Vollständige Neuausrichtung eines Informationssicherheitsmanagements

Im Rahmen einer Prüfung gem. §44 KWG zur Ordnungsmäßigkeit der Geschäftsorganisation im Bereich IT-Management wurden bei einer Bank umfangreiche Mängel festgestellt, welche eine vollständige Neuausrichtung des Informationssicherheitsmanagements erforderten. tomoro wurde beauftragt, sowohl die Gesamtprojektleitung zu übernehmen wie auch die Umsetzung dedizierter Einzelthemen zu begleiten. Auf operativer Ebene verantwortete tomoro dabei die Implementierung des neuen Tools für Informationssicherheits- und -risikomanagement und BCM, das Thema IDV, die Adjustierungen im Bereich Anwendungsentwicklung und Test sowie Auslagerungsmanagement.

In dem zweijährigen Projekt wurde die Informationssicherheit auf vollständig neue Beine gestellt:

  • Eine integrative Architektur verschiedener IT-Anwendungen wurde implementiert, um u.a. das IT-Risikomanagement, das Notfallmanagement sowie die Prozesse der IT-Sicherheit umfassend zu unterstützen
  • Verfahren und Prozesse in der Individuellen Datenverarbeitung (IDV) wurden vollständig neu konzipiert und risikoorientiert die Behandlung existierender IDV begonnen
  • Change- und Release sowie Incident- und Problemmanagement wurden adjustiert
  • Die Anwendungsentwicklung der Bank sowie das Test- und Freigabeverfahren für eigen- und fremdentwickelte Software wurden neu gestaltet
  • Das bestehende Berechtigungsmanagement wurde überarbeitet und insbesondere auf der konzeptionellen Seite ergänzt
  • Das Auslagerungsmanagement wurde gemäß den aktuellen erweiterten aufsichtsrechtlichen Anforderungen angepasst
  • Diverse technische Maßnahmen der operativen IT-Sicherheit wurden umgesetzt

Besonders herausfordernd war es, die neuen Methoden und Verfahren in der Breite der Bank zu verankern und die Mitarbeiter entsprechen zu sensibilisieren und zu schulen. Entscheidender Erfolgsfaktor hierbei war das Commitment und die Unterstützung von Vorstand und erster Führungsebene. Ein weiterer wesentlicher Faktor für die Akzeptanz der Umsetzung der neuen Informationssicherheitsmaßnahmen war ein unter Risikoaspekten tragfähiges Maß an Pragmatismus, welcher bei allen regulatorischen Anforderungen immer auch den Kosten-/Nutzenaspekt im Auge behielt und berücksichtigte, nicht das maximal Machbare sondern das risikobasiert Notwendige an Maßnahmen umzusetzen.

Vorbereitung und Durchführung der sich anschließenden Nachschauprüfung wurden ebenfalls von tomoro federführend begleitet. Im Ergebnis wurde der Bank eine signifikante Verbesserung in allen wesentlichen Belangen des Informationssicherheitsmanagements bestätigt.

tomoro Task force Ansprechpartner

Vollständige Neuausrichtung eines Informationssicherheitsmanagements
Umsetzung-Informationssicherheitsmanagement-2.pdf