Ein paar rechtliche Anforderungen

Klick mich

MaRisk – BaFin 2009 / 14.8.2009 AT 4.3.2 Risikosteuerungs- und Controlling-Prozesse

(1) Das Institut hat angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die eine

a) Identifizierung,

b) Beurteilung,

c) Steuerung sowie

d) Überwachung und Kommunikationder

wesentlichen Risiken und damit verbundener Risikokonzentrationen gewährleisten.

MaRisk – BaFin 14.12.2012 AT 7.2 Technisch organisatorische Ausstattung

(3) Die IT-Systeme sind vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Hierfür ist ein Regelprozess der Entwicklung, des Testens, der Freigabe und der Implementierung in die Produktionsprozesse zu etablieren.

KWG §25a (5)

Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen […]. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere […] angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung.

 

AktG/KonTraG (Aktiengesetz / Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) §91

(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 

OPDV - Fachausschuss Ordnungsmäßigkeit und Prüfung der Datenverarbeitung

9 Seiten Grundsätze über das Thema Programmeinsatzverfahren. Plus Anhang mit Vordruck für die Programmfreigabe

 

Sarbanes-Oxley Act (SOX)

Unter anderem werden hier klare Anforderungen an die Verlässlichkeit der Berichterstattung von Unternehmen vorgeschrieben. In der Section 404 wird auf die regelmäßige Prüfung von Programmen auf ihre zeitgemäße Korrektheit hingewiesen.

 

IDW RS FAIT 1 Verlautbarung des Fachausschuss für Informationstechnologie  (FAIT) des Instituts der Wirtschaftsprüfer

Konkretisierung der §§ 238 und 239 HGB. Insbesondere mit Definitionen der  Begriffe Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität, Verbindlichkeit.

 

GoB S Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

Zitat: „… Richtlinien für Programmtests, Programmfreigaben, Programmänderungen, Änderungen von Stamm- und Tabellendaten, Zugriffs- und Zugangsverfahren, …“

 

BSI Grundschutzkatalog M 2.378 „System Entwicklung"

Vorgehensmodell: Die System-Entwicklung muss nach einem durchgängigen, einheitlichen und verbindlichen Vorgehensmodell durchgeführt werden.

 

 

BSI Grundschutzkatalog M 2.379 Software-Entwicklung durch Endbenutzer

Zunächst sollte in jeder Institution die Grundsatz-Entscheidung getroffen werden, ob (solche) Eigenentwicklungen erwünscht sind oder nicht. Dies ist in jedem Fall in den Sicherheitsrichtlinien zu dokumentieren.

...

Sind Eigenentwicklungen (dagegen) notwendig, sollten hierfür entsprechende Benutzerrichtlinien entwickelt werden, um Mindestanforderungen an Sicherheit, Dokumentation und Qualität sicherzustellen.