HomeNewsWozu brauchen wir Standards?Welche Standards gibt es?Anwendung im UnternehmenIT-Sicherheits- und RisikomanagementAllgemeine Informationssicherheits-Managementsysteme (ISMS)Sektorspezifische ISMSSicherheitsmaßnahmen und MonitoringRisikomanagementISO/IEC 27005ISO/IEC 27014MaRisk / MaRisk VAStandards mit IT-SicherheitsanforderungenVorschriftenEvaluierung von IT-SicherheitNormen zu kryptographischen und IT-SicherheitsverfahrenPhysische SicherheitDanksagung

Schnelleinstieg: 

Logo: Inhalte Verbessern

In Zusammenarbeit mit

Logo: DIN

|||

MaRisk / MaRisk VA

MaRisk / MaRisk VA

Die Mindestanforderungen an das Risikomanagement (MaRisk) für Banken wurden erstmals Ende 2005 von der Bundesanstalt für Finanzdienstleistungsaufsicht herausgegeben. Basierend auf § 25a Abs. 1 des Kreditwesengesetzes (KWG) wird ein Rahmen für die Ausgestaltung des Risikomanagements für Institute dargestellt. Damit wurden die Mindestanforderungen an das Kreditgeschäft (MaK), die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH) und die Mindestanforderungen an die Ausgestaltung der internen Revision (MaIR) zusammengefasst.

Anfang 2009 wurden eine weitere Version, die für Versicherungen, Leasing- und Factoring-gesellschaften Anwendung findet veröffentlicht (MaRisk VA).

Ziel der MaRisk ist die Etablierung eines angemessenen Risikomanagements in Finanzdienstleistungs-unternehmen. Zum Risikomanagement gehören hier die Festlegung einer angemessenen Risikostrategie, entsprechende aufbau- und ablauforganisatorische Regelungen, die Einrichtung eines angemessenen internen Kontrollsystems, die Etablierung einer internen Revision sowie die Einrichtung von internen Kontrollen.

Im Abschnitt „Organisatorische Rahmenbedingungen“ (MaRisk VA) respektive „Technisch-organisatorische Ausstattung“ (MaRisk) werden auch Anforderungen an die IT-Sicherheit und Notfallplanung gestellt.

Die Vertraulichkeit, Verfügbarkeit, Authentizität und Integrität der Daten muss durch die IT-Systeme (Systeme und Anwendungen) und IT-Prozesse sichergestellt werden. Zur Gewährleistung dieser Anforderungen soll bei der Umsetzung dieser Anforderungen auf „gängige Standards“ angewendet werden. Hier werden in der MaRisk VA explizit die Standards IT-Grundschutz und die ISO 27002 genannt. Weiterhin wird gefordert, dass die Systeme vor erstmaligen Einsatz und nach wesentlichen Änderungen auf Funktionsfähigkeit getestet werden. Für zeitkritische Aktivitäten sind entsprechende Notfallkonzepte zu erstellen. Dies gilt auch für die IT-Systeme, welche die kritischen Aktivitäten unterstützen. Die Funktion der Notfallkonzepte ist auch regelmäßig durch Tests nachzuweisen.

Sollten zeitkritische Aktivitäten ausgelagert (Outsourcing) sein, so besteht die besondere Anforderung, dass internen und externen Notfallkonzepte aufeinander abgestimmt werden müssen.

Bezug zu anderen Standards

BS 25777 ISO 9000:2005 für Begriffsdefinitionen
BS 25999 für Referenzen auf das Business Continuity Management
ISO/IEC 20000-1, ISO/IEC 20000-2 Definition von ICT Services
ISO/IEC 27001, ISO/IEC 27002 für Sicherheitsrelevante Aspekte, wie bspw. Schutz der Vertraulichkeit, Verfügbarkeit und Integrität von kritischen Daten und Erkennung von Sicherheitsvorfällen
PCI DSS  --

 


 

© 2017, BITKOM - Nutzungsbedingungen für Inhalte der BITKOM-Internetseite