IT-Compliance NON SAP

Unsere Experten berücksichtigen die Vorgaben der in Deutschland geltenden Gesetze und regulatorischen Anforderungen u.A.: Bundesdatenschutzgesetz (BDSG)

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (Digitale Steuerprüfung) (GDPdU)

Mindestanforderungen an das Risikomanagement (BA) (kurz MaRisk (BA)) – Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für den Bankensektor, BaIT für die IT Organisation und VaIT für den Versicherungssektor 

Berechtigungsverwaltung

Analyse

  • Wir analysieren ihr Berechtigungswesen anhand aktuellen gesetzlichen und regulatorischen Anforderungen, erstellen eine GAP Analyse und liefern Vorschläge für eine Prüfungsgerechte Berechtigungsverwaltung.

Berechtigungen Design und Redesing

  • Wir Entwickeln oder überarbeiten Ihre bestehenden Berechtigungsrollen nach den Best Practice Standards
  • Wir identifizieren Ihre kritischen oder sensiblen Berechtigungen und Transaktionen zur Weiterverarbeitung in Risiko Matrizen, Genehmigungsverfahren und Prozessen.

Prozessen

  • Implementierung oder Redesign der Berechtigungsmanagement

Berechtigungskonzepte

  • Erstellung von Berechtigungskonzepten unter Berücksichtigung der Funktionstrennung, der Risikoverwaltung und den Kontrollen zur Minderung der Funktionstrennungskonflkte

Einstufung der Kritikalität

  • Wir erarbeiten mit Ihnen die kritikalität Ihrer Systeme und Anwendungen nach den für Sie geltenden Regulatorischen und allgemeinen gesetzlichen Anforderungen

Handlungsanweisungen

  • Wir erstellen in zusammenarbeit mit Ihren Fachbereichen die nach gesetzlichen und regulatorischen Anforderungen erforderlichen Handlungsanweisungen

Schulungsunterlagen

  • Wir erstellen die gesetzlich und regulatorisch erforderlichen Trainingsunterlagen um Ihre Mitarbeiter im laufenden Betrieb zu unterstützen – Berechtigungsvergabe erst nach Training bzw. neue Anwendungen oder Systeme

Test Dokumentation

  • Wir erstellen die gesetzlich und regulatorisch vorgeschriebenen Test- Dokumente für prüfungsgerechte Änderungen von Berechtigungsrollen, System Upgrad's oder Systemumzug oder neu Implementierung von Standards oder unternehmensspezifischen Lösungen


Nutzerverwaltung- IDM -IAM

IDM -IAM Implementierung

  • Prüfungsgerechte implementierung oder redesign Ihres Identitätsmanagements (IdM) und Information Access Managements.
  • Wir implementieren oder überarbeiten Ihre Nutzerverwaltung unter Berücksichtigung Ihrer regulatorischen und den gesetzlichen Anforderungen zielgerichtet nach dem Need to Know Prinzip, dem Minimal Prinzip

Prozesse

Wir implementieren relevante Prozesse zum bewussten Umgang mit Identitäten, Anonymität und Pseudoanonymität

  • Berechtigungskonzepte
  • Handlungsanweisungen
  • für folgende Nutzer-Typen wie Technisch, System Support und Fachbereich
  • Implementierung der TOP IDM Tools auf dem Markt

Joiner-Mover-Leaver

  • Wir implementieren die IDM relevanten Joiner-Mover-Leaver Prozesse und stellen Lösungen vor zur Automatisierung und damit prüfungsgerechten Verwaltung von Nutzern

Risiken

  • Wir stellen die Standard Risiken der Nutzerverwaltung vor und erarbeiten mit Ihnen die Organisationseigene Risiken  bzw. übernehmen diese aus dem Firmeninternen IKS

Kontrollen

  • Wir präsentieren Standard Kontrollen - automatisierte und manuelle zur Minderung von Risiken und erarbeiten mit dem Fachbereichen entsprechende Organisationseigene Kontrollen

Periodische Rezertifizierung der Berechtigungen

  • Wir unterstützen Sie ein bis zwei Mal im Jahr (je nach Kritikalität Ihrer Systeme) bei der periodischen Rezertifizierung von Berechtigungen. Dies ist oftmals ein langwieriger Prozess und wir haben dafür Templates entwickelt, die es den Berechtigungs- und Daten-Eignern erleichtert auch eine Vielzahl von Berechtigungen zu prüfen.

Periodische Rezertifizierung der Risiken

  • Wir unterstützen Sie ein bis zwei Mal im Jahr (je nach Kritikalität Ihrer Systeme) bei der periodischen Rezertifizierung von Risiken. Risiken müssen periodisch geprüft und bewertet werden. Unternehmen sind ständigem Wandel unterworfen und Risiken die gestern noch als unkritisch eingestuft wurden können heute  bereits kritisch sein. Zum Beispiel in der Logistik wenn sich die Transportwege durch neue Kriegsgebiete bewegen oder sich durch Merger & Acquisitions weitere regulatorische Anforderungen ergeben.  Es können auch Risiken nach unten scalliert werden und damit auch den Einsatz von Kontrollen verringern oder obsolet machen.  Die Bewertung ist oftmals ein langwieriger Prozess und wir haben dafür Checklisten entwickelt, die es den Risiko-Eignern erleichtern die Risiken zu bewerten.

Periodische Rezertifizierung der Kontrollen

  • Wir unterstützen Sie ein bis zwei Mal im Jahr (je nach Kritikalität Ihrer Systeme) bei der periodischen Rezertifizierung der Kontrollen im Einsatz um die Effektivität zu demonstrieren.
  • Kontrollen müssen wie Risiken periodisch auf ihre Effektivität geprüft und dokumentiert werden. Die ERP Systeme  sind ständigem Wandel durch Customizing, Upgrades und Updates unterworfen und implementierte Kontrollen können ihre Wirksamkeit verlieren. Der Vorgang der Rezertifizierung ist oftmals ein langwieriger Prozess, wir haben dafür Templates entwickelt, die es den Kontroll-Eignern erleichtern die Kontrollen  zu prüfen.

Periodische Rezertifizierung der Nutzer

  • Wir unterstützen Sie ein bis zwei Mal im Jahr (je nach Kritikalität Ihrer Systeme) bei der periodischen Rezertifizierung der Nutzer. Dies ist oftmals nicht nur ein langwieriger Prozess sondern auch ein Fehleranfälliger Prozess. Wir unterstützen Sie gerne dabei.


Sie können den Prozess auch auslagern – bitte klicken Sie hier um zur Auslagerung zu gelangen.

Funktionstrennung

  • Wir Implementieren Funktionstrennung (SOD)
  • Wir überprüfen und ergänzen ihre SoD Matrix
  • Wir Implementieren verschiedene Tools zum Verwalten Ihrer Funktionstrennung sowie der Risiken und Kontrollen. Geeignete Produkte die international empfohlen werden wie SAP GRC®, SAST, Security Weaver®

Kritische Berechtigungen

  • Wir ermitteln Ihre kritischen und sensitiven Berechtigungen  und implementieren diese in eine Risiko Matrix 
  • Wir überprüfen und ergänzen ihre Risiko Matrix
  • Wir Implementieren verschiedene Tools zum Verwalten Ihrer Funktionstrennung sowie der Risiken und Kontrollen. Geeignete Produkte die international empfohlen werden wie SAP GRC®, SAST, Security Weaver®

Risiken und Kontrollen

  • Wir ermitteln Ihre Risiken aus Ihrem IKS (Internen Kontrollsystem) und implementieren geeignete Kontrollen und Erstellen eine übergreifende Risiko & Kontroll-Matrix 
  • Wir Implementieren verschiedene Tools zum Verwalten Ihrer Funktionstrennung sowie der Risiken und Kontrollen. Geeignete Produkte die international empfohlen werden wie SAP GRC®, SAST, Security Weaver®

Unsere Experten berücksichtigen die Vorgaben der in Deutschland geltenden Gesetze und regulatorischen Anforderungen u.A.: Bundesdatenschutzgesetz (BDSG)