Kontrollpflichten externer Lieferanten EUDA von Endbenutzern entwickelte Anwendungen (End User Developed Applications)
Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle Geschäfts- und Sicherheitskontrollen Funktionen und Verantwortlichkeiten Der Lieferant muss Funktionen und Verantwortlichkeiten für EUDAs festlegen und kommunizieren. Diese müssen nach jeder am Betriebsmodell oder EUDAs erfordern ein Sponsorship auf höherer Ebene, um sicherzustellen, dass Geschäft des Lieferanten vorgenommenen Änderung überprüft werden. Kontrollmechanismen entwickelt, implementiert Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für und effektiv umgesetzt werden. EUDAs zuständig ist. Um die Geschäftsleitung hinreichend über die EUDA- Risikoberichterstattung Um sicherzustellen, dass EUDA-Risiko-Vorfälle gemeldet und verwaltet werden, müssen dokumentierte Kontrollmechanismen und Prozesse vorhanden sein. Entwicklung und den Ablauf der EUDA - Risikokontrollen in Kenntnis zu setzen, ist eine fortlaufende Überwachung nötig. Der Lieferant sollte EUDA-Vorfälle und Datenschutzverletzungen unverzüglich behandeln und Barclays melden. Es sollte ein Vorfallbehandlungsprozess für die zeitnahe Bearbeitung und Meldung von Fehlern, die Auswirkungen auf Informationen von Barclays und/oder auf von Barclays genutzte Dienste haben, eingerichtet sein. Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen nach einem Vorfall gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist) ausgeführt und mit Barclays abgesprochen und vereinbart werden. Fortlaufende Der Lieferant muss regelmäßig (mindestens jedoch einmal in jedem Überwachung Kalenderjahr) seine Einhaltung dieses Zeitplans messen, auswerten und dokumentieren. Einhaltung der Der Lieferant stellt sicher, dass auf EUDA bezogene gesetzliche wie gesetzlichen und satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der satzungsmäßigen Lieferant arbeitet, angemessen dokumentiert sind und eingehalten werden. Bestimmungen vor Ort Seite 1
Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle Weiterbildung und Awareness Weiterbildung und Awareness für Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter mit Verantwortlichkeiten für EUDA bestimmt werden und innerhalb eines Es soll sichergestellt werden, dass sämtliche Mitarbeiter des Lieferanten mit Neuangestellte angemessenen Zeitraums eine Schulung absolvieren, die ihnen die nötigen Verantwortlichkeiten für EUDA sich ihrer Kenntnisse über ihre Funktionen und Verantwortlichkeiten in Bezug auf EUDA Verantwortlichkeiten bewusst sind, um zu vermittelt. verhindern, dass der Lieferant EUDAs und die in ihnen enthaltenen Informationen Fortlaufende Der Lieferant muss sicherstellen, dass Mitarbeiter, denen Verantwortlichkeiten versehentlich vermeidbaren Risiken aussetzt. Weiterbildung und für EUDA zugewiesen worden sind, die für ihre Funktion erforderliche Awareness Weiterbildung und Awareness vermittelt bekommen (a) in Intervallen, die der Bedeutung ihrer Verantwortlichkeiten angemessen sind, und (b) mindestens einmal pro Jahr. EUDA-Kontrollziele Bestimmung und Es muss ein Prozess zur Identifizierung sämtlicher EUDAs, die Dienste von Die Identifizierung und Bewertung der Einschätzung der Barclays unterstützen, dokumentiert und vorhanden sein. Die Kritikalität der Kritikalität von EUDAs ist von oberster Kritikalität EUDA muss mit Barclays vereinbart werden. Bedeutung für die Bestimmung der richtigen Kontrollstufe für sämtliche EUDAs. EUDA-Kontrollziele Mindestanforderungen an Kontrollen Der Primärbenutzer der EUDA muss Kontrollen implementieren, die den Anforderungen der Kontrollziele ausgehend von der mit Barclays vereinbarten Entsprechend dem Risiko, mit dem die EUDA verbunden ist, muss die richtige Kontrollstufe ausgehend von der Kritikalitätsstufe entsprechen. angewendet werden, damit die Kontrollen bei Kritikalität der EUDA Die mit V gekennzeichneten Kontrollziele sind gemäß diesem Dokument als Verbindlich vorgeschrieben. Alle anderen Kontrollziele sind nur Optional ( O ). einer EUDA mit geringerem Risiko nicht zu umfangreich sind. Die Übersicht zu Kontrollen ist Anhang A zu entnehmen. Es sind gegebenenfalls Nachweise aufzubewahren, um zu zeigen, dass die Seite 2
betreffenden Kontrollziele erreicht werden. EUDA-Kontrollziele Registrierung Zur Schaffung von Transparenz hinsichtlich des Gesamtbestands der im Geltungsbereich liegenden EUDAs für den Lieferanten und zur Erfassung wichtiger Merkmale in Bezug auf die Einhaltung der Bestimmungen dieses Dokuments muss eine EUDA-Bestandsliste vorhanden sein. Die Vollständigkeit der EUDA-Bestandsliste ist von grundlegender Bedeutung, damit die erforderliche Sicherheit und die Funktion von EUDAs gewährleistet sind. Es muss ein Prozess dokumentiert und vorhanden sein, um sicherzustellen, dass die Bestandsliste der EUDAs vollständig, genau und aktuell ist. Die EUDA- Bestandsliste muss mindestens einmal jährlich auf Genauigkeit und Vollständigkeit überprüft werden. Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle EUDA-Kontrollziele Zugriff Der Zugriff auf Daten und Geschäftslogik für sämtliche EUDAs muss auf die entsprechenden Benutzer mit den entsprechenden Zugriffsrechten beschränkt sein. Der Zugriff muss anhand eines risikobasierten Ansatzes überprüft werden. EUDA-Kontrollziele Verfügbarkeit Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass EUDAs im Einklang mit den Anforderungen der BU zur Verfügung stehen müssen. EUDA-Kontrollziele Änderungsmanagement Durch die Beachtung von Prinzipien des Änderungsmanagements wird sichergestellt, dass EUDAs nach Änderungen der Geschäftslogik wie erwartet funktionieren. Änderungen der Geschäftslogik von EUDAs oder von wichtigen statischen Entsprechende Zugriffskontrollen schützen EUDAs vor unbefugtem, unangemessenem oder nicht zuordenbarem Zugriff. Durch die Verfügbarkeit von EUDAs wird die kontinuierliche Funktion von Geschäftsprozessen sichergestellt. Ein angemessenes Änderungsmanagement ist von entscheidender Bedeutung dafür, dass die EUDA nach einer Änderung weiter wie erwartet funktioniert. Seite 3
Daten dürfen nicht zu Fehlern der Ausgabedaten oder der Berichterstattung führen. Neuere Versionen von EUDAs müssen klar von vorherigen Versionen unterschieden werden, und ältere Versionen sind an einem gesonderten Ort zu halten. Die Kenntnis von Eingabedaten, Berechnungen, Ausgabedaten sowie die Fähigkeit, selbige zu ändern, darf nicht auf eine einzelne Person (EUDA- Primärbenutzer) beschränkt sein. Zur Unterstützung der fortlaufenden Nutzung und Pflege der EUDA bei Abwesenheit des EUDA-Primärbenutzers muss ein EUDA-Prüfer benannt werden. Darüber hinaus muss eine hinreichende Dokumentation vorhanden sein, anhand derer eine Person, die mit einer spezifischen EUDA bewandert ist, die EUDA ändern und warten kann. EUDA-Kontrollziele Überführung in eine Beim EUDA-Verantwortlichen muss ein Prozess vorhanden sein, um jährlich Die Überführung von EUDAs, die als Kritisch verwaltete Anwendung die potenzielle Überführung von EUDAs, deren Kritikalität als hoch eingestuft eingestuft sind, in verwaltete Anwendungen ist, in eine Lösung für verwaltete Technologien in Betracht zu ziehen. würde die Kontrollen in dem Prozess verbessern, und die Effizienz ebenso, denn dies ermöglicht die Implementierung von stärker standardisierten Kontrollen. Definitionen EUDA EUDAs sind Anwendungen und Tools, die von den Endbenutzern erstellt, genutzt und verwaltet werden. Entwickelt werden diese in der Regel mit Standard-Desktop-Software (meistens Microsoft Excel oder Access) und anderen Arten von Datenbanken, Abfragen, Makros, Skripten, Berichterstattungstools, ausführbaren Dateien und Code-Paketen. EUDAs führen einen Geschäftsprozess fortlaufend aus oder sind Bestandteil eines Geschäftsprozesses (keine nur einmalige Nutzung), was Auswirkungen in finanzieller, regulatorischer oder den Ruf betreffender Hinsicht auf Barclays oder nachteilige Folgen für einen Kunden von Barclays haben könnte, falls Berechnungen oder Ausgabedaten von EUDAs ungenau, nicht verfügbar, Seite 4
nicht aktuell oder fehlerhaft sind. Zur Klarstellung wird angemerkt, dass es sich bei einer EUDA um eine Gruppe automatisierter Tools (z. B. Arbeitsblätter einer Tabellenkalkulation) handeln kann, allerdings müssen sie der Unterstützung des gleichen Prozesses/Funktionsbereichs dienen und einen einzigen EUDA-Primärbenutzer haben. Sämtliche in der Gruppe enthaltenen Tools unterliegen den gleichen Kontrollbestimmungen. EUDA-Verantwortlicher EUDA-Primärbenutzer EUDA-Prüfer Für jede EUDA muss ein EUDA-Verantwortlicher benannt sein. Der EUDA-Verantwortliche muss zumindest eine Person auf der Hiercharchiestufe eines Direktors oder eine ähnliche Person in der relevanten BU bzw. im relevanten Funktionsbereich sein. Der EUDA-Verantwortliche ist für Folgendes rechenschaftspflichtig: Führen einer vollständigen und genauen Bestandsliste sämtlicher EUDAs für ihre jeweiligen Teams, und Sicherstellen, dass sämtliche unter ihre Verantwortung fallenden EUDAs den Bestimmungen dieses Dokuments entsprechen. Sicherstellen, dass jedes Jahr die Überführung von EUDAs, deren Kritikalität als hoch eingestuft ist, in eine Lösung für verwaltete Technologien in Betracht gezogen wird. Für jede EUDA muss ein EUDA-Primärbenutzer benannt sein. Der EUDA-Primärbenutzer ist für Folgendes verantwortlich: Integrität der Daten, Berechnungen und aller sonstigen Inhalte in der EUDA, Identifizierung und Registrierung der EUDA bei der richtigen EUDA-Bestandsliste, Durchführung der Kritikalitätsbewertung für die EUDA, Fortlaufende Entwicklung und Wartung der EUDA, und Sicherstellen, dass die EUDA den im vorliegenden Dokument definierten Kontrollzielen gerecht wird. Beim benannten Prüfer muss es sich um eine Einzelperson, nicht aber um den Primärbenutzer, mit hinreichend Kenntnissen und Erfahrung in Bezug auf die EUDA handeln, die zu Folgendem in der Lage ist: Unterstützung der fortlaufenden Nutzung und Wartung der EUDA bei Abwesenheit des EUDA-Primärbenutzers, und Unterstützung von wichtigen Kontrollaktivitäten, die eine unabhängige Überprüfung erfordern würden. Seite 5
Anhang A: Mindestanforderungen an Kontrollen Kontrollziel Sehr gering Gering Mittel Hoch EUDA-Identifizierung und Bewertung der Kritikalität V V V V EUDA-Registrierung O V V V Zugriff O V V V Verfügbarkeit O O V V Änderungsmanagement O O V V Validierung von Daten und Berechnung O O O V Seite 6