Bedrohungsbewertung, Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit

Threat assessment, risk management, consultant GPT, consultant GPT, information security, VDA ISA (TISAX), threat assessment, risk management, information security

Risikomanagement, BeraterGPT, ConsultantGPT, Informationssicherheit, VDA ISA (TISAX), Bedrohungsbewertung, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

Risk management, BeraterGPT, ConsultantGPT, information security, VDA ISA (TISAX), threat assessment, Risikomanagement, Informationssicherheit, Bedrohungsbewertung

BeraterGPT, VDA ISA (TISAX), Risikobewertung, BeraterGPT, Risikomanagement, Informationssicherheit, Bedrohungsbewertung, Informationssicherheit, Bedrohungsmanagement

ConsultantGPT, VDA ISA (TISAX), risk assessment, BeraterGPT, Risikomanagement, information security, Bedrohungsbewertung, Informationssicherheit, threat management

JEDERZEIT VERFÜGBAR UND KOSTENLOS, DER ONLINE ISMS BERATERGPT FÜR SCHNELLE FORTSCHRITTE:

Suche

Marc Borgers

18. Okt. 2020

VAIT: Die BaFin hat geprüft und schwerwiegende Feststellungen gemacht

Risikomanagement, Informationssicherheitsmanagementsystem, ISO 27001, VAIT, Informationssicherheitsmanagement, Informationsrisikomanagement

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die Umsetzung der versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bei 16 Versicherungsunternehmen geprüft. Leider hat kein einziges Unternehmen die Anforderungen vollständig erfüllt. Im Gegenteil, die meisten wiesen schwerwiegende Mängel in der Umsetzung der Anforderungen auf:

„Schwerwiegende Feststellungen hat die BaFin bei den meisten geprüften Versicherungsunternehmen im Informationsrisiko- und Informationssicherheitsmanagement getroffen. Die Stufe „schwerwiegend“ ist die höchste des BaFin-Bewertungsschemas – nach „geringfügig“, „mittelschwer“ und „gewichtig“. Die BaFin fand in den Unternehmen zum Teil keine internen Prozesse vor, die ausreichten, um Informationsrisiken zu erkennen und zu bewerten. Hinzu kam: Wie schutzbedürftig bestimmte Informationen waren, legten die Unternehmen oft nicht genau genug fest. Es war ihnen daher nur eingeschränkt möglich, die Informationsrisiken risikoorientiert zu steuern.“ Quelle: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinJournal/2020/bj_2010.pdf

Ferner wird im Journal der BaFin vom Oktober 2020 auf weitere Verfehlungen eingegangen. Diese betreffen unteranderem:

Automatismen zur schnellen Erkennung und Reaktion auf IT-Sicherheitsvorfälle
Benutzerberechtigungsmanagement
Überwachung externer IT-Dienstleister

Die veröffentlichte Übersicht der Prüfergebnisse zeigt meiner Ansicht nach eindrucksvoll, dass die Umsetzung der VAIT noch immer ein Thema für die Versicherungsunternehmen ist und mehr Unterstützung sowie eine höhere Priorität durch den Vorstand bzw. die Geschäftsführung benötigt. Denn beim zugrundeliegenden Informationsrisikomanagement sowie Informationssicherheitsmanagement handelt es sich um Management- und nicht um IT-Themen.

Sie haben Fragen?

Manchmal ist ein direktes Gespräch einfach unschlagbar. Zögern Sie bitte nicht über unseren Telefonkalender ein kostenloses Erstgespräch zu vereinbaren!