Bearbeitungs- und Prüfungsleitfaden Datenschutz & IT-Sicherheit



Ähnliche Dokumente
Datenschutz & IT-Sicherheit

A. Rahmenbedingungen und Datenschutzorganisation (Bunuel/ Gaess) 1. C. Arbeitnehmerdatenschutz und Fraud-Maßnahmen (Hallermann) 125

Die Unternehmergesellschaft

A. Rahmenbedingungen und Datenschutzorganisation. Verhältnis von Compliance-Funktion, Risikomanagement. Datenschutz.

Filme der Kindheit Kindheit im Film

Bearbeitungs- und Prüfungsleitfaden. Risikoorientierte Projektbegleitung. Interne Revision

Ausmaß und Stärke der automatischen Stabilisatoren in Deutschland vor dem Hintergrund der jüngsten Steuer- und Sozialreformen

schnell und portofrei erhältlich bei

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Handbuch Bankaufsichtliches Meldewesen

Böser Engel. Die wahre Geschichte der Hells Angels. Bearbeitet von George Wethern

Der IT Security Manager

Mehrsprachigkeit und Englischunterricht

Produktmanagement in Versicherungsunternehmen

Kraftfahrtversicherung

Wege aus dem Reformstau

Bewertung von Innovationen im Mittelstand

Bearbeitungs- und Prüfungsleitfaden

Freiberger Seminare zum Gewerblichen Rechtsschutz

QM in der Altenpflege - online

Wild- und Jagdschaden

Public Private Partnership in der Entsorgung der gemischten Siedlungsabfälle in Deutschland

Psychologie der Fotografie: Kopf oder Bauch?

Das Bild als Erzieher

Landesbauordnung Nordrhein-Westfalen

Schulungspaket ISO 9001

Die private und betriebliche Altersversorgung

Mindestanforderungen an das Risikomanagement (MaRisk)

ISO 9001: vom Praktiker für Praktiker. Bearbeitet von Norbert Waldy

Kölner Schriften zu Recht und Staat 54. Kinderrechte. Das Übereinkommen über die Rechte des Kindes im internationalen und nationalen Kontext

Chancen und Risiken der Industrialisierung in der Versicherungswirtschaft

Rechnungsabgrenzungsposten und steuerliche Gewinnermittlung

Wandel der Beratungsqualität auf dem Versicherungsvermittlungsmarkt

Das "Gesetz über Patientenverfügungen" und Sterbehilfe

Übergangs- und Endkonsolidierung nach IFRS

Datenschutz im Pfarrbüro

Das neue Zollrecht der Europäischen Union

NPO-Controlling. Professionelle Steuerung sozialer Dienstleistungen. Bearbeitet von Maria Laura Bono

Business Process Outsourcing

Business Process Outsourcing

Internes Rechnungswesen

Krafttraining bei Kindern und Jugendlichen

Risk Management in der Entsorgung

Studien zur Pahlavi-Übersetzung des Avesta

Umweltmanagement nach ISO 14001:2015

Praxishandbuch Freiwilligenmanagement

Mezzanine-Kapital für den Mittelstand

Das Bundesverfassungsgericht im Politikfeld Innere Sicherheit

BDSG. Bundesdatenschutzgesetz

Bearbeitungs- und Prüfungsleitfaden Rating-Systeme und -Prozesse

Zuwendungsrecht - Zuwendungspraxis - ohne Aktualisierungsservice

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

VOB-Musterbriefe für Auftragnehmer

Wissensmanagement im Innovationsprozess

Politische Triebkräfte der Innovation

Die Gesetzliche Krankenversicherung

Doppelte Buchführung in der Kommunalverwaltung

Zeitung als Zeichen. Identität und Mediennutzung nationaler Minderheiten in Deutschland. Bearbeitet von Swea Starke

Narrative Kompetenz in der Fremdsprache Englisch

Fehler muss man sehen

Elliptische Differentialgleichungen zweiter Ordnung

Dr. Gregor Scheja. Einführung in das Datenschutzrecht

Integrierte Unternehmensplanung

Die Unternehmensumwandlung

Die Anwendung islamischen Scheidungs- und Scheidungsfolgenrechts im Internationalen Privatrecht der EU-Mitgliedstaaten

Langenscheidt Training plus, Mathe 4. Klasse

Optimale Prozessorganisation im IT-Management

Handbuch Karriereberatung

Preis und Markendehnung

Roman und Persönlichkeitsrecht

HOAI-Kommentar. zur Honorarordnung für Architekten und Ingenieure. Bearbeitet von RA Prof. Rudolf Jochem, Dipl.-Ing.

Die Umsetzung der Verbraucherkreditrichtlinie 87/102/EWG in Deutschland und Griechenland

Brandschutzleitfaden für Kindertageseinrichtungen am Beispiel Nordrhein-Westfalen

PQM - Prozessorientiertes Qualitätsmanagement

Der Rechtsrahmen der elektronischen Presse

Unterweisen leicht gemacht

Aktuarielle Methoden der Tarifgestaltung in der Schaden- /Unfallversicherung

Energie- und klimaeffiziente Produktion

Change happens - Veränderungen gehirngerecht gestalten - inkl. Arbeitshilfen online

Wirksam führen. Ein Leitfaden für Chef- und Oberärzte. Bearbeitet von Dr. Barbara Hogan, Werner Fleischer

Nachhaltigkeit in der Gesetzlichen Rentenversicherung Was leistet die kinderzahlabhängige Rente

Bearbeitungs- und Prüfungsleitfaden: Risikoorientierte Geldwäscheund Betrugsprävention

Hygiene in Grossküchen

DCF-Bewertung von Versicherungsunternehmen

Professionelles Forderungsmanagement

Bauaufsichtliche Zulassungen - Teil IV: Gewässerschutz (BAZ IV)

Die perfekte Feuerwehr-Rede - Starter-Set

Shared Service Center-Controlling

Internationales Privatrecht und Geschäftsführerhaftung bei Insolvenzen von Auslandsgesellschaften

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Bearbeitungs- und Prüfungsleitfaden Prüfung von Problemkreditbereichen: MaRisk-konforme System-, Funktions- und Einzelengagement-Prüfungen, 2.

Grundzüge der Betriebswirtschaftslehre

Immobilienbewertung im Steuerrecht

Mitarbeiterbindung im Einflussfeld gesellschaftlicher Modernisierung in Mittel- und Osteuropa

Die besten Mitarbeiter finden und halten

Beck kompakt. Hartz IV & ALG 2. Ihre Ansprüche, Rechte und Pflichten. Bearbeitet von Claus Murken

Kranken- und Unfallversicherungen

Integrierte Rettungssysteme in Brandschutzkleidung

Sanierung Freiberufler und wirtschaftlich Selbständige

Transkript:

Bearbeitungs- und Prüfungsleitfaden Datenschutz & IT-Sicherheit Neue Herausforderungen für die Interne Revision und den Datenschutzbeauftragten von Banken uind Sparkassen aufgrund der jüngsten BDSG-Novellen und der aktuellen MaRisk Bearbeitet von Michael Borchert, Andreas Kirsch, Andreas Kolb, Björn Toemmler 1. Auflage 2010. Buch. 280 S. Hardcover ISBN 978 3 940976 28 4 Format (B x L): 14,8 x 21 cm Wirtschaft > Finanzsektor & Finanzdienstleistungen: Allgemeines > Bankwirtschaft schnell und portofrei erhältlich bei Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, ebooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

Inhaltsverzeichnis Abschnitt 1: Interne Überwachung der automatisierten Verarbeitung personenbezogener Daten 1 I. Personalwirtschaftliche Beurteilung der Aufgaben des Datenschutzbeauftragten (DSB) 3 II. 1. Wesentlicher Bestandteil des Internen Kontrollsystems 3 1.1. Fundstellen 3 1.2. Wesentlicher Inhalt 3 1.3. Checkliste 6 1.4. Praktikerhinweise 6 2. Zur Rolle als Datenschutzbeschwerdestelle in 4f BDSG 7 2.1. Fundstellen 7 2.2. Wesentlicher Inhalt 7 2.3. Checkliste 10 2.4. Praktikerhinweise 10 3. Positionierung gegenüber Geschäftsleitung und Mitarbeitern 10 3.1. Fundstellen 10 3.2. Wesentlicher Inhalt 11 3.3. Checklisten 12 3.4. Praktikerhinweise 12 Bewertung der Voraussetzungen für die erforderliche Fachkunde des DSB 13 1. Mitgestaltung an datenschutzrelevanten Regelwerken 13 1.1. Fundstellen 13 1.2. Wesentlicher Inhalt 13 1.3. Checkliste 15 2. Informations- und kommunikationstechnische Kenntnisse 15 2.1. Fundstellen 15 2.2. Wesentlicher Inhalt 16 2.3. Checkliste 16 2.4. Praktikerhinweise 17 VII

III. IV. 3. Kenntnisse über datenschutzrelevanten Geschäftsprozesse 17 3.1. Fundstellen 17 3.2. Wesentlicher Inhalt 17 3.3. Checkliste 18 3.4. Praktikerhinweise 18 Kontrollhandlungen zur ordnungsgemäßen Anwendung der DV-Programme 19 1. Datenverarbeitung in einem externen Rechenzentrum 19 1.1. Fundstellen 19 1.2. Wesentlicher Inhalt 19 1.3. Checklisten 22 1.4. Praktikerhinweise 23 2. Institutsinterne Datenverarbeitungsanlage 24 2.1. Fundstellen 24 2.2. Wesentlicher Inhalt 24 2.3. Checkliste 25 2.4. Praktikerhinweise 25 3. Standardsoftwareprogramme auf dem PC 26 3.1. Fundstellen 26 3.2. Wesentlicher Inhalt 26 3.3. Checkliste 26 3.4. Praktikerhinweise 27 Geschäftsbereichsspezifische Schulung und Unterweisung der Mitarbeiter 28 1. Einholung einer Verpflichtungserklärung 28 1.1. Fundstellen 28 1.2. Wesentlicher Inhalt 28 1.3. Checkliste 30 1.4. Praktikerhinweise 30 2. Datenschutzspezifische Regelungen im Intranet 31 2.1. Fundstellen 31 2.2. Wesentlicher Inhalt 31 2.3. Checkliste 33 2.4. Praktikerhinweise 34 VIII

3. Datenschutzrichtlinien in Ergänzung zu Arbeitsanweisungen 34 3.1. Fundstellen 34 3.2. Wesentlicher Inhalt 34 3.3. Checkliste 36 3.4. Praktikerhinweise 36 V. Prüfung der Zulässigkeitsvoraussetzungen bei der Erhebung, Speicherung, Veränderung und Übermittlung von Daten 37 VI. 1. Fundstellen 37 2. Wesentlicher Inhalt 37 3. Checkliste 39 4. Praktikerhinweise 40 Überwachung der Löschung bzw. Sperrung personenbezogener Daten 41 1. Fundstellen 41 2. Wesentlicher Inhalt 41 3. Checkliste 42 4. Praktikerhinweise 42 VII. Benachrichtigung des Betroffenen 43 1. Fundstellen 43 2. Wesentlicher Inhalt 43 3. Checkliste 45 3. Praktikerhinweise 46 VIII. Regelungen zur Auskunftserteilung an den Betroffenen 46 IX. 1. Fundstellen 46 2. Wesentlicher Inhalt 46 3. Checkliste 48 4. Praktikerhinweise 48 Erstellung und Führung eines internen Verfahrensverzeichnisses 49 1. Fundstellen 49 IX

2. Wesentlicher Inhalt 49 3. Checkliste 50 4. Praktikerhinweise 51 X. Anlässe für die Vorabkontrolle 51 1. Fundstellen 51 2. Wesentlicher Inhalt 51 3. Checklisten 52 4. Praktikerhinweise 52 XI. Bewertung von Akquisitionsdateien 53 1. Fundstellen 53 2. Wesentlicher Inhalt 53 3. Checkliste 55 4. Praktikerhinweise 55 Abschnitt 2: Technische und organisatorische Maßnahmen zur Einhaltung besonderer Vorgaben für Datenschutz/ -sicherheit 57 I. Einführung 59 II. Besondere Maßnahmen zur Zutrittskontrolle 62 1. Festlegung der Zutrittsberechtigung zu Hardware- Komponenten 62 1.1. Einleitung 62 1.2. Wesentliche Anforderungen 63 1.3. Checkliste 64 1.4. Risiken 73 1.5. Praktische Empfehlungen 74 2. Zutrittsregelungen für bestimmte Personengruppen und für Ausnahmesituationen 74 2.1. Einführung 74 2.2. Wesentliche Anforderungen 74 2.3. Checkliste 75 2.4. Risiken 79 2.5. Praktische Empfehlungen 79 X

3. Einsatz von Zufallsuntersuchungen 80 3.1. Einführung 80 3.2. Wesentliche Anforderungen 80 3.3. Checkliste 81 3.4. Risiken 83 3.5. Praktische Empfehlungen 84 III. Benutzerkontrolle der Datenverarbeitungssysteme 84 1. Überwachung der Zugangsberechtigungen 84 1.1. Einführung 84 1.2. Wesentliche Anforderungen 85 1.3. Checkliste 85 1.4. Risiken 94 1.5. Praktische Empfehlungen 95 2. Passwort-Identifikation des Benutzers 95 2.1. Einführung 95 2.2. Wesentliche Anforderungen 96 2.3. Checkliste 96 2.4. Risiken 102 2.5. Praktische Empfehlungen 103 IV. Maßnahmen zur Zugriffskontrolle 104 1. Beschränkung des Zugriffs auf den erforderlichen Umfang (Need-To-Know-Prinzip) 104 1.1. Einführung 104 1.2. Wesentliche Anforderungen 104 1.3. Checkliste 106 1.4. Risiken 111 1.5. Praktische Empfehlungen 111 2. Laufende Aktualisierung der Zugriffsberechtigungen 112 2.1. Einführung 112 2.2. Wesentliche Anforderungen 113 2.3. Checkliste 113 2.4. Risiken 116 2.5. Praktische Empfehlungen 116 3. Protokollierung der Zugriffe und Auditierung von Benutzerrechtezuweisungen 117 XI

3.1. Einführung 117 3.2. Wesentliche Anforderungen 117 3.3. Checkliste 119 3.4. Risiken 122 3.5. Praktische Empfehlungen 122 4. Abgrenzung der dem Betriebsprüfer vorzulegenden steuerlich relevanten Daten 123 4.1. Einführung 123 4.2. Wesentliche Anforderungen 123 4.3. Checkliste 124 4.4. Risiken 126 4.5. Praktische Empfehlungen 127 V. Weitergabekontrolle personenbezogener Daten 128 1. Klassifizierung der Datenträger nach Schutzbedarf 128 1.1. Einführung 128 1.2. Wesentliche Anforderungen 128 1.3. Checkliste 129 1.4. Risiken 131 1.5. Praktische Empfehlungen 131 2. Richtlinien für die Durchführung von Transfers 132 2.1. Einführung 132 2.2. Wesentliche Anforderungen 132 2.3. Checkliste 133 2.4. Risiken 136 2.5. Praktische Empfehlungen 137 3. Überprüfung der Identität der Empfänger 137 3.1. Einführung 137 3.2. Wesentliche Anforderungen 137 3.3. Checkliste 139 3.4. Risiken 140 3.5. Praktische Empfehlungen 140 VI. Kontrollen bei der Auftragsdatenverarbeitung 141 1. Vorgaben für eine zweckmäßige Betriebsorganisation 141 1.1. Einführung 141 1.2. Wesentliche Anforderungen 141 XII

1.3. Checkliste 142 1.4. Risiken 147 1.5. Praktische Empfehlungen 148 2. Verbindliche Festlegung sämtlicher Arbeitsabläufe 148 2.1. Einführung 148 2.2. Wesentliche Anforderungen 149 2.3. Checkliste 150 2.4. Risiken 151 2.5. Praktische Empfehlungen 152 3. Überwachung der Einhaltung von Arbeitsanweisungen 152 3.1. Einführung 152 3.2. Wesentliche Anforderungen 152 3.3. Checkliste 154 3.4. Risiken 157 3.5. Praktische Empfehlungen 157 VII. Verfügbarkeitskontrolle 158 1. Einführung 158 2. Wesentliche Anforderungen 159 3. Checkliste 160 4. Risiken 165 5. Praktische Empfehlungen 166 Abschnitt 3: Umsetzung, Prüfung und Beurteilung des internen IT-Sicherheitsmanagements 167 I. Zielstellung und Aufbau dieses Abschnittes 169 II. Umsetzung, Prüfung und Beurteilung des internen IT- Sicherheitsmanagements 170 1. Prüfungsumfeld 170 1.1. Bedeutung 170 1.2. Zwischenfazit 173 1.3. Checkliste 173 2. Prüfung und Beurteilung von IT-Umfeld und -Organisation 174 2.1. Strategienpyramide 174 XIII

2.2. Checkliste 176 2.3. IT-Organisation 177 2.4. Checkliste 183 3. Einzubeziehende Bereiche 186 3.1. IT-Risikomanagement auf Gruppenebene 186 3.2. Checkliste 188 4. Abgleich der Geschäftsprozesse mit Organisationsrichtlinien und Prozessbeschreibungen 189 4.1. Prüfungsvorgehen 189 4.2. Checkliste 190 5. Funktionstrennung mittels Kompetenzregelungen und Bearbeitungsvermerke 193 5.1. Beachtenswerte Aspekte bei der Umsetzung der Funktionstrennungen, Kompetenzregelung und Bearbeitungsvermerke 193 5.2. Checkliste 193 6. Prüfung des Unsicherheitsfaktors Mensch (Anwendungsfehler, Manipulation) 194 6.1. Problemskizzierung 194 6.2. Checkliste 196 7. Ad-hoc-Prüfung von Teilen des IKS durch Mitarbeiter unterschiedlicher Bereiche 197 7.1. Nur eine Aufgabe der Revision? 197 7.2. Checkliste 198 III. Überprüfung und Beurteilung infrastruktureller IT-Risiken 199 1. Risikenaufnahme 199 1.1. Prüfungshandlungen 199 1.2. Zwischenfazit 200 1.3. Checkliste 201 2. Schutzfunktionen an Schnittstelle zwischen IT-Infrastruktur und Internet 202 2.1. Ausgangslage 202 2.2. Zwischenfazit 205 2.3. Checkliste 205 3. Beschränkung der Zugriffsrechte 206 XIV

IV. INHALTSVERZEICHNIS 3.1. Grundsätzliches 206 3.2. Checkliste Beschränkung der IT-Zugriffsrechte 207 4. Prüfung und Beurteilung des IT-Notfallkonzepts 208 4.1. Grundsätzliche Anforderungen an eine IT- Notfallkonzeption 208 4.2. Zwischenfazit 211 4.3. Checkliste 211 5. Sicherung der IT-Infrastruktur durch projektbegleitende Prüfungen 212 5.1. Zielsetzung 212 5.2. Checkliste 213 Prozessbegleitung und Prüfung für die Entwicklung und den Einsatz von IT-Anwendungen 213 1. Organisatorische Rahmenbedingungen 213 1.1. Einführung 213 1.2. Checkliste 215 2. Standardisierte Verfahren zur Veränderung der IT- Anwendungen/IT-Systeme 216 2.1. Change-Management als zentraler Ansatzpunkt 216 2.2. Checkliste 219 3. Festlegung der Kriterien für Zeitpunkt, Art und Umfang von Prüfungshandlungen 221 3.1. Festlegung des Rahmens der Begleitung/Prüfung 221 3.2. Checkliste 224 4. Prüfung der Programmentwicklung, Verfahren zur Bewertung und Auswahl von (zu erwerbenden) Programmen 224 4.1. Idealtypischer Ablauf 224 4.2. Checkliste 230 5. Information der Geschäftsleitung bei schwerwiegenden Bedenken gegen den Programmeinsatz 233 5.1. Ziel der Projekt-/Prozessbegleitung 233 5.2. Checkliste 234 V. Auslagerung von IT-Systemen sowie IT-gestützten betrieblichen Funktionen 234 XV

1. Rahmenbedingungen 234 1.1. Einführung 234 1.2. Checkliste 237 2. Integration der Kontroll- und Steuerungskreisläufe des Outsourcingnehmers in das IT-Sicherheitsmanagement des Outsourcinggebers 238 2.1. Integrationserfordernis von outgesourcten Bereichen in die Unternehmenssteuerung 238 2.2. Checkliste 241 3. (Teil-) Outsourcing der besonders unternehmenskritischen IT-Sicherheit 241 3.1. IT-Sicherheitsmanagement outsourcen? 241 3.2. Checkliste 242 4. Technisch-organisatorische Anforderungen unter Datenschutz- und Datensicherheitsaspekten 243 4.1. Grundsätze 243 4.2. Checkliste 244 Abschnitt 4: Datenschutzaudit nach 9a BDSG 247 I. Datenschutzaudit nach 9a BDSG 249 1. Sichtung und Begutachtung der Unterlagen 250 1.1. Checkliste 252 1.2. Checkliste 252 1.3. Checkliste 252 1.4. Checkliste 253 2. Auditierung vor Ort 253 3. Bewertung und Analyse 255 4. Abschlussmeeting 256 5. Nach dem Audit ist vor dem Audit 257 6. Prüfung durch die Aufsichtsbehörde 257 7. Prüfung durch die Aufsichtsbehörde 258 XVI

II. Prüfungen der Innenrevision 259 1. Datenschutz und Revision 259 2. Praktische Empfehlungen 260 Literaturverzeichnis 263 XVII

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback