IT Governance – BAIT – Bankaufsichtsrechtliche Anforderungen
IT Governance – BAIT – Bankaufsichtsrechtliche Anforderungen
Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
IT Governance – BAIT – Bankaufsichtsrechtliche Anforderungen
Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.
Hierfür maßgeblich sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT4.3.1 MaRisk), zum Informationsrisiko sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk). Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tzn. 1 und 2 MaRisk).
IT Governance – BAIT – IT-Strategie – Geschäftsleitung
Die Geschäftsleitung ist dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden.
Es ist sicherzustellen, dass die Regelungen zur IT-Aufbau- und IT Ablauforganisation wirksam umgesetzt werden. Das Institut hat insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten.
IT Governance – BAIT – IT-Aufbau und IT-Ablauforganisation
Interessenkonflikte und unvereinbare Tätigkeiten innerhalb der IT-Aufbau und IT-Ablauforganisation sind zu vermeiden. Zur Steuerung der für den Betrieb und die Weiterentwicklung der IT-Systeme zuständigen Bereiche durch die Geschäftsleitung sind angemessene quantitative oder qualitative Kriterien festzulegen, und deren Einhaltung ist zu überwachen. Hinsichtlich der Maßnahmen zur Erhaltung einer angemessenen qualitativen Personalausstattung werden insbesondere der Stand der Technik sowie die aktuelle und zukünftige Entwicklung der Bedrohungslage berücksichtigt.
Interessenkonflikten zwischen Aktivitäten, die beispielsweise imnZusammenhang mit der Anwendungsentwicklung und den Aufgaben des IT-Betriebs stehen, kann durch aufbau- oder ablauforganisatorische Maßnahmen bzw. durch eine adäquate Rollendefinition begegnet werden. Bei der Festlegung der Kriterien können z. B. die Qualität der Leistungserbringungen, die Verfügbarkeit, Wartbarkeit, Anpassbarkeit an neue Anforderungen, Sicherheit der IT-Systeme oder der dazugehörigen IT-Prozesse sowie deren Kosten berücksichtigt werden.
BAIT – Neue Anforderungen an das IT-Sicherheitsmanagement
Am 06.11.2017 hat die BaFin die Verlautbarung BAIT – Bankaufsichtsrechtliche Anforderungen an die IT verabschiedet. Diese Verlautbarung ist mit sofortiger Wirkung in Kraft. Es gelten keine Umsetzungsfristen. Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:
- IT-Strategie
- IT-Governance
- Informationsrisikomanagement
- Informationssicherheitsmanagement
- Benutzerberechtigungsmanagement
- IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
- IT-Betrieb (inkl. Datensicherung)
- Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Aktuelle Informationen zu den BAIT finden Sie direkt in unserem Informationsblog BAIT.