Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement
Vergabe und Kontrolle von IT-Berechtigungen
Seiten
2016
Finanz Colloquium Heidelberg (Verlag)
978-3-95725-033-9 (ISBN)
Finanz Colloquium Heidelberg (Verlag)
978-3-95725-033-9 (ISBN)
- Titel ist leider vergriffen;
keine Neuauflage - Artikel merken
Die Anforderung, ein IT-Berechtigungsmanagement zu betreiben, bleibt in den
( neuen) MaRisk im AT 7.2 Technisch-organisatorische Ausstattung explizit aufgeführt.
In Tz.2 heißt es: „(…) insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über
die Rechte verfügt, die er für seine Tätigkeit benötigt (…)“. Aus aufsichtsrechtlicher
Sicht bedeutet das, dass nur die Personen Zugriff auf sensible Bankdaten erhalten
sollen, die diesen auch wirklich benötigen (Prinzip der minimalen Rechtevergabe –
„need-to-know“) und dass die hierfür von der Bankenaufsicht erwartete Funktionstrennung sowohl organisatorisch als auch technisch gewährleistet werden muss.
Der Rechtevergabe-Prozess muss deswegen im Zusammenhang mit der Schutzbedarfs-
analyse und im Zusammenwirken mehrerer, nicht immer IT-bezogener Organisationsfunktionen wie z. B. Orga/Personal, definiert, prüfungssicher dokumentiert
und vor allem im Alltag prozessual „gelebt“ werden. Mit der fortschreitenden
Digitalisierung unterschiedlicher Prozesse in den Finanzinstituten und dem
zunehmenden Schutzbedarf der Bankdaten steigen die Anforderungen an dieses
Zusammenwirken, insbesondere an die Berechtigungssysteme und das Berechtigungsmanagement.
Zunehmende (IT-Sonder-)Prüfungen und daraus resultierende Feststellungen zeigen
jedoch, dass hier bei nicht wenigen Instituten immer noch (enormer) Handlungsbedarf
besteht. Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtekonzept
überein, die Rezertifizierung erfolgt nur auf Rollenebenen und vernachlässigt die
Analyse von Sonderrechten oder die regelmäßige und anlassbezogene Überprüfung
kritischer IT-Berechtigungen findet unzureichend statt.
Im Mittelpunkt dieses praxisbezogenen Leitfadens stehen daher:
• Aufsichtsrechtliche Aspekte zur Implementierung eines IT-Berechtigungsmanagements
• Aktuelle gesetzliche und regulatorische Anforderungen für Kreditinstitute
• Diverse Konzepte zur Rechtevergabe in Finanzinstituten
• Vergabe, Entzug und Überprüfung von Kompetenzen
• Software-gestützte Vergabe und Kontrolle von IT-Berechtigung
( neuen) MaRisk im AT 7.2 Technisch-organisatorische Ausstattung explizit aufgeführt.
In Tz.2 heißt es: „(…) insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über
die Rechte verfügt, die er für seine Tätigkeit benötigt (…)“. Aus aufsichtsrechtlicher
Sicht bedeutet das, dass nur die Personen Zugriff auf sensible Bankdaten erhalten
sollen, die diesen auch wirklich benötigen (Prinzip der minimalen Rechtevergabe –
„need-to-know“) und dass die hierfür von der Bankenaufsicht erwartete Funktionstrennung sowohl organisatorisch als auch technisch gewährleistet werden muss.
Der Rechtevergabe-Prozess muss deswegen im Zusammenhang mit der Schutzbedarfs-
analyse und im Zusammenwirken mehrerer, nicht immer IT-bezogener Organisationsfunktionen wie z. B. Orga/Personal, definiert, prüfungssicher dokumentiert
und vor allem im Alltag prozessual „gelebt“ werden. Mit der fortschreitenden
Digitalisierung unterschiedlicher Prozesse in den Finanzinstituten und dem
zunehmenden Schutzbedarf der Bankdaten steigen die Anforderungen an dieses
Zusammenwirken, insbesondere an die Berechtigungssysteme und das Berechtigungsmanagement.
Zunehmende (IT-Sonder-)Prüfungen und daraus resultierende Feststellungen zeigen
jedoch, dass hier bei nicht wenigen Instituten immer noch (enormer) Handlungsbedarf
besteht. Eingerichtete Rechte stimmen oftmals nicht mit dem Rechtekonzept
überein, die Rezertifizierung erfolgt nur auf Rollenebenen und vernachlässigt die
Analyse von Sonderrechten oder die regelmäßige und anlassbezogene Überprüfung
kritischer IT-Berechtigungen findet unzureichend statt.
Im Mittelpunkt dieses praxisbezogenen Leitfadens stehen daher:
• Aufsichtsrechtliche Aspekte zur Implementierung eines IT-Berechtigungsmanagements
• Aktuelle gesetzliche und regulatorische Anforderungen für Kreditinstitute
• Diverse Konzepte zur Rechtevergabe in Finanzinstituten
• Vergabe, Entzug und Überprüfung von Kompetenzen
• Software-gestützte Vergabe und Kontrolle von IT-Berechtigung
Erscheinungsdatum | 15.12.2016 |
---|---|
Sprache | deutsch |
Maße | 210 x 148 mm |
Themenwelt | Mathematik / Informatik ► Mathematik ► Finanz- / Wirtschaftsmathematik |
Wirtschaft ► Betriebswirtschaft / Management | |
Schlagworte | IT-Berechtigungen • IT-Berechtigungsmanagement • IT-Sonderprüfungen • MaRisk • Schutzbedarfsanalyse |
ISBN-10 | 3-95725-033-1 / 3957250331 |
ISBN-13 | 978-3-95725-033-9 / 9783957250339 |
Zustand | Neuware |
Haben Sie eine Frage zum Produkt? |
Mehr entdecken
aus dem Bereich
aus dem Bereich
Beschreibende Statistik – Wahrscheinlichkeitsrechnung – Schließende …
Buch | Softcover (2022)
Springer Gabler (Verlag)
32,99 €