IT-Revision in der Praxis

Inhalt

Vorwort

Die Autoren

Teil I: Praxis der IT-Revision

1 Grundlagen der IT-Revision

1.1 Das Wesen der IT-Revision

1.1.1 Ziele der IT-Revision

1.1.2 Externe Revision

1.1.3 Interne Revisionsarten

1.2 Mit der IT-Revision verwandte Funktionen

1.3 Die IT-Revision im Unternehmen

1.3.1 Position im Unternehmen

1.3.2 Befugnisse

1.3.3 Mitarbeiter

1.3.4 Qualitätssicherung und Leistungsmessung

1.3.5 Sicherheit der Revisionsabteilung

1.4 Prüfungsaspekte

1.4.1 Rechtmäßigkeit

1.4.2 Ordnungsmäßigkeit

1.4.3 Sicherheit

1.4.4 Zweckmäßigkeit/Funktionsfähigkeit

1.4.5 Wirtschaftlichkeit

1.4.6 Kontrollierbarkeit und Nachvollziehbarkeit

2 Prüfungsorganisation undVorgehen

2.1 Prüfungsplanung

2.1.1 Strategische Planung (3-Jahres-Plan)

2.1.2 Jahresplanung

2.1.3 Planung und Vorbereitung einer einzelnen Prüfung

2.2 Prüfungsauftrag

2.3 Vorbereitung der Prüfungsdurchführung

2.3.1 Analyse des Prüfobjekts/Voruntersuchung

2.3.2 Prüfungsankündigung

2.3.3 Kick-off-Meeting

2.4 Prüfungsdurchführung

2.4.1 Dokumentensichtung

2.4.2 Fragebogenerhebung

2.4.3 Interviews

2.4.4 Verifikation der Aussagen

2.5 Prüfungsbericht

2.5.1 Dokumentation des Ist-Zustands im Prüfungsbericht

2.5.2 Bewertung des Ist-Zustands

2.5.3 Maßnahmenempfehlungen

2.5.4 Entwurf und Abstimmung des Prüfungsberichts

2.6 Prüfungsabschluss

2.6.1 Schlussbesprechung

2.6.2 Vollständigkeitserklärung

2.6.3 Stellungnahme des geprüften Bereichs

2.6.4 Verfolgung der Umsetzung der Maßnahmen

3 Zusammenspiel mit externenWirtschaftsprüfern

3.1 Aufgabe der externen Wirtschaftsprüfer

3.2 Grundlagen der Prüfung durch einen Wirtschaftsprüfer

3.3 Vorgehen bei der Prüfung durch externe Wirtschaftsprüfer

3.4 Ergebnisse der internen Revision verwenden

4 Relevante Prüfungsgrundlagen

4.1 Prüfungsgrundlagen für die IT-Revision

4.2 Gesetze

4.2.1 Handelsgesetzbuch (HGB)

4.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

4.2.3 Bundesdatenschutzgesetz BDSG

4.2.4 Telemediengesetz (TMG)

4.2.5 SOX

4.3 Richtlinien für die IT-Revision

4.3.1 Allgemein

4.3.2 Verlautbarungen des IDW

4.3.3 GDPdU

4.3.4 GoBS

4.4 Branchenvorschriften

4.4.1 Basel II

4.4.2 MaRisk (Mindestanforderungen an das Risikomanagement)

4.4.3 Solvency II

5 Prüfung von IT-Verfahren

5.1 Das Wesen eines IT-Verfahrens

5.2 Fragmentierung von Verfahrensprüfungen

5.3 Prüfung der IT-Verfahrensplanung

5.3.1 Anforderungen an das neue IT-Verfahren

5.3.2 Einsatzplanung

5.3.3 Einbettung in Geschäftsprozesse

5.3.4 Einbettung in die IT

5.4 Prüfung der Verfahrensdokumentation

5.4.1 Das Wesen der Verfahrensdokumentation

5.4.2 Beschreibung der sachlogischen Lösung

5.4.3 Beschreibung der technischen Lösung

5.4.4 Programmidentität

5.4.5 Datenintegrität

5.4.6 Arbeitsanweisungen für den Anwender

5.4.7 Prüfen der Verfahrensdokumentation

5.5 Berechtigungskonzept

5.6 Prüfung der Verfahrensdaten

5.6.1 Anforderungen an Daten in der Planungsphase

5.6.2 Dateneingabe, -verarbeitung und -ausgabe

5.6.3 Datentransfer

5.6.4 Datensicherung und Archivierung

5.6.5 Datenmigration

5.6.6 Datenlöschung und -entsorgung

6 Besondere Prüfungsgebiete

6.1 Prüfungsgebiet Bundesdatenschutzgesetz

6.1.1 BSI Grundschutzstandards und -kataloge

6.1.2 Vorgehen nach BSI Grundschutz

6.1.3 Umsetzung der Vorgaben anhand eines Sicherheitsrahmenkonzeptes

6.1.4 Audit eines Informationssicherheitsmanagementsystems (ISMS) nach BSI Grundschutz

6.2 Prüfungsgebiet Dokumentenmanagement

6.2.1 Welche Rahmenbedingungen gibt es?

6.2.2 Bewertungsbereiche

6.2.3 Prüfung und Zertifizierung

7 CobIT-Prüfungen

7.1 Bestimmung des Prüfungsziels

7.2 Aufnahme der bestehenden Situation

7.3 Feststellung der CobIT-Erfüllung

7.4 Ermittlung des Reifegrades

7.5 Prüfung des Ziel- und Kontrollsystems

8 Tools zur Prüfungsunterstützung

8.1 Wie alles begann

8.2 Warum überhaupt Tools?

8.3 Welche Werkzeugarten gibt es?

8.4 Prüfungsbegleitende Werkzeuge

8.4.1 Ablauf einer tool-unterstützten Prüfung

8.5 Prüfende Werkzeuge

Teil II: Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT)

Einleitung

Gliederung der IT in den GoIT

IT-Strukturierungsmodell

Fokus

IT-Lebenszyklusphasen in den GoIT

Prüfungsaspekte in den GoIT

Vorgehen bei der Anwendung der GoIT

A Physikalische Ebene

A.1 Planungsphase

A.1.1 Bei der Planung einer physischen Einrichtung sind Sicherheitsmaßnahmen berücksichtigt worden.

A.1.2 Bei der Planung sind einschlägige Normen berücksichtigt worden.

A.1.3 Schützenswerte Gebäudeteile sind deklariert worden.

A.1.4 Elektroversorgungsleitungen und Datenleitungen sind zukunftsorientiert geplant.

A.1.5 Versorgungsleitungen sind redundant ausgelegt.

A.2 Entwicklungsphase

A.3 Implementierungsphase

A.3.1 Bei der Realisierung sind die Anforderungen der Planungsphase berücksichtigt worden.

A.3.2 Beim Einzug in eine gemietete Einrichtung sind Sicherheitsmaßnahmen geprüft worden.

A.4 Betriebsphase

A.4.1 Der Zutritt zum Gebäude wird kontrolliert.

A.4.2 Es sind Schutzmaßnahmen gegen Bedrohungen von außen und aus der Umgebung getroffen worden.

A.4.3 Öffentliche Zugänge, Anlieferungs- und Ladezonen werden kontrolliert.

A.4.4 Die Arbeit in Sicherheitszonen ist geregelt.

A.4.5 Betriebsmittel sind vor unerlaubtem Zugriff physisch gesichert.

A.4.6 Bei physischen Einrichtungen mit Publikumsverkehr sind die Informationsträger gesondert zu sichern.

A.4.7 Physische Einrichtungen, in denen sich Mitarbeiter aufhalten, sind gegen unbefugten Zutritt gesichert.

A.4.8 Physische Sicherheitsmaßnahmen sind dokumentiert.

A.4.9 Notfallmaßnahmen für physische Einrichtungen sind definiert.

A.4.10 Notfallübungen werden durchgeführt.

A.5 Migration

A.6 Roll-Off

A.6.1 Der Auszug aus physischen Einrichtungen ist geregelt.

A.6.2 Betriebsmittel werden ordnungsgemäß entsorgt.

A.6.3 Bestandsverzeichnisse sind auf dem aktuellen Stand.

B Netzwerkebene

B.1 Planungsphase

B.1.1 Eine geeignete Netzwerksegmentierung ist geplant.

B.1.2 Bei der Planung sind Sicherheitsmaßnahmen zum Schutz des Netzwerkes getroffen worden.

B.1.3 Das physische Netzwerk ist vor unbefugten Zugängen geschützt.

B.1.4 Ein Netzwerkrealisierungsplan ist vorhanden.

B.1.5 Eine geeignete Netzkopplung ist eingeplant.

B.2 Entwicklungsphase

B.3 Implementierungsphase

B.3.1 Das Netzwerk ist auf Engpässe überprüft.

B.3.2 Die Verwaltung der Netzkomponenten ist zentral gesteuert.

B.3.3 Eine vollständige Netzdokumentation ist vorhanden.

B.3.4 Mit Netzwerkbetreibern sind geeignete Verträge abgeschlossen.

B.3.5 Netzkomponenten sind sicher zu konfigurieren.

B.4 Betriebsphase

B.4.1 Der Netzwerkverkehr wird protokolliert.

B.4.2 Die Protokolle werden regelmäßig ausgewertet und auf Unregelmäßigkeiten geprüft.

B.4.3 Ein Monitoring ist eingerichtet.

B.4.4 Das Verhalten bei Zwischenfällen ist definiert.

B.4.5 Netzwerkadministratoren sind sorgfältig ausgewählt worden.

B.4.6 Netzwerkspezifische Sicherheitsmaßnahmen sind dokumentiert.

B.4.7 Notfallmaßnahmen für das Netzwerk sind definiert.

B.4.8 Notfallübungen werden durchgeführt.

B.5 Migrationsphase

B.6 Roll-Off

B.6.1 Inhalte auf aktiven Netzwerkkomponenten sind ordentlichgelöscht worden.

B.6.2 Protokolle werden nach gesetzlichen Vorgaben vernichtet.

C Systemebene

C.1 Planungsphase

C.1.1 Der Schutzbedarf des Systems ist ermittelt.

C.1.2 Die sich aus dem Schutzbedarf ableitenden Sicherheitsanforderungen und -maßnahmen sind definiert.

C.1.3 Leistungs- und Kapazitätsanforderungen an das System sind definiert.

C.1.4 Die Dimensionierung des Systems entspricht der zu erbringenden Leistung.

C.1.5 Die Systeme folgen definierten Unternehmensstandards.

C.2 Entwicklungsphase

C.3 Implementierungsphase

C.3.1 Bei erhöhtem Schutzbedarf wird das System gehärtet.

C.3.2 Die Erfüllung der Leistungs- und Kapazitätsanforderungen wird nachgewiesen.

C.3.3 Die Systemfunktionen und -komponenten sind ausführlich getestet.

C.4 Betriebsphase

C.4.1 Alle Lizenzvereinbarungen werden eingehalten.

C.4.2 Das System ist vor zu langen Ausfällen geschützt.

C.4.3 Die Wiederherstellung des Systems ist in der erforderlichen Zeit möglich.

C.4.4 Das System wird durch Updates auf dem neuesten Stand gehalten.

C.4.5 Das System ist vor unberechtigten Zugriffen geschützt.

C.4.6 Die Erfüllung der Leistungs- und Sicherheitsanforderungen wird regelmäßig analysiert und ggf. angepasst.

C.4.7 Das System ist angemessen dokumentiert.

C.5 Migrationsphase

C.5.1 Die Systemfunktion bleibt zu jedem Zeitpunkt der Migration erhalten.

C.5.2 Für einen möglichen Fehlschlag von Änderungen/Migrationen ist ein Rollback vorhanden.

C.5.3 Systemänderungen werden auf Seiteneffekte hin geprüft.

C.5.4 Es gibt eine Übersicht, welche Systemeigenschaften des Altsystems denen des Neusystems entsprechen.

C.5.5 Änderungen und Migrationen unterliegen einem definierten und kontrollierten Change-Management-Prozess.

C.6 Roll-Off

C.6.1 Alle Systemfunktionen werden nicht mehr benötigt.

C.6.2 Alle Systemlizenzen erlöschen.

C.6.3 Vor dem Roll-Off wird sichergestellt, dass ein zu entsorgendes, physisches System keine vertraulichen Daten mehr enthält.

C.6.4 Das physische IT-System wird de-inventarisiert und die Entsorgung protokolliert.

D Applikationsebene

D.1 Planungsphase

D.1.1 Die Ziele und Aufgaben, welche die Anwendung erfüllen soll, sind definiert worden.

D.1.2 Die Anforderungen sind in einem Lastenheft/Anforderungskatalog konkretisiert worden.

D.1.3 Für die Entwicklung/Implementierung werden geeignete Ressourcen bereitgestellt.

D.1.4 Die Daten, die verarbeitet werden sollen, sind klassifiziert und definiert worden.

D.1.5 Eine geeignete Infrastruktur für den Betrieb wurde ausgewählt.

D.2 Entwicklungsphase

D.2.1 Geeignete Vorgehensweisen zur Entwicklung sind mit den Anforderungen verglichen worden.

D.2.2 Die Entwicklung wird konform zur Vorgehensweise dokumentiert.

D.3 Implementierungsphase

D.3.1 Quellcode ist gegen unbefugte Veränderung gesichert.

D.3.2 Applikationstests werden nach den Vorgaben der Planung umgesetzt.

D.4 Betriebsphase

D.4.1 Anforderungen der Applikation an den Betrieb sind dokumentiert.

D.4.2 Prozesse zur sicheren Applikationsverwaltung sind beschrieben.

D.4.3 Integritäts- und vertraulichkeitssichernde Maßnahmen sindf ür den Betrieb beschrieben und umgesetzt.

D.4.4 Etwaige Verschlüsselungsverfahren sind beschrieben.

D.4.5 Prozesse für die Benutzerverwaltung innerhalb der Anwendung sind dem Betrieb bekannt und dokumentiert.

D.4.6 Eine Testumgebung der Applikation ist vorhanden.

D.5 Migrationsphase

D.5.1 Der im Falle einer Migration durchzuführende Prozess ist definiert und dokumentiert.

D.5.2 Eine Migration erfolgt geplant.

D.6 Roll-Off

D.6.1 Die Benutzerverwaltung ist auch über die End-of-Life-Phase hinaus geregelt.

D.6.2 Betriebsmittel werden ordnungsgemäß entsorgt

D.6.3 Durch die Anwendung mitgenutzte Ressourcen sind durch Befugte freigegeben.

E Inhaltsebene

E.1 Planungsphase

E.1.1 Es werden die und nur die Daten vorgesehen, die für den Geschäftszweck benötigt werden.

E.1.2 Die Gewährleistung der Datenkonsistenz ist in der Planung berücksichtigt.

E.1.3 Die Gewährleistung der Datenqualität ist in der Planung berücksichtigt.

E.1.4 Die Daten werden hinsichtlich der Kritikalität bewertet.

E.2 Entwicklungsphase

E.2.1 Es werden möglichst keine Produktionsdaten in Entwicklungs- oder Testumgebungen verwendet.

E.2.2 Für Tests werden möglichst geeignete Testdaten verwendet.

E.2.3 Testdaten werden möglichst automatisiert generiert.

E.2.4 Die Daten, die durch das entwickelte System entstehen, werden dokumentiert.

E.3 Implementierungsphase

E.3.1 Es ist transparent, welche Daten in welchen Speicherorten geführt und auf welchen Datenträgern archiviert werden

E.3.2 Es wird kontrolliert, dass die Daten gemäß ihrer Spezifikation implementiert werden

E.4 Betriebsphase

E.4.1 Buchführungsrelevante Daten sind nach der Eingabe nicht mehr änderbar

E.4.2 Wichtige Daten werden vor der Speicherung validiert bzw. plausibilisiert

E.4.3 Wichtige, kritische oder sensible Daten sind vor Verlust geschützt

E.4.4 Vertrauliche Daten sind nur den Personen zugänglich, für die sie bestimmt sind

E.4.5 Vertrauliche bzw. personenbezogene Daten dürfen nur Personen zugänglich sein, die eine Verpflichtungserklärung zu Vertraulichkeit und Datenschutz abgegeben haben.

E.4.6 Der Zugriff auf vertrauliche/sensible Daten wird protokolliert

E.5 Migrationsphase

E.5.1 Die Verfügbarkeit und Vertraulichkeit der Daten ist auch bei Änderungen und Migrationen zu jedem Zeitpunkt sichergestellt

E.5.2 Die Datensemantik wird von einer Migration nicht ungewollt verändert

E.5.3 Datenänderungen werden in einem geordneten Prozess durchgeführt

E.5.4 Datenänderungen werden protokolliert

E.6 Roll-Off

E.6.1 Vorgeschriebene Aufbewahrungsfristen werden gewährleistet

E.6.2 Es ist definiert, wann und durch wen Daten gelöscht werden dürfen

E.6.3 Sensible Daten werden sicher, zuverlässig, dauerhaft und nachweisbar gelöscht

E.6.4 Die Vernichtung von Datenträgern mit sensiblen Daten wird geprüft und protokolliert

F Personelle Ebene

F.1 Planungsphase

F.1.1 Aufgaben und Verantwortung von Angestellten sind definiert.

F.1.2 Stellenbeschreibungen werden verwendet

F.1.3 Anforderungen an besondere Stellen sind definiert.

F.1.4 Eine Überprüfung der Angestellten fand im Einklang mit den Gesetzen statt.

F.2 Entwicklungsphase

F.3 Implementierungsphase

F.3.1 Sicherheitsrichtlinien für Angestellte sind durch das Management in Kraft gesetzt worden.

F.3.2 Angestellte sind Ihren Aufgaben entsprechend sensibilisiert.

F.3.3 Sensible Posten sind mit vertrauenswürdigen Angestellten besetzt.

F.3.4 Angestellte haben den vertraglichen Vereinbarungen ihrer Posten zugestimmt.

F.4 Betriebsphase

F.4.1 Angestellte werden regelmäßig über die geltenden Regelungen informiert.

F.4.2 Sanktionen sind definiert.

F.4.3 Mitarbeiter sind ausreichend geschult.

F.5 Roll-Off

F.5.1 Die Verantwortlichkeiten für das Ausscheiden der Angestellten sind geregelt.

F.5.2 Alle organisationseigenen Wertgegenstände sind zurückgenommen worden.

Literaturhinweise

Register