+49 (0) 89 45242970101 contact@sp-partners.de

IT Governance – BAIT – Bankaufsichtsrechtliche Anforderungen

Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

 

IT Governance - BAIT

 

IT Governance – BAIT – Bankaufsichtsrechtliche Anforderungen

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.

Hierfür maßgeblich sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT4.3.1 MaRisk), zum Informationsrisiko sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk). Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tzn. 1 und 2 MaRisk).

 

IT Governance – BAIT – IT-Strategie – Geschäftsleitung

Die Geschäftsleitung ist dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden.

Es ist sicherzustellen, dass die Regelungen zur IT-Aufbau- und IT Ablauforganisation wirksam umgesetzt werden. Das Institut hat insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.

 

IT Governance – BAIT – IT-Aufbau und IT-Ablauforganisation

Interessenkonflikte und unvereinbare Tätigkeiten innerhalb der IT-Aufbau und IT-Ablauforganisation sind zu vermeiden. Zur Steuerung der für den Betrieb und die Weiterentwicklung der IT-Systeme zuständigen Bereiche durch die Geschäftsleitung sind angemessene quantitative oder qualitative Kriterien festzulegen, und deren Einhaltung ist zu überwachen. Hinsichtlich der Maßnahmen zur Erhaltung einer angemessenen qualitativen Personalausstattung werden insbesondere der Stand der Technik sowie die aktuelle und zukünftige Entwicklung der Bedrohungslage berücksichtigt.

Interessenkonflikten zwischen Aktivitäten, die beispielsweise imnZusammenhang mit der Anwendungsentwicklung und den Aufgaben des IT-Betriebs stehen, kann durch aufbau- oder ablauforganisatorische Maßnahmen bzw. durch eine adäquate Rollendefinition begegnet werden. Bei der Festlegung der Kriterien können z. B. die Qualität der Leistungserbringungen, die Verfügbarkeit, Wartbarkeit, Anpassbarkeit an neue Anforderungen, Sicherheit der IT-Systeme oder der dazugehörigen IT-Prozesse sowie deren Kosten berücksichtigt werden.

 

BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement

Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inkl. Datensicherung)
  8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.

Pin It on Pinterest

Share This