Donnerstag, 15. November 2018

Berechtigungsmanagement und -prozess in der Bankenpraxis

Relevante Handlungsfelder rund um den Managementprozess, um die bestehenden Erfordernisse im Sinne der regulatorischen Anforderungen zu erfüllen


 Martina Vinken, Teamleiterin Organisation, Prozessmanagement und Organisation, Volksbank Mittelhessen

Die heute geltenden regulatorischen Anforderungen an das Management von Benutzerrechten und den Berechtigungsvergabeprozess stellen Banken im Praxistransfer vor hohe Herausforderungen. Die Institute sind in der Pflicht, den rechtlichen Erfordernissen durch entsprechende aufbauorganisatorische Regelungen und vollumfänglicher Dokumentation nachzukommen.


 SEMINARTIPPS

Brennpunkt Schutzbedarfsanalyse, 18.03.2019, Berlin.

Berechtigungsmanagement: Rezertifizierung und minimale Rechtevergabe, 19.03.2019, Berlin.

7. Fachtagung Informationssicherheit, 20–21.03.2019, Berlin.

Prozess- & Aufgabenbezogenes Berechtigungsmanagement, 05.11.2019 in Frankfurt/M.


Sollkonzept der Berechtigungen

Zur Realisierung der Anforderungen gem. den MaRisk, ist das Vorhandensein eines anwendungsübergreifenden Sollkonzepts für Benutzerberechtigungen unter Einhaltung von Funktionstrennung und Sparsamkeitsgrundsatz elementar. Idealerweise baut das Sollkonzept dabei auf ein bestehendes Rechte-/Rollenkonzept auf.


 BUCHTIPP

Bona-Stecki/Riediger/Uribe (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement, 2016.



Rezertifizierung

Die Existenz eines Sollkonzepts ist Voraussetzung für die erforderliche Umsetzung der regelmäßigen Überprüfung von Benutzerrechten. Die Rezertifizierung gelingt, indem ordentliche Prozesse, Zuständigkeiten und institutsinterne Regularien diesbezüglich bestehen. Im Anschluss eines Rezertifizierungsdurchlaufs erfolgt im Idealfall der Abgleich zwischen Sollkonzept und den Anwendungssystemen, um darin erforderliche Korrekturen umgehend vorzunehmen.

PRAXISTIPPS

  • Die Umsetzung des Berechtigungsmanagements erfordert die Etablierung von ganzheitlichen Prozessen und Dokumentationsverfahren sowie die Bereitstellung von Mitarbeiterressourcen.
  • Idealtypisch gelingt die Umsetzung, wenn die Zuständigkeit im Institut einer zentralen und unabhängigen Stelle obliegt.
  • Zum Praxistransfer im Gesamthaus gehört ebenfalls die Unterrichtung und Sensibilisierung der Führungskräfte und Mitarbeiter zum Berechtigungsvergabeprozess, insbesondere bezüglich der Einhaltung des Sparsamkeitsgrundsatzes.
  • Die Implementierung des Sollkonzepts erfolgt bestenfalls systemisch durch Verwendung einer Berechtigungsmanagementsoftware.
  • Für den ordentlichen Rezertifizierungsablauf werden Prozessdefinitionen und Ablaufbeschreibungen, wie beispielsweise ein institutseigener Rezertifizierungskalender, benötigt.
  • Es sollen eindeutige Verfahrensweisen sowie Zuständigkeiten bei Personalveränderungen oder Berechtigungsveränderungen bestehen. Denn jede Neuanlage, Änderung oder Löschung von Benutzerrechten in einem Anwendungssystem bedeutet die Veränderung des Sollkonzepts.


Beitragsnummer: 946

Beitrag teilen:

Beiträge zum Thema:

Beitragsicon
Alles neu macht der Mai – auch der Mai 2024 mit den ZAG-MaRisk?

Ob die ZAG-MaRisk unbekannte neue Vorgaben enthalten, für welche Institute sie gelten und ob es Handlungsbedarf gibt, ist Gegenstand dieses Beitrags.

24.09.2024

Beitragsicon
Aufbau eines effizienten IKS im IT-Bereich

Kontrollaspekte auf Basis BAIT, mit besonderem Fokus auf Rezertifizierung und den „High Level Controls“ für die Administratoren

29.08.2023

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.