19
1 Internes Kontroll System (IKS) im Bankenumfeld Seite 1 ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt Niederberger März 2008 Kurt Niederberger seit 1998 bei der Luzerner Kantonalbank Leiter Fachstelle für Informations- und IT-Sicherheit Informatikprojektleiter mit eidg. FA Master of Advanced Studies Information Security Internes Kontroll System (IKS) im Bankenumfeld Seite 2 ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt Niederberger März 2008 Einleitung WARUM... aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen zur Sicherstellung der elektronischen Geschäftsführung zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit und Verbindlichkeit (Daten; Anwendungen; Systeme) zur Verhinderung von Betriebsenpässen und Schäden zum Schutz gegen unbefugte oder zufällige Vernichtung von Daten zum Schutz gegen zufälligen Verlust, technische Fehler, Fälschung zum Schutz gegen Diebstahl oder widerrechtliche Verwendung zum Schutz gegen unbefugtes Ändern, Kopieren oder Zugreifen ...

Internes Kontroll System (IKS) im Bankenumfeld

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Internes Kontroll System (IKS) im Bankenumfeld

1

Internes Kontroll System (IKS) im Bankenumfeld

Seite 1ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Kurt Niederbergerseit 1998 bei der Luzerner KantonalbankLeiter Fachstelle für Informations- und IT-SicherheitInformatikprojektleiter mit eidg. FAMaster of Advanced Studies Information Security

Internes Kontroll System (IKS) im Bankenumfeld

Seite 2ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Einleitung

WARUM...

aufgrund gesetzlicher und aufsichtsrechtlicher Anforderungen

zur Sicherstellung der elektronischen Geschäftsführung

zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit undVerbindlichkeit (Daten; Anwendungen; Systeme)

zur Verhinderung von Betriebsenpässen und Schäden

zum Schutz gegen unbefugte oder zufällige Vernichtung von Datenzum Schutz gegen zufälligen Verlust, technische Fehler, Fälschungzum Schutz gegen Diebstahl oder widerrechtliche Verwendungzum Schutz gegen unbefugtes Ändern, Kopieren oder Zugreifen

...

Page 2: Internes Kontroll System (IKS) im Bankenumfeld

2

Internes Kontroll System (IKS) im Bankenumfeld

Seite 3ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

After Hour Seminar Ziele

• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)

• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)

• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 4ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Integrale Sicherheit

Datenschutz

Gebäude-schutz

Informations-Sicherheit

Arbeits-sicherheit

Personen-schutz

Krisen-organisation

ICT-Sicherheit

Versicherungs-schutz

Compliance

Katastrophen-organisation

Richtlinien

StandardsSensibili-sierung

Gesetz

Page 3: Internes Kontroll System (IKS) im Bankenumfeld

3

Internes Kontroll System (IKS) im Bankenumfeld

Seite 5ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Integrale Sicherheit(Sicherheitsregelwerk)

PhysischeSicherheit

Informations- und IT-Sicherheit

Krisen- undKatastrophenorganisation

PersonenschutzSensibilisierung

GebäudeschutzCompliance

VersicherungsschutzArbeitssicherheit

DatenschutzCompliance

Informationsschutz

Business ContinuityManagement (BCM)

Business ContinuityPlanning (BCP)

Informatik-Katastrophenvorsorge

(IKV)

GrundschutzSensibilisierung

Sicherheitsorganisation

Internes Kontroll System (IKS) im Bankenumfeld

Seite 6ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Sicherheitsmanagement

Sicherheitspolitik

ISMS Management Review

Risikoanalyse

Massnahmenerhöhter Schutz

MassnahmenGrundschutz

Massnahmenplanen

Massnahmenumsetzen

Massnahmenüberwachen

Massnahmenüberprüfen

Plan

Do

Check

Act

Ablauf gemäss ISMS ISO 27001

Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse

3.3.3

3.3.4 3.3.6

3.3.5

Ablauf gemäss Sicherheitsstandard Risikoanalyse

3.3.2

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Page 4: Internes Kontroll System (IKS) im Bankenumfeld

4

Internes Kontroll System (IKS) im Bankenumfeld

Seite 7ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Risikoanalyse

Internes Kontroll System (IKS) im Bankenumfeld

Seite 8ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Risikoanalyse

E Z3 Z3 Z2 Z1 Z1 Z1

D Z3 Z3 Z2 Z2 Z1 Z1

C Z3 Z3 Z3 Z2 Z1 Z1

B Z3 Z3 Z3 Z3 Z2 Z1

A Z3 Z3 Z3 Z3 Z3 Z1

1 2 3 4 5 6

Tabelle: Zonenzuordnung

Ein

trete

ns-

Wa

hrs

ch

ein

lich

ke

it

Schadenpotential

Page 5: Internes Kontroll System (IKS) im Bankenumfeld

5

Internes Kontroll System (IKS) im Bankenumfeld

Seite 9ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)Kontrollaktivtäten festlegen

Schlüsselrisiko 9: Vorsätzliche Handlungen (Viren, Würmer und Trojaner)

Kontrollaktivität A

Welche Massnahme zur Risikoreduzierung

wurde etabliert?

Wer ist für die Mass-nahme verantwortlich?

Welches Ziel verfolgt die beschriebene

Massnahme?

In welchem Rhythmus erfolgt die Massnahme?

Was für Ressourcen sind jährlich geplant?

Zu welchen Ergebnissen führte die

Massnahme?

Gibt es einen zusätzlichen Handlungsbedarf?

Kontrollaktivitäten für Schlüsselrisiken aus Risikoinventur

Bestehen Versicherungen zu obigem Schlüsselrisiko? Falls ja, bitten wir Sie folgende Angaben zu

machen: Versicherungsgesellschaft, -summe, -dauer sowie versichertes Objekt

G 5.021 Trojanische Pferde

G 5.023 Computer Viren

G 5.043 Maktro-Viren

Sicherstellung eines aktuellen Virenschutzes

Prozess zur Entfernung von Viren, Würmer und

Vorname Name

Aktueller Virenschutz (Datfiles; Scanengine;

Software Release)

monatlich / täglich

durch Isolierung und Entfernung von Viren, Würmer,

Trojaner, usw. eine Verbreitung verhindern

Wie wirksam ist die getroffenen Massnahme? adäquat

verbesserungsbedürftig

völlig unzureichend

Internes Kontroll System (IKS) im Bankenumfeld

Seite 10ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Sicherheitsmanagement

Sicherheitspolitik

ISMS Management Review

Risikoanalyse

Massnahmenerhöhter Schutz

MassnahmenGrundschutz

Massnahmenplanen

Massnahmenumsetzen

Massnahmenüberwachen

Massnahmenüberprüfen

Plan

Do

Check

Act

Ablauf gemäss ISMS ISO 27001

Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse

3.3.3

3.3.4 3.3.6

3.3.5

Ablauf gemäss Sicherheitsstandard Risikoanalyse

3.3.2

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Page 6: Internes Kontroll System (IKS) im Bankenumfeld

6

Internes Kontroll System (IKS) im Bankenumfeld

Seite 11ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)

Sicherheitspolitik

ISMS Management Review

Risikoanalyse

Massnahmenerhöhter Schutz

MassnahmenGrundschutz

Massnahmenplanen

Massnahmenumsetzen

Massnahmenüberwachen

Massnahmenüberprüfen

Plan

Do

Check

Act

Ablauf gemäss ISMS ISO 27001

Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse

3.3.3

3.3.4 3.3.6

3.3.5

Ablauf gemäss Sicherheitsstandard Risikoanalyse

3.3.2

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4

Internes Kontroll System (IKS) im Bankenumfeld

Seite 12ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)

Sicherheitspolitik

ISMS Management Review

Risikoanalyse

Massnahmenerhöhter Schutz

MassnahmenGrundschutz

Massnahmenplanen

Massnahmenumsetzen

Massnahmenüberwachen

Massnahmenüberprüfen

Plan

Do

Check

Act

Ablauf gemäss ISMS ISO 27001

Massnahmen entwickeln bzw. anpassen auf der Basis Überprüfung Grundschutz oder aus Risikoanalyse

3.3.3

3.3.4 3.3.6

3.3.5

Ablauf gemäss Sicherheitsstandard Risikoanalyse

3.3.2

3.3.7.1

3.3.7.2

3.3.7.3

3.3.7.4 IKS

Page 7: Internes Kontroll System (IKS) im Bankenumfeld

7

Internes Kontroll System (IKS) im Bankenumfeld

Seite 13ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)Kontrollprozess

• Überwachung durch Management- Verantwortung VR und GL

• Kontrollkultur und Risikophilosophie• Risikoerkennung und Beurteilung• Kontrollaktivitäten• Feststellungen und Mängel• Korrekturmassnahmen• Information und Kommunikation

Internes Kontroll System (IKS) im Bankenumfeld

Seite 14ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)Kontrollaktivtäten bearbeiten

Definition Umfang Kontrolle

Identifikation der Risiken

Bewertung der Risiken

Bestimmung der Ziele und Auswahl

Steuerungsmassnahmen zur

Erreichung der Kontrollziele

Durchführung der Kontrollen

Review der Effektifität

Review der Restrisiken und

des akzeptablen Risikos

Implementierung Verbesserungen

Ergeifen Korrekturmassnahmen

Ergreifen Vorbeugungsmassnahmen

Kommunikation Ergebnisse

Kommunikation Massnahmen

Page 8: Internes Kontroll System (IKS) im Bankenumfeld

8

Internes Kontroll System (IKS) im Bankenumfeld

Seite 15ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 16ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Internes Kontroll System (IKS)Grenzen

• Fehleinschätzung• Funktionsstörungen• Übertriebene oder umgangene Kontrolle• Kollusion• Kosten - Nutzen - Verhältnis• Einsatz von Hilfsmitteln• Gesunder Menschen Verstand (GMV)

Page 9: Internes Kontroll System (IKS) im Bankenumfeld

9

Internes Kontroll System (IKS) im Bankenumfeld

Seite 17ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Sicherheitskonzept und Risikomanagement (Kontrollen)

Politiken (jährlich oder bei Bedarf überarbeiten)Weisungen und Richtlinien (Erstellen, Richtigkeit prüfen)Risikoeinschätzung (jährlich mit Verfahren)Checkliste IKS (aktuell halten und nachführen)Risikolandkarte (aktuell halten und nachführen)Audits (je nach Bedarf festlegen und umsetzen)Security Approval (Projektmanagement)Sensibilisierung (e-Learning, Kampagnen, usw.)Tool IKS (Nachvollziehbarkeit IKS)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 18ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)

Risiko-analyse

Page 10: Internes Kontroll System (IKS) im Bankenumfeld

10

Internes Kontroll System (IKS) im Bankenumfeld

Seite 19ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Sicherheitskonzept und Risikomanagement (Messziele/Metriken)

Sensibili-sierung

WBT für alle und Identität mit Geschäft (Einstieg)

Umfrage mit Wettbewerb und Auswertung pro Themen

Internes Kontroll System (IKS) im Bankenumfeld

Seite 20ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Identifizierung und Authentisierung (Kontrollen)

Passwort (Einhaltung, Vorgaben Vergabe, Rücksetzung, usw.)

RemoteControl Interne und Externe (Prozess Vergabe, Einhaltung)

SWIFT Net Security (Registration und Kontrolle Benutzer)

Device Control (Prozesse Neue; Mutationen; Shadowing)

Page 11: Internes Kontroll System (IKS) im Bankenumfeld

11

Internes Kontroll System (IKS) im Bankenumfeld

Seite 21ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Identifizierung und Authentisierung (Messziele/Metriken)

DeviceControl

Berechtigungsvergaben auf Devices (Link)

Shadowing pro Benutzer auf Devices (Link)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 22ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Zugriffskontrolle (Kontrollen)

Rollenkonzepte (Datenstrukturen, Berechtigungsgruppen,Administration, Überwachung Rollenmodell, monatliche Reports, usw.)

Firewall - Traffic (Erstellen und Kontrolle Matrix)

Prozessabläufe Berechtigungen (Eröffnen, Mutieren, Löschen)

Page 12: Internes Kontroll System (IKS) im Bankenumfeld

12

Internes Kontroll System (IKS) im Bankenumfeld

Seite 23ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Zugriffskontrolle (Messziele/Metriken)

Monitoring

Berechtigungsvorgaben DetectionZugriff auf File-Server (Link)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 24ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Nachweisbarkeit von Transaktionen (Kontrollen)

Notusereinsätze (Einträge und Protokollierung, Audittrails)

Datenbankveränderungen (Produktive Systeme Audittrails)

Page 13: Internes Kontroll System (IKS) im Bankenumfeld

13

Internes Kontroll System (IKS) im Bankenumfeld

Seite 25ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Nachweisbarkeit von Transaktionen (Messziele/Metriken)

Notuser

Vergleich Notuser mit Aufträgen und Bericht SLA

Internes Kontroll System (IKS) im Bankenumfeld

Seite 26ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Integrität und Authentizität (Kontrollen)

ICT-Grundschutzeinstellungen(Monitoring Einstellungen/Hardening Kontrolle)

Virenschutz(Aktualität, Vorfälle, Prozess Behebung, usw.)

Monitoring (Netzwerk, LOG's, usw.)

GoupPolicyManagementConsole (GPMC)

Page 14: Internes Kontroll System (IKS) im Bankenumfeld

14

Internes Kontroll System (IKS) im Bankenumfeld

Seite 27ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Integrität und Authentizität (Messziele/Metriken)

Viren-schutz

Aktualität Client und Server (Zahlen) (Link)

Aktualität Client und Server (Grafik) (Link)

Vorfälle Beschreibung (Link)

Vorfälle Alarmierung (e-Mail) (Link)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 28ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Datenvertraulichkeit und Richtigkeit (Kontrollen)

Dateneinsicht(Prozesseinhaltung bei Vorfällen und Kontrollen, SensibilisierungUmgang mit Daten, Prozess Recovery mit Audittrail)

E-Mailüberwachung(Audits, Sensibilisierung Umgang mit IT-Sachmitteln)

Fachgerechte Vernichtung/Löschung(Datenlöschung gemäss Prozess, Kontrolle Vernichtung alte HW)

Überwachung CD Brennprotokolle(Kontrolle zentrale Brenner inkl. Protokolle gemäss Vorgaben)

Page 15: Internes Kontroll System (IKS) im Bankenumfeld

15

Internes Kontroll System (IKS) im Bankenumfeld

Seite 29ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)

E-MailÜberwachung

Einhaltung Weisungen Umgang mit E-Mail (Link)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 30ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Datenvertraulichkeit und Richtigkeit (Messziele/Metriken)

fachgerechtVernichtenLöschen

Kontrolle SW/HW Löschung u. Vernichtung

Page 16: Internes Kontroll System (IKS) im Bankenumfeld

16

Internes Kontroll System (IKS) im Bankenumfeld

Seite 31ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Verfügbarkeit von IT-Systemen und Daten (Kontrollen)

Provider(Verträge, Audits Rechenzentrum, Netzwerk)

Informatik Katastrophen Vorsoge (IKV)(Abstimmung Organisaiton, Einbindung Businessverantwortliche,Sicherstellung Geschäftsfähigkeit, Aufbau und PflegeSicherheitsdispositiv)

Change ICT Infrastruktur(Changelisten, Patchmanagement)

Warnsysteme CERT(Früherkennung Risiken, KnowHow Aufbau, usw.)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 32ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)

Provider

SAS70 Berichte(Statement on Auditing Standards No. 70: ServiceOrganizations)

Page 17: Internes Kontroll System (IKS) im Bankenumfeld

17

Internes Kontroll System (IKS) im Bankenumfeld

Seite 33ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)

ChangeIT-Infr.

Changemangement (Link)

Patchmanagement (Link)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 34ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Informations- und IT-Sicherheit

λ Verfügbarkeit von IT-Systemen und Daten (Messziele/Metriken)

WarnsystemCERT

MELANI (Closed Usergruppe)(MELde- und ANalysestelle Informationssicherung)

Page 18: Internes Kontroll System (IKS) im Bankenumfeld

18

Internes Kontroll System (IKS) im Bankenumfeld

Seite 35ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

IKS im Bereich Phyische Sicherheit

λ Personenschutz(Sicherheitsorganisation; Notfalldispositiv; Sicherheitsschulung;Fluchtweg-Einrichtungen)

λ Gebäudeschutz und Wertschutz(Zonenkonzept; Brandschutz; elektrische Anlagen:Schliessanlage; Zutrittskontrolle; Videoanlage; Wertbehältnisse; Bargeld)

λ Arbeitssicherheit und Gesundheitsschutz

Internes Kontroll System (IKS) im Bankenumfeld

Seite 36ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Rapportierungen / Metriken

Führungskontrollen (Link)

Bereich ICT Sicherheit (Link)

Bereich Physische Sicherheit (Link)

Berichterstattung Geschäftleitung

Metriken Darstellung (Vorlage/Variante) (Link)

Page 19: Internes Kontroll System (IKS) im Bankenumfeld

19

Internes Kontroll System (IKS) im Bankenumfeld

Seite 37ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008

Zusammenfassung

• Sicherheitsmanagement(Risikoanalyse mit Gefährdungskatalog; Kontrollaktivitäten festlegen)

• Internes Kontroll System (IKS) umsetzen top(technische und organisatorische Massnahmen, persönliches Fehlverhalten)

• Messziele / Metriken festlegen(Informationsbeschaffung, Rapportierung)

Internes Kontroll System (IKS) im Bankenumfeld

Seite 38ISACA After Hours Seminar - Internes Kontroll System (IKS) im Bankenumfeld - Herr Kurt NiederbergerMärz2008