Aufgrund der Bedeutung der IT im Finanz- und Versicherungssektor hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bankaufsichtliche respektive Versicherungsaufsichtliche Anforderungen an die IT in den Rundschreiben BAIT respektive VAIT festgehalten. Damit gibt die BaFin Banken, Versicherungen sowie deren Dienstleistern einen praxisnahen Leitfaden an die Hand. Bei der Umsetzung scheitern allerdings noch immer viele Projektverantwortliche. An diesem Punkt unterstützt der deutsche Softwarehersteller Contechnet: Ab sofort stehen der BAIT- und der VAIT-Katalog in seiner Lösung „INDITOR ISO“ zur Verfügung.
BAIT und VAIT beinhalten von der BaFin definierte Anforderungen, um die IT in den entsprechenden Branchen jederzeit optimal vor Bedrohungen zu schützen. Dabei geht es insbesondere um die Anforderungen in puncto IT-Strategie, -Governance, -Projekte und -Betrieb sowie Informationsrisiko-, Informationssicherheits- und Benutzerberechtigungsmanagement. Dazu beschreibt die BaFin unter anderem Mindestanforderungen an das Risikomanagement (MaRisk) oder auch den Umgang mit Auslagerungen von IT-Dienstleistungen.
Um bei der Vielzahl der Anforderungen nicht den Überblick zu verlieren, kann eine Software die Projektverantwortlichen bei der Umsetzung unterstützen.
Langfristige Vorteile für die IT- und Informationssicherheit
Die Lösung „INDITOR ISO“ führt den Anwender in wenigen Schritten zum Ergebnis – bis hin zu einem ganzheitlichen ISMS. Dazu sind im ersten Schritt die BAIT- und VAIT-Anforderungskataloge um Umsetzungstipps und Hilfestellungen für die weitere Dokumentation ergänzt. Nach der Abarbeitung der einzelnen Schritte erhält der Nutzer im Auditmanagement einen direkten Soll-Ist-Abgleich. Auf diese Weise werden das erreichte Sicherheitsniveau identifiziert und Verbesserungsmöglichkeiten aufgezeigt.
„Die Vorteile unserer Software zeigen sich neben der schnellen und eigenständigen Umsetzung insbesondere in der langfristigen Anwendung“, sagt Jens Heidland, Leiter Consulting bei Contechnet, Lead Auditor ISO 27001 und IT-Sicherheitskatalog. „Nehmen wir direkt ein Beispiel aus den BAIT: Die Geschäftsleitung muss regelmäßig, mindestens jedoch vierteljährlich, über die Ergebnisse der Risikoanalyse sowie Veränderungen an der Risikosituation unterrichtet werden. Hier wäre es sehr mühselig, diverse Word- und Excel-Dokumente zu sammeln und diese der Geschäftsführung verständlich zusammenzuführen. Durch unsere Software sind zu jedem Zeitpunkt alle aktuellen Informationen zentral gespeichert und lassen sich per Knopfdruck anzeigen.“
#Contechnet
