Aufrufe
vor 3 Jahren

RISIKO MANAGER 07.2017

  • Text
  • Risiken
  • Banken
  • Provisions
  • Risikomanagement
  • Wertberichtigungen
  • Sicherheiten
  • Unternehmen
  • Risiko
  • Anforderungen
  • Rendite
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

38

38 RISIKO MANAGER 06|2017 Das Informationssicherheitsmanagement definiert Soll-Anforderungen sowie Prozesse der Informationssicherheit und sorgt für deren Umsetzung. Es folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Jede Bank muss einen Informationssicherheitsbeauftragten benennen, dessen Funktion die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten umfasst. Er ist organisatorisch und prozessual unabhängig und darf nicht ausgelagert werden. Dadurch soll sichergestellt werden, dass die in der IT-Strategie, der Informationssicherheitsrichtlinie und den Informationssicherheitskonzepten des jeweiligen Instituts niedergelegten Ziele und Maßnahmen sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung überprüft und überwacht werden. Der Informationssicherheitsbeauftragte muss u. a. die Informationssicherheitskonzepte erstellen und fortschreiben sowie die entsprechenden Prozesse in der Bank steuern und koordinieren. IT-Vorfälle müssen an die Geschäftsleitung berichtet werden. Bei kleinen Banken darf die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Institut kombiniert werden. Verbundinstitute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern können einen gemeinsamen Informationssicherheitsbeauftragten bestellen. Eine Beschränkung der Möglichkeit auf kleine Institute, die Funktion mit anderen Funktionen im Institut kombinieren zu dürfen, halten viele Banken allerdings für nicht sachgerecht. Denn mitunter hängt der Aufgabenumfang weniger von der Größe eines Instituts ab, sondern maßgeblich von den Geschäftsaktivitäten und davon, wie komplex die IT ist und in welchem Umfang dieses Informationssicherheitsmanagement

39 eigenentwickelte und -betriebene IT-Systeme einsetzt. Ein zutreffenderes Kriterium bezogen auf die Funktion wäre, so ein Vorschlag der Deutschen Kreditwirtschaft (DK), ob der Aufgabenumfang der Funktion eine Vollzeitstelle auslastet. Ferner sind heute auch Ausgestaltungen der Funktion geübte Praxis, bei denen mehrere Mitarbeiter an den Aufgaben der Funktion mitwirken, sodass auch bei mittleren bis größeren Instituten die Funktion des Informationssicherheitsbeauftragen mit anderen Funktionen kombiniert werden kann, ohne dass es zu einem Qualitätsverlust bei der Erfüllung der Aufgaben kommt. Die MaRisk enthalten zudem keine ressourcenbezogenen Vorgaben. Benutzerberechtigungsmanagement Ein Benutzerberechtigungsmanagement stellt sicher, dass der Zugang zum Informationsverbund und die den Benutzern eingeräumten Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Hierzu sind diverse Regelungen in den MaRisk bereits enthalten. Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben eingehalten werden. IT-Projekte, Anwendungsentwicklung Vorgaben enthalten die BAIT auch für IT-Projekte, die angemessen zu steuern und zu überwachen sind. Wesentliche IT-Projekte und IT-Projektrisiken müssen der Geschäftsleitung regelmäßig berichtet werden. Dabei könnte der Maßstab der Berichterstattung der Compliance-Funkti-

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.