… …Wiederherstellung des IT-Normalbetriebs erbracht werden können. Nr. Revisionsseitige Fragestellungen Erfüllt 1 Hat das Institut hat Ziele zum Notfallmanagement… …Aktivitäten und Prozessen Vorsorge getroffen worden? 10. IT-Notfallmanagement 122 3 Sind die im Notfallkonzept festgelegten Maßnahmen dazu geeignet, das… …Ausmaß möglicher Schäden zu redu- zieren (vgl. AT 7.3 Tz. 1 MaRisk)? 4 Umfasst das Notfallkonzept Geschäftsfortführungs- so- wie Wiederherstellungspläne?…
    Alle Treffer im Inhalt anzeigen
◄ zurück 36 37 38 39 40 weiter ►

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2026 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance