Schutzbedarfs- und Risikoanalysen im Fokus der Aufsicht

Umsetzung BAIT-Vorgaben – risikoorientierte Schutzziele – Prozessverantwortung (Owner-Prinzip)
Identifizierung von Schadenspotenzialen & Ableitung wirksamer Maßnahmen – Umgang mit IDV

• Erweiterte Aufsichtserwartungen und BAIT-Vorgaben zur Bestimmung der IT-Schutzobjekte
• Nach welchen Kriterien wird geprüft?
• Neue Anforderungen an Informationssicherheits-Beauftragte (ISB), Datenschutz-Beauftragte (DSB) und (IT-)Revision
• Praxis-Anforderungen an Schutzbedarfs- & Risikoanalysen unter Einbezug von IDV und externen Dienstleistern
• Praxis-Bericht: Schutzbedarfsanalyse entlang eines Prozesses – Auswirkungen der Data-Governance auf die Schutzbedarfsanalyse
• Häufige Schwachstellen und identifizierte Mängel

Durch die neuen BAIT und die sich daraus ergebenden erweiterten Prozesspflichten zur institutsindividuellen Festlegung des Schutzbedarfs rücken die Themen Schutzbedarf & Risikoanalyse stärker in den Fokus von Prüfungen der Bundesbank und der (IT-)Revision. Auch die Fachbereiche und Prozessverantwortlichen (Process-Owner) haben weitreichende Anpassungen zu machen, um die regulatorischen Anforderungen einzuhalten.

Die Schutzbedarfsanalyse ist ein Teil des IT-Sicherheitskonzepts nach dem IT-Grundschutz. Anhand der drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit müssen alle Daten analysiert und deren Schutzbedarf prüfungssicher dokumentiert werden.

Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden im Rahmen der Risikoanalyse und die Ableitung angemessener (Schutz-) Maßnahmen. Nur so kann das Risiko von Datenverlusten, Diebstahl oder sogar kriminellen Handlungen minimiert werden. Hier sind insbesondere der Informationssicherheits-Beauftragte (ISB), der Datenschutz-Beauftragte (DSB) sowie die (IT-)Revision in der Prüfungs- und Kontrollpflicht.

Das Seminar beantwortet aktuelle Prüfungs- & Praxisfragen und gibt wertvolle Handlungsempfehlungen und Praxistipps.