MaRisk in der IT Herausforderungen im regulatorischen Umfeld.

Transkript

1 MaRisk in der IT Herausforderungen im regulatorischen Umfeld

2 Übersicht 1. Gesetzliche Bestimmungen 2. IT Infrastruktur und Betrieb 3. IKS in der IT 4. Business Continuity Management (BCM) 5. Datenschutz 6. IT-Security 7. Individuelle Datenverarbeitung (IDV) Seite 2

3 Rahmendaten, Standorte und Kunden Q_PERIOR hat sich erfolgreich entwickelt und verfügt aktuell über mehr als 430 hochqualifizierte Mitarbeiter. Rahmendaten Markterfahrung: seit 1977 Umsatz: 90 Mio. EUR* Mitarbeiter: 460* Mehrheitlich im Besitz des Managements Umsatz in Mio. Standorte Deutschland Schweiz Österreich Slowakei USA, Kanada * Mitarbeiter gesamt 400 Kunden Erst- und Rückversicherungen Banken Industrie Öffentlicher Sektor * * 2013 geplant Seite 3

4 Unser Leistungsportfolio im Bereich Banken Projekt-Management PM-Methodik Anforderungs-, Test- & Change-Management Expert Service Head-to-Head Vergl. Managed Service 3rd Party Mgmt. Benchmarking Eine Auswahl an Kunden im Bereich Banken: Service Mgmt. Sourcing Mgmt. Steuerung der IT IT Cost Cutting Projekt-& Implementierungsmgmt. Strategisches IT-Management Staffing Solutions Engineering Systemintegration Komponentenentwicklung Systemdesign Interne Revision Advisory im Prüfungsbereich Risk Management IT Security Policy Mgmt. Audit & Risk Kunden-& Beschaffungsmgmt. Technologie & Innovation Business Intelligence Mobility Portale / Search Social Business Collaboration Architektur Entw. (ABAP,.NET, JAVA) Marketing & Sales Procurement SAP Solutions (CRM, SRM, ERP) Reporting Integrierte Planung BI/BO Architektur Seite 4

5 1. Gesetzliche Bestimmungen Seite 5

6 MaRisk in der IT Herausforderungen im regulatorischen Umfeld Gesetzliche Bestimmungen MaRisk Anforderungen (IT Systeme und Prozesse) IT-Systeme dürfen der Wirksamkeit des Risikomanagements nicht entgegenstehen Orientierung der technisch-organisatorischen Ausstattung an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation Sicherstellung der Integrität, der Verfügbarkeit, der Authentizität sowie der Vertraulichkeit der Daten Ausgestaltung der IT-Landschaft gemäß gängiger Standards Sicherstellung einer angemessenen IT-Berechtigungsvergabe Seite 6

7 Gesetzliche Bestimmungen MaRisk Anforderungen (IT Systeme und Prozesse) Regelmäßige Eignungsprüfung der IT-Landschaft Durchführung von Test vor Einsatz und nach wesentlichen Veränderungen unter Trennung von Produktions- und Testumgebung Entwicklungen und Änderungen durch Fachleute und unabhängige Freigabe Existenz eines angemessenen Notfallkonzeptes inklusive Geschäftsfortführungssowie Wiederanlaufplänen Durchführung von regelmäßigen Notfalltests Abstimmung Notfallkonzepte bei Auslagerung Seite 7

8 Gesetzliche Bestimmungen Sicht der BaFin 5 Kernaussagen 1. Zur Bankenaufsicht gehört auch die Aufsicht über die Informationstechnik 2. Die IT ist ein wesentlicher Risikotreiber 3. IT-Sicherheit im Fokus 4. Anforderungen an Interne Kontrollsysteme und Dokumentation in der IT enorm gestiegen 5. Sonderprüfungen im IT-Umfeld sind inzwischen zur Regel geworden Seite 8

9 2.IT Infrastruktur und Betrieb Seite 9

10 IT Infrastruktur und Betrieb Mögliche Bedrohungen Quelle: Seite 10

11 IT Infrastruktur und Betrieb Anforderungen Zentrale und vollständige Risikotransparenz über die IT der Konzerntochter bzw. -töchter Übergeordnete und zentrale IT-Strategie unter Einbezug dezentralisierter Einheiten Auswahl der IT-Anwendungen und -Systeme entsprechend der IT-Strategie Existenz eines systematischen Auswahlprozesses für Anwendungen/Systeme Durchführung von Prozess -Reviews Seite 11

12 IT Infrastruktur und Betrieb Anforderungen Durchführung und Dokumentation von fachlichen und technischen Tests (Nachweispflicht) Zwingend getrennte IT-Produktions- und IT-Testumgebungen Enge Abstimmung zwischen Fachabteilung und IT bei Anwendungs-bzw. Parameteränderungen (Berücksichtigung Fachkonzept etc.) Stringenter Change-und Release-Prozess (keine Stand-Alone-Lösungen in Fachabteilungen) Technische Administration/Pflege von Anwendungen und Systemen durch Fachabteilung und IT Seite 12

13 IT Infrastruktur und Betrieb Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme IT Strategie Aufbauorganisation und IT-Prozesse IT-Infrastruktur mit Fokus IT-Sicherheit Themenfelder IT-Anwendungen IT-gestützte Geschäftsprozesse Schutzbedarfsanalyse IT-Outsourcing IT-Kontrollsystem: Design und Effektivität Richtlinien und Verfahrensanweisungen Seite 13

14 3. IKS in der IT Seite 14

15 IKS in der IT Anforderungen Organisatorische Ausgestaltung, Bestimmung Zuständigkeiten und Verantwortlichkeiten des IKS Prozesse identifizieren, bewerten und dokumentieren -Bestimmung der Prozesskritikalität und der Kernprozesse Prozesse analysieren, Durchführung einer Prozessrisikoanalyse -Identifizierung der wesentlichen Risiken Erstellung Prozesslandkarte mit Abhängigkeiten Seite 15

16 IKS in der IT Anforderungen Risiken identifizieren, bewerten und dokumentieren Design von (Schlüssel-)Kontrollen, Bestimmung Verantwortliche, Performance Tests Dokumentation, Kommunikation und Reporting der festgelegten (Prozess)kontrollen Regelmäßige Reviews von Prozessen, Risiken und Kontrollen Implementierung eines Überwachungsprozesses zur jährlichen Überprüfung Seite 16

17 IKS in der IT Anforderungen Ausgestaltung des internen Kontrollsystems für den Prüfungsbereich IT-Systeme Art und Umfang der Kontrollen und der benötigten Dokumentation inkl. Berechtigungen richten sich nach der Wesentlichkeit der IT-Systeme Aktivität Wesentliche Konten und dazugehörige Prozesse Dokumentation der Prozesse und Kontrollen Bewertung/ Überwachung Prozess Jahresabschluss Wesentliche Konten Prozess Implikationen Wesentliche Prozesse What Can Go Wrong - Fragen Kontrollen Bewertung/ Überwachung Inhärente Risiken und Geschäftsrisiken Prüfungsziele Seite 17

18 IKS in der IT Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Erstellung/Optimierung Prozesslandkarte Analyse Kontrollsystem Kontrolltests Leistungen im Detail Kontroll(re-)design Implementierung Kontrollen/Prozesse Wesentlichkeitsbestimmung Anpassung Reporting Verbesserung RKA Prozess Dokumentation Seite 18

19 4.Business Continuity Management (BCM) Seite 19

20 BCM Hintergrund Ein funktionierendes Business Continuity Management System (BCMS) gewährleistet die operative Geschäftstätigkeit im Notfall Basis sind Standards wie der British Standard BS und der deutsche BSI- Standard Umsetzung der Standards im Rahmen der nachfolgend gezeigten Best-Practice- Vorgehensweise 1. Planung 4. Wartung & Optimierung 2. Umsetzung & Betrieb 3. Überwachung & Prüfung Seite 20

21 BCM Anforderungen Das BCM ist auf die Art, Komplexität und Kritikalität des Unternehmens anzupassen Innerhalb eines Unternehmens ist das BCM in Abhängigkeit der Kritikalität der Prozesse zu differenzieren Die Differenzierung im Notfallvorsorgebedarf ist im Rahmen einer Business Impact Analyse zu dokumentieren Das BCM muss angemessen geregelt und dokumentiert sein Seite 21

22 BCM Anforderungen Für das BCM sind Verantwortlichkeiten für den Normal- und Notbetrieb festzulegen Die Aktualität und die laufende Aktualisierung der BCM-Dokumentationen und der BCM Organisation muss sichergestellt sein Die BCM Verfahren müssen den Mitarbeitern im Unternehmen bekannt sein Die BCM Funktionsfähigkeit muss über Tests sichergestellt bzw. nachgewiesen werden Seite 22

23 BCM Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Bewertung Business Continuity Planning (BCP) Entwicklung Notfall-/ Backup-Konzepte Einrichtungshilfe BCP Leistungen im Detail Business Impact Analysen Qualitätssicherung BCM Modelle Risikobewertungen Unterstützung bei Datenauslagerungsverfahren Massnahmenentwicklung BCP-/Notfall- Wiederanlaufübungen Seite 23

24 5.Datenschutz Seite 24

25 Datenschutz Anforderungen Aufgabe des Datenschutzes ist es, nach 1 Bundesdatenschutzgesetz (BDSG), "den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird". Konsequenzen aus Datenschutzverstößen: Bußgelder, Geld- und Freiheitsstrafen sowie Schadensersatzansprüche Betroffener Bei Aufsichtspflichtverletzung persönliche Haftung verantwortlicher Organe und Führungskräfte Bei Datenschutzverstößen drohen dem Unternehmen hohe Reputationsschäden Seite 25

26 Datenschutz Anforderungen Datenschutz sollte einen nachhaltigen Stellenwert im Compliance-Management einnehmen Beachtung von datenschutzrechtlichen Anforderungen sowie Vorgaben des Arbeits-, Straf-und Telekommunikationsrechts und weiterer (europäischer) Gesetze Erfordernis eines interdisziplinären Ansatzes unter Berücksichtigung der technischen, juristischen und organisatorischen Fragestellungen Seite 26

27 Datenschutz Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Leistungen im Detail Prüfung Verfahrensverzeichnis Abgleich rechtlicher Rahmenbedingungen Optimierung Berichtswesen/ Eskalationswege Prüfung der Auftragsdatenverarbeitung Erstellung Datenschutzrichtlinie & Verfahrensanweisungen Mitarbeiterschulung Datenschutzfragen Durchführung der Vorabkontrolle Prüfung Technisch Organisatorischer Maßnahmen Gestaltung der MA Verpflichtungserklärungen Seite 27

28 6.IT-Security Seite 28

29 IT-Security Anforderungen 1. Regelmäßige IT-Sicherheitsaudits bilden einen unentbehrlichen Teil des deutschen IT-Grundschutzes 2. International sind die Management-Standards für IT-Sicherheitsaudits in der Norm ISO/IEC der ISO festgelegt Informations-Sicherheits-Politik Organisation der Informationssicherheit Physische und umgebungsbezogene Sicherheit Schutzzonen Netzwerksicherheit & Datensicherung Steuerung von Zutritt, Zugang & Zugriff Sicherung der Betriebsbereitschaft & Umgang mit Verwundbarkeiten Management von Störfällen & Angriffen Seite 29

30 IT-Security Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Leistungen im Detail Systemaufnahmen & Risikoeinschätzung Prüfung der Schnittstellen- Verarbeitung Prüfung des Benutzerund Berechtigungsmanagementprozesses Durchführung von Security Scans IT-Strukturanalyse Analyse des physikalischen Zugangs zum System Penetrationstests/ Schwachstellenanalyse Überprüfung der Zugangskontrolle Erstellung eines Maßnahmenkatalogs Seite 30

31 7.Individuelle Datenverarbeitung (IDV) Seite 31

32 IDV Anforderungen Definition IDV: IDV ist die Erstellung und der Betrieb von Anwendungen durch den Endbenutzer an seinem Arbeitsplatz mit zentral bereitgestellten integrierten (Standard-) Werkzeugen, um Problemstellungen aus seinem individuellen Aufgabenbereich oder dem Aufgabenbereich seiner Organisationseinheit zu lösen. Änderungen von Daten sind in IDV-Anwendungen wie Excel oder Access leicht möglich. Die Gefahr des Datenverlustes ist groß, da lokale Dateiversionen von den Nutzern versehentlich überschrieben werden können. Standard Schutzfunktionen werden zwar angeboten, sind aber häufig nur sehr aufwändig umzusetzen. Rollen- und Rechtekonzepte zur Zugriffsteuerung sind kaum möglich. Notwendige Freigabe- bzw. Archivierungskonzepte sind ohne Prozesswerkzeuge kaum darstellbar. Seite 32

33 IDV Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Definition Anforderungen IDV-Anwendungen Bestimmung Kriterien IDV Richtlinie Aufstellung Maßnahmenkatalog Leistungen im Detail Erstellung IDV Katalog Einhaltung IDW Prüfungsstandard 330 Definition Rollen & Verantwortlichkeiten Einhaltung IDW FAIT 1 Einrichtung Monitoring Prozess IDV Vorgaben Beachtung IDV Governance Seite 33

34 Wir sind für Sie da Christof Merz Partner Q_PERIOR Buchenweg D Ellerau Deutschland Telefon: Mobil: Internet: HAMBURG (ELLERAU) FRANKFURT l MÜNCHEN ROSENHEIM BERN l ZÜRICH WIEN l BRATISLAVA PRINCETON l TORONTO Seite 34

35 Appendix Referenzen Seite 35

36 IT Infrastruktur und Betrieb - Referenzen Finanzdienstleister, Mittelständische Versorgungskasse Ziele des Projektes Vorgehen Ergebnisse Prüfung und Analyse der IT-Planung, Steuerung und des IT- Managements in Anlehnung an COBIT Die COBIT-Prozesse dienen als Benchmark und zur Beurteilung, ob die Gesellschaft diesen Anforderungen formal genügt Darstellung der Reifegrade der anwendbaren COBIT- Prozesse PO1,PO2 Definiere einen strategischen IT-Plan und die Informationsarchitektur PO3 Bestimme die technologische Richtung PO4 Definiere die IT-Prozesse, Organisation und Beziehungen PO5,PO7,PO8 Manage die IT- Investitionen, Personal, Qualität PO6 Kommuniziere die Ziele und Richtung des Management AI5 Beschaffe IT-Ressourcen DS1,DS2 Definiere und manage Service Levels und Leistungen von Dritten DS6 Identifiziere und verrechne Kosten ME1, ME2 Überwache und evaluiere IT-Performance und Internal Controls ME3, ME4 Stelle Compliance und IT-Governance sicher Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST-Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 36

37 IT Infrastruktur und Betrieb - Referenzen Diverse Banken und Versicherungen, Chemie- und Pharmakonzernunternehmen Ziele des Projektes Vorgehen Ergebnisse Beurteilung der Ordnungsmäßigkeit, Sicherheit, Wirtschaftlichkeit und Angemessenheit der implementierten Prozesse Die Prüfung sollte aufzeigen, ob die bei der Gesellschaft erlassenen Richtlinien und implementierten Verfahren den aufsichtsrechtlichen Anforderungen und den Anforderungen an einen ordnungsgemäßen, sicheren und wirtschaftlichen Geschäftsbetrieb genügen Beurteilung hinsichtlich Vollständigkeit, Nachvollziehbarkeit und Angemessenheit der internen Richtlinien und Verfahrensanweisungen durch Durchsicht der erhaltenen Unterlagen Prüfung der Angemessenheit der Prozesse Konzeption, Realisierung und Betrieb durch Nachvollzug der Prozesse im Rahmen von Prozess- Walkthroughs Prüfung der Vollständigkeit und Funktionsfähigkeit (Wirksamkeit) des Internen Kontrollsystems durch Prüfung der Aufgabenabgrenzung zwischen Fachabteilung und IT Prüfung der Angemessenheit der Fachkonzepte durch Einzelfallprüfung Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST-Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 37

38 IT Infrastruktur und Betrieb - Referenzen Diverse Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Ermittlung der Ordnungsmäßigkeit des Systembetriebs in Abgleich mit den aufsichtsrechtlichen und berufsständischen Standards (COBIT, ITIL, BSI-Grundschutz, BITKOM-Sicherheitsleitfäden) Identifikation von Handlungsfeldern Prüfung und Analyse von: Organisation: Aufbau-und Ablauforganisation Richtlinien und Verfahrensanweisungen: Prozessdokumentation Systembetrieb, IT- Berechtigungen, Anwendungsübersicht, Klassifizierung der Anwendungen, SLA Management Verarbeitungssteuerung: Onlinebetrieb, Batchbetrieb, Remote Operating, Output Management System Management: Performance-und Kapazitätsmanagement, IT- Kontrollsystem Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 38

39 IKS in der IT -Referenzen Bank Ziele des Projektes Vorgehen Ergebnisse Einführung eines IT-Risikomanagements in den Bereichen Produkt-und Prozessrisiken zur Erfüllung aufsichtsrechtlicher Anforderungen Einführung einer integrierten Methodik zur Identifikation und Bewertung von Produkt-und Prozessrisiken sowie der Kontrolle der Risiken im Rahmen eines IKS Erstellung eines Management Prozesses für ein IT-Risikomanagement & IKS und Integration in das bestehende Prozesshaus Definition und schriftliche Fixierung von Abläufen zur periodischen Identifikation, Bewertung, Überwachung und Kontrolle der IT- Risiken Implementierung einer methodischen Grundlage zur periodischen Identifikation, Bewertung, Überwachung und Kontrolle der IT-Risiken Harmonisierung des IT- Risikomanagement & IKS mit dem Risikomanagement & IKS des Mutterkonzerns Unterstützung bei der Operationalisierung der Abläufe und Methoden des IT-Risikomanagement & IKS Durchführung von Risikoanalysen auf Applikationsbasis (Erhebung von Produktrisiken) und Bestim-mung entsprechender Kontrollen Prozess-und Produktrisiken identifiziert, bewertet und unterlegt mit entsprechenden Kontrollen Identifizierte Prozess-und Produktrisiken in die entsprechenden Templates zur periodischen Erhebung und Kontrolle überführt IT-Risikomanagement Prozessdokument für die Erhebung und Bewertung von Produkt-und Prozessrisiken definiert Implementierung der operativen Abläufe durch ein begleitendes Coaching Seite 39

40 BCM - Referenzen FDL, Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Erfüllung der aufsichtsrechtlichen Anforderungen aus den MaRisk BA/VA Absicherung der unternehmenskritischen Geschäftsprozesse Etablierung angemessener Notfallvorsorgemaßnahmen Aufbau einer Notfall- und Krisenmanagementorganisation Unternehmen analysieren: Risikoanalyse und Business Impact Analyse Verfügbarkeitsstrategien erarbeiten: Wiederanlaufkonzepte mit Kostenabschätzung und Ressourcen Maßnahmen und Notfallpläne implementieren: Maßnahmenumsetzung und Dokumentation der Wiederanlaufverfahren Pläne testen, pflegen und prüfen: Notfallpläne regelmäßig Testen und an die Veränderungen im Unternehmen anpassen BCM-Kultur aufbauen: Förderung der BCM-Prozesse durch sensibilisierte Mitarbeiter BCM-Strategie Integrierte BCM- Managementprozesse Wiederanlaufkonzepte für die IT und die Geschäftsprozesse Dokumentierte Notfallpläne Notfall-und Krisenmanagementorganisation Seite 40

41 Datenschutz - Referenzen Mittelständische Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Ermittlung der Konformität mit den Vorgaben der Datenschutzgesetze Einschätzung der Risiken aus dem Umfeld des Datenschutzes der Gesellschaft Sicherstellen der ordnungsgemäßen Bestellung des Datenschutzbeauftragten Überprüfung der Prüfungs-und Gestaltungsaufgaben des Datenschutzbeauftragten Prüfung und Analyse von: Technische und organisatorische Maßnahmen Führung des Verfahrensverzeichnisses Durchführung der Vorabkontrolle Auftragsdatenverarbeitung Übermittlung personenbezogener Daten in EU- und Drittländer Bearbeitung von Anfragen Angemessenheit der Datenschutzrichtlinie Verpflichtungserklärung der Mitarbeiter Datenschutz-Erklärung auf der Website Schulung der Mitarbeiter in Datenschutzfragen Abgestimmte Ergebnisse mit den geprüften Einheiten sowie dem Auftraggeber Auditbericht mit identifizierten Schwachstellen und Maßnahmenempfehlungen Skizzierung einer möglichen Roadmap zur Umsetzung der Maßnahmenempfehlungen Seite 41

42 Security - Referenzen Finanzdienstleister, Mittelständische Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Prüfung und Analyse des IT-Sicherheits- Managementsystems Identifikation von Sicherheitslücken und Schwachstellen Identifikation von Handlungsfeldern und Ableitung von Maßnahmenempfehlungen Prüfung und Analyse von: Organisation: Aufbau-und Ablauforganisation Richtlinien und Verfahrensanweisungen: Prozessdokumentation, Sicherheitsleitlinie, Sicherheitskonzepte, technische Anweisungen Sicherheitsmaßnahmen: Personelle, physikalische, technische, prozessorientierte, Umgang mit Sicherheitsvorfällen, Bewusstseinsbildung System Management: Sicherheitsmonitoring, IT- Kontrollsystem Abgestimmte Ergebnisse mit den geprüften Einheiten sowie dem Auftraggeber Auditbericht mit identifizierten Schwachstellen und Maßnahmenempfehlungen Skizzierung einer möglichen Roadmap zur Umsetzung der Maßnahmenempfehlungen Seite 42

43 Security - Referenzen Landesbank Ziele des Projektes Vorgehen Ergebnisse Implementierung eines IDMS Anbindung erster IT-Systeme Vereinfachung administrativer Prozesse Konsolidiertes Informationssystem zur Darstellung von Userdaten Erhaltung der Flexibilität bei Veränderung der Aufbauorganisation und Prozesse Unterstützung des Lizenzmanagements Software-Evaluation Erstellung eines Fachkonzeptes für das IDMS Auswahl der anzubindenden IT- Systeme Information der Fachbereiche und Rekrutierung vom Projektmitarbeitern Analyse und Bereinigung der Daten in den anzubindenden IT- Systemen Implementierung der User im IDMS mit Workflow für das Accounting Erarbeitung von Rollen mit den Fachbereichen Anpassung der Software und Implementierung der Rollen Schulung der Fachbereiche im Umgang mit dem IDMS Anpassung der Prozesse für die User-Administration Einhaltung geltender Gesetze / Vorschriften / Anforderungen Datensicherheit und -schutz Zentrales Informationssystem zur Darstellung von Benutzerdaten Zentrales Verwaltungssystem für Benutzer und deren Berechtigungen Revalidierte Benutzer-Accounts und -berechtigungen für die angeschlossenen IT-Systeme Strukturierter und standardisierter Aufbau von Verzeichnisdiensten Etablierter Workflow für die Freigabe von Berechtigungen und automatisierte Provisionierung in die IT- Systeme Zentrales Audit von Berechtigungen und deren Freigabe Seite 43