Nicht vergessen: BAIT!

schuhe_fliesen_boden_banane_ausrutschen


Hintergrund:

Obwohl die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) mit ihrer Einführung im Jahr 2017 sofort in Kraft traten, geht die Umsetzung der BAIT in den Instituten teilweise schleppend voran. Viele Institute befinden sich „noch in der Umsetzung“, ohne zielgenau zu verfolgen, wie weit sie eigentlich sind.

Daher ist es empfehlenswert, sich über den genauen Umsetzungsstand der BAIT zu informieren:

  • Inwieweit sind die BAIT umgesetzt?
  • Welche „Baustellen“ gibt es momentan noch?
  • Was fehlt aus welchem Grund? Wo werden Ressourcen benötigt?


Aktuelle Probleme:

Im Geschäftsalltag rücken die BAIT häufig in den Hintergrund – begünstigt durch den Umstand, dass mit Ihnen nichts grundsätzlich Neues gefordert wurde. Im Gegensatz dazu liegt der Fokus bei IT-Prüfungen besonders auf den BAIT, sodass sich in diesem Bereich wiederholt Feststellungen ergeben.

Unsere Erfahrungen zeigen, dass vor allem im Bereich Informationsrisikomanagement Probleme bestehen. Der Prozess von der Bestandsaufnahme bis zur Risikobewertung wird von den Informationssicherheitsbeauftragten und IT-Abteilungen gerne missverstanden bzw. nicht als strukturierte Abfolge aufeinanderfolgender Schritte begriffen. Doch gerade dies ist wichtig, damit die Informationssicherheitsbeauftragten den Aufbau und die Abhängigkeiten eines erfolgreichen Informationsrisikomanagements verstehen und ein solches umsetzen können:

Grundlage ist ein Informationsverbund.
> Abschnitt 3, Tz. 10 BAIT
Auf dieser Basis erfolgt eine Schutzbedarfsermittlung
in Bezug auf die einzelnen Schutzobjekte des
Informationsverbunds.
> Abschnitt 3, Tz. 11 BAIT
Anschließend wird ein Maßnahmenkatalog zur Deckung des
Schutzbedarfs erarbeitet.
> Abschnitt 3, Tz. 12 BAIT
Erst wenn diese Schritte durchlaufen sind, kann eine vollständige
Risikobewertung erfolgen.
> Abschnitt 3, Tz. 13 BAIT


Handlungsbedarf:

  • Umsetzungsstand der BAIT prüfen – Lassen Sie sich den Reifegrad der Umsetzung in diesem Zuge dokumentationssicher bestätigen.
  • Schaffung von mehr Transparenz in Bezug auf den Umsetzungsstand
  • Ableitungsstruktur des Informationsrisikomanagements beachten und deren Umsetzung sicherstellen
Veröffentlicht in Allgemein, Campus4Business, Wirtschaftsprüfung