Kontrollpflichten externer Lieferanten. EUDA von Endbenutzern entwickelte Anwendungen (End User Developed Applications)

Ähnliche Dokumente
Fragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan)

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

Maßnahmen zur Qualitätssicherung bei der Gassystemeinbauprüfung (GSP) und Gasanlagenprüfung (GAP)

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Die Kombination von Medizinprodukten. SystemCheck

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.

HERZLICH WILLKOMMEN. Revision der 9001:2015

Qualitätsmanagement - Kundenzufriedenheit Leitfaden für die Behandlung von Reklamationen in Organisationen

Übersicht über ISO 9001:2000

Das Tool zur Konformitätsbewertung von Maschinen und Anlagen von Pichler Andreas BSc, MSc. betreut von: Dr. Hans Tschürtz MSc, MSc

Mandat des Prüfungsausschusses

Leitlinie für die Informationssicherheit

Vereinbarung über den elektronischen Datenaustausch (EDI)

Konformitätsbewertung 3.9 A 3

Vom 6. Mai 2003 (GBl. S. 228)

derzeitiger Stand / Vergleich mit TG-Gemeinden

Information Security Policy für Geschäftspartner

Verordnung über das Risikomanagement

S o f t w a r e b e s c h e i n i g u n g. zum Softwareprodukt. DocuWare in der Version 6.8, Elektronische Kopie

DE 098/2008. IT- Sicherheitsleitlinie

Korrektur- und Vorbeugungsmaßnahmen

Fragenkatalog 1 CAF-Gütesiegel - Fragenkatalog für die Selbstbewertung

MZ-2, Mai 2016 OEM NACHHALTIGKEITSFRAGEBOGEN - ANFORDERUNGEN DER BMW GROUP AN LIEFERANTEN

MBT RAT Risk Assessment Tool Maschinenrichtlinie 2006/42/EG kostenlose Risi

TÜV NORD CERT GmbH DIN EN ISO 9001:2015 und Risikomanagement Anforderungen und Umsetzung

GROHE VERHALTENSKODEX FÜR LIEFERANTEN. GROHE.cOm

Zuordnung der Anforderungen der DIN EN ISO 9001:2015 im QMS-Reha

W7.4.60: Nationales Dachreglement für das Migros Label Aus der Region. Für die Region.

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version

BAnz AT B3. Beschluss

Information Anwendung Kontrolle

Der Navigationsbereich

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite

Rat der Europäischen Union Brüssel, den 15. Juli 2015 (OR. en)

QM-Handbuch. der. ReJo Personalberatung

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Werkzeug. Checkliste Arbeitssicherheit

Bestimmungen zur Kontrolle externer Lieferanten. Überprüfung personenbezogener Daten

Checkliste Technische Dokumentation Produktname

Arbeitsgebiet: Grundlagen. EG-Konformitätserklärungen für Maschinen und Einbauerklärungen für unvollständige Maschinen - Beispiele

Qualitätsmanagement nach DIN EN ISO 9000ff

Sonstige Marktregeln Strom

Leitfaden zur Registrierung von Betrieben nach der Verordnung (EG) Nr. 852/2004 über Lebensmittelhygiene

Bearbeitung von Abweichungen - Checkliste

Handlungshilfe Selbstcheck Sicherheit und Gesundheit - Schule -

Standard Support. Service-Bestimmungen

bit media e-solutions GmbH Kärntner Straße 337, A-8054 Graz Firmenbuch-Nr: FN b UID-Nr: ATU Lizenzvereinbarung

Anleitung zur Qualitätssicherung bei kleinen und mittelgrossen Revisionsunternehmen

IT-Grundschutzhandbuch: Stand Juli

Die Prüfung der Ausgangsstoffe. Eine Hilfe zur Umsetzung

Lieferantenauswahl und - beurteilung

Meldepflichten von AIF-KVGen nach 35 KAGB

I SO ISO DQS DQS

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Datenschutz und IT-Sicherheit an der UniBi

Der neue IFS Logistik, Version 2 Erfahrungen aus der Praxis

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

QS 1 QS-Initialisierung. QS 3 Ergebnisprüfung vorbereiten. QS 4 Ergebnis prüfen. Prüfprotokoll. QS 5 Durchführungsentscheidung

Lieferant und Hersteller

Fragebogen. Was halten Sie als Praktiker von Traceability? 1 - Warum wird Traceability eingesetzt? 2 - Wofür wird Traceability im Projekt eingesetzt

Inhaltsverzeichnis S. 1/220. Vorwort 7

Risikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards

Bereitstellung von Planungswissen über ein Unternehmens-Wiki

Prüfungen nach IECEx OD 024, Merkblatt für Hersteller

Einrichten der regelmäßigen Sicherung

Dokumentation von Anforderungen in einer Anforderungsliste

Was gibt es Neues im Office 365 Umfeld?

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH GMP (GMP + ZERTIFIZIERUNGSSYSTEM DES GMP + INTERNATIONAL)

Kundencheckliste zur DIN EN ISO 9001

So führen Sie das Upgrade Ihres TOSHIBA Windows -PCs oder -Tablets auf Windows 10 durch

Dienstvereinbarung. zwischen. der Verwaltung des Universitätsklinikums Tübingen. und. dem Personalrat des Universitätsklinikums Tübingen.

Antragsbearbeitung nur mit vollständig ausgefüllten Unterlagen, bestehend aus:

REACH in der Praxis UBA Fachworkshop

Kriterienkatalog des Sponsorbevollmächtigten (GHSG) (Auswahl angemessen qualifizierter Mitglieder der Prüfgruppe)

Vergleich der Anforderungen der RiliBÄK K 2008 mit denen der DIN EN ISO 15189

Infoblatt Sicherheit von Maschinen

Lenkung der QM-Dokumentation

Anforderungen an die Bildungsträger gemäß 176 ff. SGB III i.v.m. 8 Anerkennungs- und Zulassungsverordnung

13 Anhang A: Erfüllung der Norm ISO 9000 durch HERMES

BS OHSAS 18001:2007 BS OHSAS Schulung durch Produktmanager (PM) TÜV SÜD Management Service GmbH

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung

Safety Integrated. Einführung und Begriffe zur funktionalen Sicherheit von Maschinen und Anlagen. Nachschlagewerk Januar Answers for industry.

ÄNDERUNGEN UND SCHWERPUNKTE

Anforderungen der Maschinenrichtlinie 2006/42/EG

Rechtliche Aspekte der Arbeitsstättenverordnung - Verantwortung beim Neubau und im Bestand

LEITLINIEN FÜR EMPFEHLENSWERTE VERFAHRENSWEISEN IN DEN BEREICHEN INTERNE KONTROLLSYSTEME, ETHIK UND COMPLIANCE

ETA-11/0493 vom 15. April Europäische Technische Bewertung. Allgemeiner Teil. Deutsches Institut für Bautechnik

Universität Basel WWZ HS 14

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Konformitätsbestätigung für die Umsetzung von Sicherheitskonzepten

Notes Datenbanken HB OF, Risikomanagement

SoDRisk. Die Software-Lösung für die Identifizierung kritischer Einzelberechtigungen und Berechtigungskombinationen in Ihrem SAP -System:

Europäische Technische Bewertung. ETA-12/0166 vom 18. Juni Allgemeiner Teil

Instandhaltungskonzept für Seilbahnbetriebe

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

2.3 Aufgaben und Befugnisse Führungsaufgaben

Bericht der Versicherungsrevisionsstelle (nach VersAG) an die Finanzmarktaufsicht Liechtenstein zur Jahresrechnung 2013

Transkript:

Kontrollpflichten externer Lieferanten EUDA von Endbenutzern entwickelte Anwendungen (End User Developed Applications)

Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle Geschäfts- und Sicherheitskontrollen Funktionen und Verantwortlichkeiten Der Lieferant muss Funktionen und Verantwortlichkeiten für EUDAs festlegen und kommunizieren. Diese müssen nach jeder am Betriebsmodell oder EUDAs erfordern ein Sponsorship auf höherer Ebene, um sicherzustellen, dass Geschäft des Lieferanten vorgenommenen Änderung überprüft werden. Kontrollmechanismen entwickelt, implementiert Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für und effektiv umgesetzt werden. EUDAs zuständig ist. Um die Geschäftsleitung hinreichend über die EUDA- Risikoberichterstattung Um sicherzustellen, dass EUDA-Risiko-Vorfälle gemeldet und verwaltet werden, müssen dokumentierte Kontrollmechanismen und Prozesse vorhanden sein. Entwicklung und den Ablauf der EUDA - Risikokontrollen in Kenntnis zu setzen, ist eine fortlaufende Überwachung nötig. Der Lieferant sollte EUDA-Vorfälle und Datenschutzverletzungen unverzüglich behandeln und Barclays melden. Es sollte ein Vorfallbehandlungsprozess für die zeitnahe Bearbeitung und Meldung von Fehlern, die Auswirkungen auf Informationen von Barclays und/oder auf von Barclays genutzte Dienste haben, eingerichtet sein. Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen nach einem Vorfall gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist) ausgeführt und mit Barclays abgesprochen und vereinbart werden. Fortlaufende Der Lieferant muss regelmäßig (mindestens jedoch einmal in jedem Überwachung Kalenderjahr) seine Einhaltung dieses Zeitplans messen, auswerten und dokumentieren. Einhaltung der Der Lieferant stellt sicher, dass auf EUDA bezogene gesetzliche wie gesetzlichen und satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der satzungsmäßigen Lieferant arbeitet, angemessen dokumentiert sind und eingehalten werden. Bestimmungen vor Ort Seite 1

Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle Weiterbildung und Awareness Weiterbildung und Awareness für Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter mit Verantwortlichkeiten für EUDA bestimmt werden und innerhalb eines Es soll sichergestellt werden, dass sämtliche Mitarbeiter des Lieferanten mit Neuangestellte angemessenen Zeitraums eine Schulung absolvieren, die ihnen die nötigen Verantwortlichkeiten für EUDA sich ihrer Kenntnisse über ihre Funktionen und Verantwortlichkeiten in Bezug auf EUDA Verantwortlichkeiten bewusst sind, um zu vermittelt. verhindern, dass der Lieferant EUDAs und die in ihnen enthaltenen Informationen Fortlaufende Der Lieferant muss sicherstellen, dass Mitarbeiter, denen Verantwortlichkeiten versehentlich vermeidbaren Risiken aussetzt. Weiterbildung und für EUDA zugewiesen worden sind, die für ihre Funktion erforderliche Awareness Weiterbildung und Awareness vermittelt bekommen (a) in Intervallen, die der Bedeutung ihrer Verantwortlichkeiten angemessen sind, und (b) mindestens einmal pro Jahr. EUDA-Kontrollziele Bestimmung und Es muss ein Prozess zur Identifizierung sämtlicher EUDAs, die Dienste von Die Identifizierung und Bewertung der Einschätzung der Barclays unterstützen, dokumentiert und vorhanden sein. Die Kritikalität der Kritikalität von EUDAs ist von oberster Kritikalität EUDA muss mit Barclays vereinbart werden. Bedeutung für die Bestimmung der richtigen Kontrollstufe für sämtliche EUDAs. EUDA-Kontrollziele Mindestanforderungen an Kontrollen Der Primärbenutzer der EUDA muss Kontrollen implementieren, die den Anforderungen der Kontrollziele ausgehend von der mit Barclays vereinbarten Entsprechend dem Risiko, mit dem die EUDA verbunden ist, muss die richtige Kontrollstufe ausgehend von der Kritikalitätsstufe entsprechen. angewendet werden, damit die Kontrollen bei Kritikalität der EUDA Die mit V gekennzeichneten Kontrollziele sind gemäß diesem Dokument als Verbindlich vorgeschrieben. Alle anderen Kontrollziele sind nur Optional ( O ). einer EUDA mit geringerem Risiko nicht zu umfangreich sind. Die Übersicht zu Kontrollen ist Anhang A zu entnehmen. Es sind gegebenenfalls Nachweise aufzubewahren, um zu zeigen, dass die Seite 2

betreffenden Kontrollziele erreicht werden. EUDA-Kontrollziele Registrierung Zur Schaffung von Transparenz hinsichtlich des Gesamtbestands der im Geltungsbereich liegenden EUDAs für den Lieferanten und zur Erfassung wichtiger Merkmale in Bezug auf die Einhaltung der Bestimmungen dieses Dokuments muss eine EUDA-Bestandsliste vorhanden sein. Die Vollständigkeit der EUDA-Bestandsliste ist von grundlegender Bedeutung, damit die erforderliche Sicherheit und die Funktion von EUDAs gewährleistet sind. Es muss ein Prozess dokumentiert und vorhanden sein, um sicherzustellen, dass die Bestandsliste der EUDAs vollständig, genau und aktuell ist. Die EUDA- Bestandsliste muss mindestens einmal jährlich auf Genauigkeit und Vollständigkeit überprüft werden. Kontrollbereich Bezeichnung der Beschreibung der Kontrolle Über die Bedeutung Kontrolle EUDA-Kontrollziele Zugriff Der Zugriff auf Daten und Geschäftslogik für sämtliche EUDAs muss auf die entsprechenden Benutzer mit den entsprechenden Zugriffsrechten beschränkt sein. Der Zugriff muss anhand eines risikobasierten Ansatzes überprüft werden. EUDA-Kontrollziele Verfügbarkeit Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass EUDAs im Einklang mit den Anforderungen der BU zur Verfügung stehen müssen. EUDA-Kontrollziele Änderungsmanagement Durch die Beachtung von Prinzipien des Änderungsmanagements wird sichergestellt, dass EUDAs nach Änderungen der Geschäftslogik wie erwartet funktionieren. Änderungen der Geschäftslogik von EUDAs oder von wichtigen statischen Entsprechende Zugriffskontrollen schützen EUDAs vor unbefugtem, unangemessenem oder nicht zuordenbarem Zugriff. Durch die Verfügbarkeit von EUDAs wird die kontinuierliche Funktion von Geschäftsprozessen sichergestellt. Ein angemessenes Änderungsmanagement ist von entscheidender Bedeutung dafür, dass die EUDA nach einer Änderung weiter wie erwartet funktioniert. Seite 3

Daten dürfen nicht zu Fehlern der Ausgabedaten oder der Berichterstattung führen. Neuere Versionen von EUDAs müssen klar von vorherigen Versionen unterschieden werden, und ältere Versionen sind an einem gesonderten Ort zu halten. Die Kenntnis von Eingabedaten, Berechnungen, Ausgabedaten sowie die Fähigkeit, selbige zu ändern, darf nicht auf eine einzelne Person (EUDA- Primärbenutzer) beschränkt sein. Zur Unterstützung der fortlaufenden Nutzung und Pflege der EUDA bei Abwesenheit des EUDA-Primärbenutzers muss ein EUDA-Prüfer benannt werden. Darüber hinaus muss eine hinreichende Dokumentation vorhanden sein, anhand derer eine Person, die mit einer spezifischen EUDA bewandert ist, die EUDA ändern und warten kann. EUDA-Kontrollziele Überführung in eine Beim EUDA-Verantwortlichen muss ein Prozess vorhanden sein, um jährlich Die Überführung von EUDAs, die als Kritisch verwaltete Anwendung die potenzielle Überführung von EUDAs, deren Kritikalität als hoch eingestuft eingestuft sind, in verwaltete Anwendungen ist, in eine Lösung für verwaltete Technologien in Betracht zu ziehen. würde die Kontrollen in dem Prozess verbessern, und die Effizienz ebenso, denn dies ermöglicht die Implementierung von stärker standardisierten Kontrollen. Definitionen EUDA EUDAs sind Anwendungen und Tools, die von den Endbenutzern erstellt, genutzt und verwaltet werden. Entwickelt werden diese in der Regel mit Standard-Desktop-Software (meistens Microsoft Excel oder Access) und anderen Arten von Datenbanken, Abfragen, Makros, Skripten, Berichterstattungstools, ausführbaren Dateien und Code-Paketen. EUDAs führen einen Geschäftsprozess fortlaufend aus oder sind Bestandteil eines Geschäftsprozesses (keine nur einmalige Nutzung), was Auswirkungen in finanzieller, regulatorischer oder den Ruf betreffender Hinsicht auf Barclays oder nachteilige Folgen für einen Kunden von Barclays haben könnte, falls Berechnungen oder Ausgabedaten von EUDAs ungenau, nicht verfügbar, Seite 4

nicht aktuell oder fehlerhaft sind. Zur Klarstellung wird angemerkt, dass es sich bei einer EUDA um eine Gruppe automatisierter Tools (z. B. Arbeitsblätter einer Tabellenkalkulation) handeln kann, allerdings müssen sie der Unterstützung des gleichen Prozesses/Funktionsbereichs dienen und einen einzigen EUDA-Primärbenutzer haben. Sämtliche in der Gruppe enthaltenen Tools unterliegen den gleichen Kontrollbestimmungen. EUDA-Verantwortlicher EUDA-Primärbenutzer EUDA-Prüfer Für jede EUDA muss ein EUDA-Verantwortlicher benannt sein. Der EUDA-Verantwortliche muss zumindest eine Person auf der Hiercharchiestufe eines Direktors oder eine ähnliche Person in der relevanten BU bzw. im relevanten Funktionsbereich sein. Der EUDA-Verantwortliche ist für Folgendes rechenschaftspflichtig: Führen einer vollständigen und genauen Bestandsliste sämtlicher EUDAs für ihre jeweiligen Teams, und Sicherstellen, dass sämtliche unter ihre Verantwortung fallenden EUDAs den Bestimmungen dieses Dokuments entsprechen. Sicherstellen, dass jedes Jahr die Überführung von EUDAs, deren Kritikalität als hoch eingestuft ist, in eine Lösung für verwaltete Technologien in Betracht gezogen wird. Für jede EUDA muss ein EUDA-Primärbenutzer benannt sein. Der EUDA-Primärbenutzer ist für Folgendes verantwortlich: Integrität der Daten, Berechnungen und aller sonstigen Inhalte in der EUDA, Identifizierung und Registrierung der EUDA bei der richtigen EUDA-Bestandsliste, Durchführung der Kritikalitätsbewertung für die EUDA, Fortlaufende Entwicklung und Wartung der EUDA, und Sicherstellen, dass die EUDA den im vorliegenden Dokument definierten Kontrollzielen gerecht wird. Beim benannten Prüfer muss es sich um eine Einzelperson, nicht aber um den Primärbenutzer, mit hinreichend Kenntnissen und Erfahrung in Bezug auf die EUDA handeln, die zu Folgendem in der Lage ist: Unterstützung der fortlaufenden Nutzung und Wartung der EUDA bei Abwesenheit des EUDA-Primärbenutzers, und Unterstützung von wichtigen Kontrollaktivitäten, die eine unabhängige Überprüfung erfordern würden. Seite 5

Anhang A: Mindestanforderungen an Kontrollen Kontrollziel Sehr gering Gering Mittel Hoch EUDA-Identifizierung und Bewertung der Kritikalität V V V V EUDA-Registrierung O V V V Zugriff O V V V Verfügbarkeit O O V V Änderungsmanagement O O V V Validierung von Daten und Berechnung O O O V Seite 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback