COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Suche verfeinern

Nutzen Sie die Filter, um Ihre Suchanfrage weiter zu verfeinern.

Ihre Auswahl

… nach Suchfeldern

… nach Dokumenten-Typ

Alle Filter entfernen

Suchergebnisse

526 Treffer, Seite 39 von 53, sortieren nach: Relevanz Datum
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Informationssicherheitsmanagement

    Axel Becker
    …49 4. Informationssicherheitsmanagement In AT 7.2 Tz. 2 MaRisk werden Anforderungen an die IT-Systeme und die zu- gehörigen IT-Prozesse gestellt… …. Dabei sind die Integrität, die Verfügbarkeit, die Authentizität und die Vertraulichkeit der Daten sicherzustellen. Bei der Ausgestaltung der IT-Systeme… …und IT-Prozesse verweisen die MaRisk auf gängige Standards wie z.B. die IT-Grundschutz-Standards und -Kataloge41) des Bundesamts für Sicherheit in der… …Informationstechnik (BSI) und die internationalen Sicherheitsstandards ISO/IEC 2700X der International Organization for Standardization. Insbesondere der BSI-Standard… …gesetzt werden kann. Ziele des Informationssicherheitsmanagements Ziele des Informationssicherheitsmanagements sind die Definition, Steue- rung, Kontrolle… …, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit. Verantwortlich für die Einrichtung der unterneh- mensweiten Informationssicherheit ist… …die Geschäftsleitung. Der Informati- onssicherheitsbeauftragte ist für die operative Umsetzung des ISMS zustän- dig und hat die Geschäftsleitung… …laufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichts- pflichten des… …Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk. 41) Vgl. BSI IT-Grundschutz-Standards und… …-Kataloge (https://www.bsi.bund.de/). 4. Informationssicherheitsmanagement 50 Informationssicherheitsleitlinie Die Informationssicherheitsleitlinie…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Operative Informationssicherheit

    Axel Becker
    …69 5. Operative Informationssicherheit Das Kapitel Operative Informationssicherheit wurde neu in die BAIT einge- fügt. Hierbei sollen die… …. Anforderungen an die operative Informationssicherheit Die Anforderungen an die operative Informationssicherheit setzen für die IT- Systeme, die zugehörigen… …Anforderungen. Es geht hier insbesondere um die Funktionsfähigkeit der internen Kontrollsysteme in den einzelnen Insti- tuten. Dies ist auch für die Interne… …Revision ein wichtiger Ansatzpunkt und Inhalt der IT-Prüfungen. Die Folgeabschnitte führen die bankaufsichtsrecht- lichen Anforderungen im Einzelnen auf… …. 5.1 Die operative Informationssicherheit setzt die Anforderungen des Informa- tionssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Pro- zesse… …und sonstige Bestandteile des Informationsverbundes müssen die In- tegrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten… …. AT 7.2 Tz. 2 MaRisk). Für IT-Risiken sind an- gemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von… …IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutz- maßnahmen für den IT-Betrieb sowie die Festlegung… …. Protokolldaten, Mel- dungen und Störungen, welche Hinweise auf Verletzung der Schutzziele ge- ben können. Regelbasierte Auswertungen Die regelbasierte Auswertung… …sicher- heitsrelevanter Ereignisse zu definieren. Regeln sind vor Inbetriebnahme zu testen. Die Regeln sind regelmäßig und anlassbezogen auf Wirksamkeit zu…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Identitäts- und Rechtemanagement

    Axel Becker
    …, insbesondere der internen Kontrollen (wie Identi- tätsprüfung), des Funktionsumfangs (Prinzip der minimalen Berechtigun- gen) und fachliche Vorgaben (wie die… …Beschränkung auf „Need-to-know“) zu berücksichtigen. Die Anforderungen an das Benutzerberechtigungsmanagement sind in den MaRisk auf die Kapitel AT 4.3.1… …„Aufbau- und Ablauforganisation“, AT 7.2 „Technisch-organisatorische Ausstattung“ und BTO „Anforderungen an die Aufbau- und Ablauforganisation“ verteilt… …Least-Privilege-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen. Dies beinhaltet auch die regel- mäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeich-… …nungsberechtigungen und sonstigen eingeräumten Kompetenzen innerhalb angemessener Fristen. Die Fristen orientieren sich dabei an der Bedeutung der Prozesse und, bei… …IT-Berechtigungs- vergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die… …Zusammenfassung von Berechtigungen in einem Rollenmodell ist dabei möglich. Die Eignung der IT- Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich… …und technisch zuständigen Mitarbeitern zu überprüfen. Die eingerichteten Be- rechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung… …Identitäts- und Rechtemanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2 sowie BTO Tz. 9 der MaRisk zu erfüllen. Jeg- liche Zugriffs-, Zugangs-… …vermieden werden. In BTO Tz. 9 wird gefordert, dass die Benutzerberichtigungen immer mög- lichst restriktiv sind. Außerdem sind bei personellen Veränderungen…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Projekte, Anwendungsentwicklung

    Axel Becker
    …85 7. IT-Projekte, Anwendungsentwicklung In diesem Kapitel werden die Anforderungen aus den MaRisk und BAIT im Zusammenhang mit der Verwaltung und… …Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren.65) Diese An- forderungen gelten gemäß… …AT 7.2 Tz. 5 MaRisk auch für durch die Fachberei- che selbst entwickelte Anwendungen (Individuelle Datenverarbeitung, IDV). Hierbei sind die… …Kritikalität der unterstützten Geschäftsprozesse und die Be- deutung der Anwendungen für diese Prozesse zu beachten. IT-Aufbau- und Ablauforganisation Vor… …wesentlichen Veränderungen in der Aufbau- und Ablauforganisation so- wie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Ver- änderungen auf… …die Kontrollverfahren und die Kontrollintensität zu analysie- ren.66) Die Anforderungen an Organisation und Steuerung von IT-Projekten in der BAIT… …werden in den Tzn. 32 bis 35 konkretisiert. 7.1 Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Pro- jekten, deren Auswirkung auf die… …IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungs- analyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im… …Hinblick auf den erst- maligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5)… …MaRisk, AT 8.2 Tz. 1 MaRisk sowie AT 8.3 Tz. 1 MaRisk zu erfüllen. 65) Vgl. AT 7.2 Tz. 3 MaRisk. 66) Vgl. AT 8.2 Tz. 1 MaRisk. 7.2 Die
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Betrieb

    Axel Becker
    …101 8. IT-Betrieb In diesem Kapitel werden die Anforderungen aus den MaRisk und BAIT an den IT-Betrieb betrachtet. Die BAIT liefert dabei konkrete… …Datensicherung. Gemäß AT 7.2 Tz. 1 MaRisk muss sich der Umfang und die Qualität der tech- nisch-organisatorischen Ausstattung an den betriebsinternen Erfordernis-… …Prozessen auf die Verwendung gängiger Standards verwiesen. Für IT-Pro- zesse und den IT-Betrieb ist ITIL88) ein solcher Standard. Für die Verwaltung von… …IT-Systemen empfiehlt sich die Verwendung einer Configuration Management Database (CMDB)89). Ziel einer CMDB ist es, alle relevanten Informationen zu einem… …Unterstützung von Service-Pro- zessen in Bezug auf die IT-Systeme. Für den IT-Standard ITIL dient die CMDB als zentrale Datenbasis des gesamten… …IT-Servicemanagements. 8.1 Der IT-Betrieb hat die Anforderungen, die sich aus der Umsetzung der Ge- schäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen… …erge- ben, zu erfüllen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk). 8.2 Die Komponenten der IT-Systeme und deren Beziehungen zueinander sind in geeigneter… …Weise zu verwalten, und die hierzu erfassten Bestandsanga- ben regelmäßig sowie anlassbezogen zu aktualisieren. 88) ITIL ist die „IT-Infrastructure… …Datenverlust. Zum akzeptierten Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie zum maximal tolerierbaren Datenverlust sei auf die Schutzbedarfsziele ver-… …eine große Funk- tionserweiterung handelt. Die Change-Management-Prozesse sollten dabei aber in unterschiedlicher Tiefe, abhängig von Art, Umfang…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

    Axel Becker
    …113 9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen Die folgenden Ausführungen beschreiben die Anforderungen an die Auslage-… …rungen und den sonstigen Fremdbezug von IT-Dienstleistungen. Die wesentlichen Vorgaben aus den MaRisk wurden hier nahtlos übernom- men. Als… …Prüfungshinweis für die Interne Revision ist zu entnehmen, dass im Rahmen von MaRisk-Prüfungen des Outsourcings die IT-relevanten Auslage- rungen mit geprüft und… …beurteilt werden sollten. Aufgrund der Bedeutung der BAIT haben diese eine hohe Prüfungsrelevanz, denn die BAIT spezifizieren die MaRisk-Anforderungen zum… …. Die für die Informationssicherheit und das Notfallmanagement verantwortli- chen Funktionen des Instituts werden eingebunden.98) 9.1… …IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewer- ke oder… …Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für Auslagerungen von… …IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z.B. Re- chenleistung, Speicherplatz, Plattformen oder… …(Cloud-Dienstleis- tungen). Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienst- leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der… …Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    IT-Notfallmanagement

    Axel Becker
    …119 10. IT-Notfallmanagement Die Ausführungen zum IT-Notfallmanagement waren mehrfach angekündigt und sind nun in die BAIT aufgenommen worden… …. IT-Notfallplanung Die IT-Notfallplanung spezifiziert und ergänzt die in den MaRisk aufgeführte Notfallplanung für die Belange der IT. Dies ist auch sinnvoll und… …notwendig, denn die IT spielt im Rahmen der weiteren Digitalisierung der Banken und Finanzdienstleistungsunternehmen eine wesentliche Rolle. Wesentliche Pro-… …wie z.B. Schnittstellen zu anderen Bereichen (u.a. Risikomanagement oder Informati- onssicherheitsmanagement).102) Die Rahmenbedingungen haben damit die… …abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfall- konzept). Die… …auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzep- te zu verfügen (vgl. AT 7.3 Tz. 2 MaRisk). Die Wirksamkeit und… …mindestens jährlich und anlassbezogen nachzuweisen (vgl. AT 7.3 Tz. 3 MaRisk). 10.2 Die Ziele und Rahmenbedingungen des IT-Notfallmanagements sind auf Basis… …Wiederherstel- lungspläne sowie die dafür festgelegten Parameter und berücksichtigen Ab- hängigkeiten, um die zeitkritischen Aktivitäten und Prozesse wiederherzu-… …, welche zeit- kritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne zu er- stellen. Tz. 10.4 Die Wirksamkeit der IT-Notfallpläne ist durch… …mindestens jährliche IT- Notfalltests zu überprüfen. Die Tests müssen IT-Systeme, welche zeitkri- tische Aktivitäten und Prozesse unterstützen, vollständig…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Management der Beziehungen mit Zahlungsdienstnutzern

    Axel Becker
    …Zahlungsdienstnutzern“. Es stammt aus dem neuen Rundschreiben „Zah- lungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E- Geld-Instituten“ (ZAIT). Seine… …Nutzung von Zahlungsdiensten – wie im Online-Banking – wirkungs- voll zu reduzieren. Hierfür haben die Institute eine Reihe von Funktionen ein- zurichten… …und aktive Informations- und Sicherheitsfunktionen für den Kun- den zu etablieren, die nachfolgend dargestellt werden. Betroffen sind insbesondere… …Kommunikationsprozesse zur Sensibilisierung der eigenen Zahlungsdienstnutzer für Risiken bei der Nutzung von Zahlungs- diensten. Die Sensibilisierung kann in Form… …allgemeiner Ansprachen (Infor- mationen auf der Webseite) oder bei Bedarf durch individuelle Ansprachen erfolgen. Die Prozesse werden an die spezifische… …aktuelle Risiko- und Bedro- hungslage angepasst und können sich in Bezug auf einzelne Zahlungsdienst- nutzer unterscheiden.107) 11.1 Die nach § 53 ZAG… …geforderten Risikominderungsmaßnahmen zur Beherr- schung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen, mit denen die… …Zahlungsdienstnutzer für die Reduzie- rung, insbesondere von Betrugsrisiken, direkt adressiert werden. Dazu ist ein angemessenes Management der Beziehungen mit den… …implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird, indem… …die Zah- lungsdienstnutzer unterstützt und beraten werden. 11. Management der Beziehungen mit Zahlungsdienstnutzern 126 Im Ergebnis sollte es dem…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    Kritische Infrastrukturen

    Axel Becker
    …KRITIS-Institute, die marktkritische Schwellenwerte überschreiten. Damit soll präventiv darauf geachtet werden, dass keine volkswirtschaftlichen Versorgungsengpässe… …. Damit ist für die Interne Revision von KRITIS-relevanten Instituten das Prüffeld „Kritische Infrastrukturen“ innerhalb der Prüfungsplanung mit aufzunehmen… …einschlägigen bankaufsichtlichen Anforderungen in Bezug auf die Sicherstellung angemessener Vorkehrungen zur Gewähr- leistung von Verfügbarkeit, Integrität… …, Authentizität und Vertraulichkeit der Informationsverarbeitung – eigens an die Betreiber kritischer Infra- strukturen (KRITIS-Betreiber). Es ergänzt insoweit die… …bankaufsichtli- chen Anforderungen an die IT um Anforderungen an die wirksame Umset- zung besonderer Maßnahmen zum Erreichen des KRITIS-Schutzziels. Als… …nahmen zu beschreiben und wirksam umzusetzen, die die Risiken für den sicheren Betrieb kritischer Infrastrukturen auf ein dem KRITIS-Schutz- ziel… …angemessenes Niveau senken. Hierzu müssen sich die KRITIS-Betrei- ber sowie ihre IT-Dienstleister an den einschlägigen Standards orientieren und Konzepte der… …Infrastrukturen in der Prüfung komplett abgedeckt sein. Alternativ können die KRITIS-Be- treiber einen unternehmensindividuellen Ansatz verfolgen oder einen… …Jahresabschlussprüfung mit aufnehmen. Der Jahresab- schlussprüfer orientiert sich bei seiner Prüfung an dem IDW Prüfungshin- weis: Die Prüfung der von Betreibern… …konkretisiert die Anwendung der Grundsätze des IDW PS 860 in Bezug auf die Prüfung von Betreibern Kriti- scher Infrastrukturen durch den Berufsstand…
    Alle Treffer im Inhalt anzeigen
  • eBook-Kapitel aus dem Buch Prüfungsleitfaden BAIT

    MaRisk AT 7.2: Technisch-organisatorische Ausstattung

    Axel Becker
    …139 13. MaRisk AT 7.2: Technisch-organisatorische Ausstattung Die technisch-organisatorische Ausstattung soll in den Kreditinstituten si-… …cherstellen, dass die Erfordernisse der MaRisk auf Basis der verfügbaren IT- Systeme und -Ausstattungen eingehalten werden können.119) Die Anforderung… …berücksichtigt das Proportionalitätsprinzip bei der Umset- zung der MaRisk. Hierbei müssen kleine Institute nicht die umfangreiche In- frastruktur bereithalten wie… …beispielsweise systemrelevante Institute (Groß- banken). Die Interne Revision sollte im Rahmen ihrer Prüfungen auch eine Einstufung und Beurteilung der… …MaRisk – Bearbeitungs- und Prüfungsleitfaden, 3. Auflage, Becker, A. /Berndt, M. /Klein, J. (Hrsg.), Heidelberg 2013, S. 181. MaRisk AT 7.2, Tz. 2 Die… …IT-Systeme (Hardware- und Software-Komponenten), die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die… …Verfügbarkeit, die Authentizität sowie die Vertraulich- keit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der… …einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen… …in einem Rollenmodell ist mög- lich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regel- mäßig von den fachlich und technisch… …gehören beispielsweise geschäftsrelevante In- formationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zu- gehörigen IT-Prozesse sowie Netz-…
    Alle Treffer im Inhalt anzeigen
◄ zurück 37 38 39 40 41 weiter ►

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance