IT-Strategie und IT-Governance
Die Geschäftsleitung hat eine IT-Strategie festzulegen, die mit der Geschäftsstrategie abgestimmt ist.
Umsetzung
IT-Strategie dokumentieren, jährlich überprüfen, mit Geschäftsstrategie abgleichen
BAIT Compliance Framework
Das BAIT-Rundschreiben konkretisiert die aufsichtlichen Anforderungen an die IT von Kreditinstituten gemäß KWG. Es definiert Mindestanforderungen für IT-Strategie, Informationssicherheit, IT-Betrieb und Auslagerungen.
Alle Kreditinstitute gemäß §1 KWG, §53 KWG und §53b KWG
Letzte Aktualisierung: 2021-08-10
Die Geschäftsleitung hat eine IT-Strategie festzulegen, die mit der Geschäftsstrategie abgestimmt ist.
Umsetzung
IT-Strategie dokumentieren, jährlich überprüfen, mit Geschäftsstrategie abgleichen
Die Aufbauorganisation der IT ist klar zu regeln. Zuständigkeiten, Entscheidungsbefugnisse und Verantwortlichkeiten sind zu dokumentieren.
Umsetzung
Organigramm, Stellenbeschreibungen, Vertretungsregelungen für alle IT-Funktionen
Das Institut hat Verfahren zur Identifikation, Bewertung und Steuerung von Informationsrisiken zu etablieren.
Umsetzung
Risk-Assessment-Prozess, Risikoinventar, jährliche Aktualisierung
Das Institut hat angemessene Sicherheitsziele festzulegen und eine Sicherheitsstrategie zu definieren, die auf der Geschäftsstrategie basiert.
Umsetzung
Sicherheitsleitlinie, Sicherheitsstrategie, Zielvereinbarungen
Eine angemessene Sicherheitsorganisation ist einzurichten. Die Rolle des Informationssicherheitsbeauftragten (ISB) ist zu benennen.
Umsetzung
Sicherheitsorganisation etablieren, ISB benennen, Security Board einrichten
Die Vergabe, Änderung und Entziehung von Benutzerberechtigungen ist zu regeln. Berechtigungen sind regelmäßig zu überprüfen.
Umsetzung
Berechtigungskonzept, regelmäßige Reviews, JML-Prozess (Join-Move-Leave)
Berechtigungen sind regelmäßig, mindestens jedoch jährlich, auf ihre Angemessenheit zu überprüfen. Kritische Berechtigungen sind besonders zu schützen.
Umsetzung
Quartalsweise Berechtigungsreviews, SEPA-Berechtigungen, Funktionstrennungen
Der IT-Betrieb ist so zu gestalten, dass die Verfügbarkeit, Integrität und Vertraulichkeit der Daten jederzeit gewährleistet ist.
Umsetzung
Monitoring-Systeme, Alarmierung, Eskalationsprozesse, Kapazitätsmanagement
Änderungen an IT-Systemen und -Anwendungen sind zu planen, zu testen, zu dokumentieren und zu genehmigen.
Umsetzung
Change-Management-Prozess, CAB, Notfall-Change-Verfahren
IT-Projekte, einschließlich der Entwicklung und Einführung von IT-Anwendungen, sind angemessen zu planen, zu steuern und zu überwachen.
Umsetzung
Projektmanagement-Methodik, Quality Gates, Testkonzept, Abnahmeverfahren
Die Auslagerung von IT-Dienstleistungen ist zu steuern und zu überwachen. Ein Auslagerungsverzeichnis ist zu führen.
Umsetzung
Auslagerungsstrategie, Due Diligence, Vertragsmanagement, laufende Überwachung
Kritische Anwendungen sind besonders zu schützen. Die Abhängigkeiten zwischen Geschäftsprozessen und IT-Systemen sind zu dokumentieren.
Umsetzung
Kritikalitätsklassifizierung, Schutzbedarfsfeststellung, Business-Impact-Analyse
Die Sicherheit von Zahlungsverkehrssystemen und -transaktionen ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten.
Umsetzung
Transaktionsmonitoring, Betrugserkennung, starke Kundenauthentifizierung
Für den Ausfall oder die Beeinträchtigung von IT-Systemen ist ein IT-Notfallmanagement einzurichten.
Umsetzung
Notfallvorsorgekonzept, BCM-Prozess, Notfallübungen, Wiederanlaufpläne
Das IT-Notfallmanagement ist regelmäßig zu testen und zu aktualisieren.
Umsetzung
Jährliche Notfallübungen, Tabletop-Exercises, Live-Tests, Lessons Learned
Die interne Revision hat die IT-Systeme und -Prozesse regelmäßig zu prüfen.
Umsetzung
Prüfungsplan für IT, risikoorientierte Prüfungen, Nachverfolgung von Feststellungen
IT-Prozesse, -Systeme und -Änderungen sind angemessen zu dokumentieren. Die Dokumentation ist aktuell zu halten.
Umsetzung
Dokumentenmanagement, CMDB, Konfigurationsmanagement
Rechtlicher Hinweis: Diese Inhalte stellen eigenständige Interpretationen dar. Keine Rechtsberatung. Verbindlich sind die BaFin-Verlautbarungen.