« zurück
Vortragsdetails
13.10.2009
IT-Recht & IT-Sicherheitsmanagement
11:30-12:15
W2.4: Steuerung ganzheitlicher Informationssicherheit im Rahmen des IT Governance, Risk & Compliance Managements
Die Anforderungen zum IT-Sicherheitsmanagement bei Banken erfordern eine zielorientierte Steuerung der eingesetzten Informations- und Kommunikationstechnik. Dabei wird zweckmäßigerweise ein ganzheitlicher Ansatz im Rahmen des IT Governance, Risk and Compliance (GRC) Managements verfolgt. Dieser Vortrag zeigt, was hier erfolgversprechende Strategien sind.
Langbeschreibung zum it.sa-Vortrag
„Steuerung ganzheitlicher Informationssicherheit
im Rahmen des IT Governance, Risk & Compliance Managements“
Die aktuellen Anforderungen an die Gestaltung der eingesetzten Informations- und Kommunikationstechnik (IKT) einer Bank sind hoch und steigen kontinuierlich weiter. So sind beim IKT-Einsatz mittlerweile viele verschiedene Rahmenvorgaben zu beachten: Neben zahlreichen regulatorischen Vorgaben aus Gesetzen (insbesondere zum Banken-, Datenschutz-, Telekommunikations- und Telemedienrecht sowie zur Sorgfalts- und Verkehrssicherungspflicht) oder Vorschriften (z.B. zur manipulationssicheren Archivierung steuerlich relevanter Unterlagen) stehen auch Anforderungen auf der Grundlage der Beziehungen zu Lieferanten, Kunden und Mitarbeitern auf der Agenda.
Um diese Anforderungen bewältigen zu können, ist ein planvolles Handeln geboten, zu dem diverse Stellen einer Bank einen inhaltlichen Beitrag leisten müssen. Im Sinne einer zielorientierten Steuerung der eingesetzten IKT wird hierbei sinnvollerweise ein ganzheitlicher Ansatzes verfolgt unter der Maßgabe, die eigenen Information Assets wirksam zu schützen und mittels der IKT die bestehenden strategischen Vorgaben unter Einhaltung der Informationssicherheit und der Vermeidung fortbestandsgefährdender Risiken umzusetzen.
Idealerweise wird der hierzu verwendete Prozess technisch durch weitgehend automatisierte Vorgehensweisen unterstützt, um sowohl hinsichtlich der Vorbereitung etwaiger Audits als auch der aufgrund vielerlei Anlässe zu erstellenden Dokumentationen viele inhaltsgleiche Ausarbeitungen und die damit verbundenen Kosten vermeiden zu können. Der tagesaktuelle Überblick über die eigene Sicherheitslage ist in diesem Zusammenhang von entscheidender Bedeutung. Dies setzt die Normalisierung verarbeiteter Daten sowie die Verwendung vergleichbarer Metriken (vor allem hinsichtlich der key risk indicators, key goal indicators und key performance indicators) voraus und erfordert letztlich den Aufbau einer geeigneten Infrastruktur, mit deren Hilfe entsprechende Daten gesammelt, ausgewertet und managementtauglich aufbereitet werden kann.
Im Zentrum dieser Infrastruktur befindet sich ein IT Governance, Risk and Compliance Management (GRC) Tool, welches in der Lage ist, mit anderen Kernsystemen Daten auszutauschen und automatisiert erhobene Daten auf relevante Standards und Gesetzesvorgaben durch sogenanntes „Cross-Control-Mapping“ zu übertragen. Dieser Vortrag zeigt hierzu erfolgversprechende Strategien für (international tätige) Banken auf.
Weitere Informationen zu Inhalten des Vortrags liefert der Artikel „Tool-Verbund für GRC und Sicherheit: Ansatz zur toolunterstützten Steuerung ganzheitlicher Informationssicherheit“ von Bernhard Carsten Witt und Holger Heimann in der <kes> 2009#2, S. 72ff.
„Steuerung ganzheitlicher Informationssicherheit
im Rahmen des IT Governance, Risk & Compliance Managements“
Die aktuellen Anforderungen an die Gestaltung der eingesetzten Informations- und Kommunikationstechnik (IKT) einer Bank sind hoch und steigen kontinuierlich weiter. So sind beim IKT-Einsatz mittlerweile viele verschiedene Rahmenvorgaben zu beachten: Neben zahlreichen regulatorischen Vorgaben aus Gesetzen (insbesondere zum Banken-, Datenschutz-, Telekommunikations- und Telemedienrecht sowie zur Sorgfalts- und Verkehrssicherungspflicht) oder Vorschriften (z.B. zur manipulationssicheren Archivierung steuerlich relevanter Unterlagen) stehen auch Anforderungen auf der Grundlage der Beziehungen zu Lieferanten, Kunden und Mitarbeitern auf der Agenda.
Um diese Anforderungen bewältigen zu können, ist ein planvolles Handeln geboten, zu dem diverse Stellen einer Bank einen inhaltlichen Beitrag leisten müssen. Im Sinne einer zielorientierten Steuerung der eingesetzten IKT wird hierbei sinnvollerweise ein ganzheitlicher Ansatzes verfolgt unter der Maßgabe, die eigenen Information Assets wirksam zu schützen und mittels der IKT die bestehenden strategischen Vorgaben unter Einhaltung der Informationssicherheit und der Vermeidung fortbestandsgefährdender Risiken umzusetzen.
Idealerweise wird der hierzu verwendete Prozess technisch durch weitgehend automatisierte Vorgehensweisen unterstützt, um sowohl hinsichtlich der Vorbereitung etwaiger Audits als auch der aufgrund vielerlei Anlässe zu erstellenden Dokumentationen viele inhaltsgleiche Ausarbeitungen und die damit verbundenen Kosten vermeiden zu können. Der tagesaktuelle Überblick über die eigene Sicherheitslage ist in diesem Zusammenhang von entscheidender Bedeutung. Dies setzt die Normalisierung verarbeiteter Daten sowie die Verwendung vergleichbarer Metriken (vor allem hinsichtlich der key risk indicators, key goal indicators und key performance indicators) voraus und erfordert letztlich den Aufbau einer geeigneten Infrastruktur, mit deren Hilfe entsprechende Daten gesammelt, ausgewertet und managementtauglich aufbereitet werden kann.
Im Zentrum dieser Infrastruktur befindet sich ein IT Governance, Risk and Compliance Management (GRC) Tool, welches in der Lage ist, mit anderen Kernsystemen Daten auszutauschen und automatisiert erhobene Daten auf relevante Standards und Gesetzesvorgaben durch sogenanntes „Cross-Control-Mapping“ zu übertragen. Dieser Vortrag zeigt hierzu erfolgversprechende Strategien für (international tätige) Banken auf.
Weitere Informationen zu Inhalten des Vortrags liefert der Artikel „Tool-Verbund für GRC und Sicherheit: Ansatz zur toolunterstützten Steuerung ganzheitlicher Informationssicherheit“ von Bernhard Carsten Witt und Holger Heimann in der <kes> 2009#2, S. 72ff.
Bernhard Carsten Witt
Lehrbeauftragter für Datenschutz und IT-Sicherheit
Universität Ulm, it. sec GmbH & Co. KG
Lehrbeauftragter für Datenschutz und IT-Sicherheit
Universität Ulm, it. sec GmbH & Co. KG
« zurück
