Gelegentlich werden wir zur Beurteilung der Informationssicherheit bei Banken herangezogen. Teilweise im Rahmen der direkten Unterstützung des Informationssicherheitsmanagements oder in Form der fachlichen Unterstützung der internen Revision einer Bank.
Bei einem unserer Projekte ging es um die Beurteilung der Informationnssicherheit einer Bank durch die interne Revision mit unserer fachlichen Unterstützung. Hierbei galt es insbesondere zu prüfen, ob die Erwartungen der Bankenaufsicht an die Informationssicherheit in dem Institut adäquat umgesetzt wurden.
Informationssicherheit bei Banken und die Anforderungen der BaFin
Grundlage für die Prüfung waren die diesbezüglichen Anforderungen aus den MaRisk sowie die angemessene Umsetzung der veröffentlichten Erwartungen des BaFin an die IT Sicherheit bei Banken. Darüber hinaus haben wir weitere Publikationen des BaFin mit Aussagen zur IT Sicherheit bei Banken, beispielsweise im BaFin-Journal, Ausgabe November 2013, auf Seite 22, bei unserer Prüfung, berücksichtigt.
Grundsätzlich erwartet das BaFin bei Banken eine ISO 27001 konforme Umsetzung im Bereich der Informationssicherheit, am besten auf Basis von IT-Grundschutz des BSI. Jedoch können die Maßnahmen der ISO 27001 ggf. nicht mehr ausreichend sein, um die Informationssicherheit in einer Bank zu gewährleisten. In diesem Fall müssen die Banken zusätzliche Sicherheitsmaßnahmen implementieren.
Gerne unterstützen wir Banken bei der Einführung eines Informationssicherheitsmanagements gemäß ISO 27001 bzw. führen entsprechende Zertifizierungen des Informationsverbundes durch. Sprechen Sie uns einfach an.