Risikomanagement

BAIT Praxisworkshops

Thema

Informationsrisiko- & Informationssicherheitsmanagement sowie Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Im Nachgang zur fünften MaRisk-Novelle hat die BaFin im November 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht und damit die Anforderungen der MaRisk hinsichtlich technisch-organisatorischer Ausstattung und insbesondere an das Management der IT-Ressourcen sowie das IT-Risikomanagement konkretisiert.

Das Ziel der BaFin ist aus unserer Sicht klar: Die »Blackbox IT« soll transparent werden, von der Geschäftsleitung gleichberechtigt mit den anderen Bereichen der Bank in der Institutssteuerung behandelt und vor allem in ein für das Institut konsistentes Risikomanagementkonzept integriert werden.

In unseren Praxisworkshops wollen wir Ihnen als Geschäftsleiter, Risikomanager, Informationssicherheits-Beauftragter oder Auslagerungsmanager die aus unserer Sicht wesentlichen Hilfestellungen und Hinweise geben, wie Sie die regulatorischen Anforderungen in Ihrem Institut effizient und sinnvoll in der Praxis umsetzen.

Workshops

Informationsrisiko- & Informationssicherheitsmanagement

Dem Informationsrisiko- & Informationssicherheitsmanagement kommt in der BAIT eine zentrale Bedeutung zu: Geschäfts-, Risiko- und IT-Strategie müssen sich hier widerspiegeln und zugleich gilt es hier die wesentlichen Vorgaben und Prozesse für das Institut festzulegen, die dann auf alle nachfolgenden Themenbereiche der BAIT wirken.

Inhalt des Praxisworkshops

Hinweise und Hilfestellungen zu Aufbau und Durchführung einer strukturierten Informationsrisikoanalyse unter Anwendung „gängiger Standards“, Umgang mit den Themen „Schutzbedarf“ und „Informationsverbund“ sowie Ausgestaltung von Überwachungs- und Steuerungsprozessen und Berichtspflichten. Erläuterung der Anforderungen an Informationssicherheitsprozesse und Diskussion der praktischen Umsetzung. Umgang mit Informationssicherheitsvorfällen und in diesem Kontext notwendige Regelungen und Abläufe. Darstellung möglicher Arten von Penetrationstests und Diskussion der jeweiligen Vor- und Nachteile. Zusammenarbeit von Risikomanagement, ISB, DSB, Auslagerungsmanagement und Fachbereichen und Vermeidung von Interessenskonflikten.

Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Konsequent zu den Änderungen in den MaRisk enthalten die BAIT herausfordernde Neuerungen für die Institute im Kontext Auslagerung, vor allem zum sonstigen Fremdbezug von IT-Dienstleistungen. Insbesondere das Thema „Cloud Computing“ wird in der Praxis häufig unterschätzt und nicht ausreichend im (Informations-)Risikomanagement und Informationssicherheitsmanagement berücksichtigt. Hier adressieren die Anforderungen der BAIT die bisherigen Erfahrungen der aufsichtlichen Prüfungspraxis und fordern Transparenz, Einbeziehung in das Risikomanagement und aktive Steuerung.

Inhalt des Praxisworkshops

Herstellen der Verknüpfung zwischen Informationsrisikomanagement und Auslagerungsmanagement. Implementieren eines einheitlichen Risikomanagementansatzes (Risikodefinition, -bewertung und Schutzbedarf). Darstellung der besonderen Herausforderungen bei der Nutzung von Cloud-Diensten und Möglichkeiten der Adressierung durch „gängige Standards“. Aktive Einbeziehung und Nutzung der Auslagerungspartner und IT-Dienstleister bei der geforderten Überwachung und Berichtspflicht, insbesondere durch die Nutzung von Nachweisen, Zertifikaten oder externe Prüfungen.

Wir werden Ihnen einen Überblick der Neuerungen verschaffen und mit Ihnen gemeinsam die Umsetzungsmöglichkeiten in Ihrem Unternehmen ausarbeiten.

Termine

Bei Interesse an einer Inhouse-Veranstaltung freuen wir uns, Ihnen ein individuelles, auf Ihre Interessen zugeschnittenes Angebot unterbreiten zu dürfen.

Rufen Sie uns einfach an unter 0511 353936-0 oder senden Sie uns eine E-Mail an info@treuwerk-akademie.de.

Ihre Referenten

Frank Fukala
Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH)

Damian Reck
Master of Science