IT-Compliance Management & Informationssicherheit | KPMG | DE
close
Share with your friends

IT-Compliance Management & Informationssicherheit

Informationssicherheit

IT-Compliance und Informationssicherheit ermöglichen einen langfristig unternehmerisch sinnvollen Ressourceneinsatz zum Schutz der Informationswerte.

IT-Compliance und Informationssicherheit: Wegweiser und Stabilisator der Wertschöpfung.

Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele. Mit unserem Know-how zeigen wir unseren Kunden, wie ein langfristig unternehmerisch sinnvoller Ressourceneinsatz für einen angemessen und wirksamen Schutz von Informationswerten gestaltet werden kann.

KPMG betrachtet die IT-Compliance und Informationssicherheit ganzheitlich, d.h. beginnend mit der Strategie und den entsprechenden Leitlinien über die daraus resultierenden Prozesse und Organisationsstrukturen, den Mitarbeitern und den technischen IT-Komponenten. Somit ist sichergestellt, dass nicht nur einzelne Bestandteile, sondern auch deren Zusammenspiel im Ganzen funktioniert. 

Die Informationstechnik ist hierbei die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nicht fachlichen Prozesse bei Banken und Versicherungen. In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen, beziehungsweise Geld transferieren, und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.

Wir unterstützen Sie bei allen Fragestellungen der IT Compliance und Informationssicherheit mit aktuell folgenden Schwerpunkten:

BAIT-Reifegrad-Assessment und Prüfungsbegleitung/-simulation

Aufsichtsprüfungen stellen eine außergewöhnliche Belastung dar. KPMG begleitet Sie bei der Prüfung oder deren Simulation, damit Sie im Ernstfall fachlich, organisatorisch und persönlich vorbereitet sind und keine Überraschungen erleben. Wir begleiten Sie in allen Phasen einer Aufsichtsprüfung von der Vorbereitung über die eigentliche Prüfung bis hin zur Nachbereitung – unabhängig davon, ob es sich um eine Simulation oder den Ernstfall handelt. 

Schutzbedarfsanalyse

Die SBA (Schadenshöhe) basiert auf den Methoden der Risikobewertung und ermöglicht somit eine konsistente Steuerung und die Nutzung von Synergiepotentialen. Die verantwortlichen Funktionen kennen das Zusammenwirken von SBA, Investitionen und Risikosteuerung. 

Informationssicherheitsmanagementsystem (ISMS)

Der Schutz der Informationswerte vor Verlust der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität wird durch ein aktives und kontinuierlich verbessertes Informationssicherheitsmanagementsystem gesteuert und umgesetzt. Als integraler Bestandteil stellt das ISMS ein angemessenes Sicherheitsniveau im gesamten Unternehmen sicher. Wir empfehlen hierfür insbesondere die Orientierung am international anerkannten Standard ISO 27001.

Governance

Das zu erreichende Sicherheits- bzw. Restrisikoniveau für Informationsrisiken geht aus der Risikostrategie hervor. Die Sicherheitsmaßnahmen werden hinsichtlich ihres Wirkens auf das Risikoniveau bewertet. Hierdurch wird ersichtlich, ob die Risikoreduktion einer Sicherheitsmaßnahme im Verhältnis zu den für die Maßnahmen notwendigen Investitionen einhergeht was die Risikosteuerung qualitativ enorm verbessert. 

Informationsrisikomanagement

Informationswerte sollten angemessen und wirksam geschützt werden, hierzu müssen Informationsrisiken systematisch identifiziert, bewertet, behandelt sowie berichtet werden.

Das Informationsrisikomanagement (IRM) betrachtet, als integraler Bestandteil der Gesamtrisikosteuerung Informationsrisiken zur Gewährleistung der Informationssicherheit im Unternehmen. Zur Bewältigung dieser Aufgabe nutzt das IRM die bereits definierten, konzernweiten Vorgaben von Risikocontrolling und spezifiziert diese in Hinsicht auf die Informationssicherheit. Das IT-Risikomanagement dient hierbei als Bestandteil zum Management von Risiken mit Ursache in der IT.

Business Continuity Management

Sei es die zunehmende Komplexität von IT-Systemen oder die steigende Unberechenbarkeit von Umwelteinflüssen – Unternehmen werden im Hinblick auf ihr Notfall- und Krisenmanagement kontinuierlich vor neue Herausforderungen gestellt. 

Um eine wirksame Implementierung eines Business Continuity Management Systems (BCMS) gewährleisten zu können, empfiehlt sich die Orientierung an Better-Practice-Ansätzen wie den Standards ISO 22301, ISO 27031 oder BSI 100-4. Bei der Umsetzung stehen der Aufbau einer BCM-Governance, die Durchführung der Business-Impact-Analyse, der Risikoanalyse sowie die Ausarbeitung von Geschäftsfortführungsplänen und deren Tests im Fokus der Vorsorgemaßnahmen.

Identity & Access Management

Die regulatorische Forderung nach der Umsetzung des Minimalprinzips, den Vorgaben an die Funktionstrennung bis auf Ebene der Einzelrechte sowie der umfassende Überwachung privilegierter Berechtigungen stellen eine große Herausforderung dar, welche der Umsetzung einer Vielzahl an Prozessen und Kontrollen zur lückenlosen Überwachung bedarf. Die Einbeziehung der Fachbereiche als Informationseigentümer im Rahmen des IAM  (bspw. Genehmigungen, Rezertifizierungen, Funktionstrennung) und somit der Rollout in das gesamte Unternehmen sowie den zugehörigen Dienstleister, ist wesentlich für die Nachhaltigkeit des IAM. Durch den Einsatz von Technologien lassen sich Synergien- und Effizienzpotentiale bei der Umsetzung der Prozesse und Kontrollen heben. KPMG bietet dabei umfassende Lösungen und Ansätze zur Sicherstellung regulatorischer Vorgaben an, bei gleichzeitiger Sicherstellung der Nachhaltigkeit durch Praktikabilität und Effizienz, die kundenspezifisch angepasst werden können.

Security Architektur

Die Informationssicherheit ist Treiber und Basis für die Digitalisierung und Aufbau eines kontinuierlichen Lagebildes zur ganzheitlichen Steuerung des IT-Sicherheitsniveaus. Die Sicherstellung einer einheitlichen regulatorisch, konformen IT-Sicherheitsstrategie, -architektur sowie konformer Prozesse (inkl. Dienstleister) und die Integration von (Hybrid) Cloud in Sicherheitsarchitekturen gehören zum Produktangebot von KPMG.

IT-IKS

Die Performance- und Risikoindikatoren in der IT sind derart definiert und integriert, dass die Angemessenheit und Wirksamkeit der IT-Sicherheit im Kontext der IT-Strategie und IT-Sicherheitsstrategie beurteilt und verbessert werden kann. Die Kontrollen des IKS auf Ebene der ersten Verteidigungslinie sind maßgebliches Werkzeug zur Erhebung der Indikatoren. 

Organisatorisches Change Management

Finanzdienstleister stehen im Spannungsfeld komplexer äußerer, mitunter disruptiver Einflüsse. Regulatorische Anforderungen, ein sich verändernder Wettbewerb und nicht zuletzt erweiterte Kundenbedürfnisse erfordern eine Vielzahl interner organisatorischer Veränderungen. Ein effektives Change Management gilt in der Branche längst als wesentlicher Wettbewerbsvorteil. Ziel ist dabei die Etablierung einer agilen Innovationskultur auf allen Ebenen des Unternehmens.

Haben wir Ihr Interesse geweckt? Sprechen Sie uns gerne an. 

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

Ansprechpartner