SOIT Version 2020-10 (Stand 09/2020)
| Versionsnummer | 2020-10 |
|---|---|
| Releasedatum | 28.10.2020 |
Es handelt sich um eine Ergänzungslieferung des Standard für Ordnungsmäßigkeit der IT-Verfahren (SOIT) vom 16.09.2020.
Bitte beachten Sie die allgemeinen Hinweise zur Übernahme neuer Vorschläge auf unserer Hilfeseite unter Übernehmen von Vorschlägen. In der nachfolgenden Erklärung weisen wir auf die Übernahme von Vorschlägen im Katalog Standard für Ordnungsmäßigkeit der IT-Verfahren der Fiducia & GAD IT AG (SOIT) hin.
Der Standard für Ordnungsmäßigkeit der IT-Verfahren wird regelmäßig überarbeitet.
Anlässe können sein:
Neuerungen und Änderungen von Ordnungsmäßigkeits- und Sicherheitsfragen im Umfeld des agree21- und bank21-Portfolios
Aufsichtsrechtliche Vorgaben
Um Sie bei der gezielten Bearbeitung der SOIT-Kapitel besser zu unterstützen, veröffentlichen wir ab sofort die erarbeiteten Anpassungen. Die Fachinformation zu den Ergänzungslieferungen des SOIT werden voraussichtlich quartalsweise erscheinen.
In dieser Ergänzungslieferung wurden Änderungen im „SOIT Teil 2 agree21“ vorgenommen.
Falls Sie den SOIT als IT-Sicherheitsstandard im Sinne der MaRisk verwenden, ist diese Vorgehensweise aufsichtsrechtlich erforderlich. Sind von den Änderungen in Ihrem Hause Prozesse und Anwendungen betroffen, sind diese zu prüfen, zu bewerten und entsprechend Ihrer Wirkung Maßnahmen einzuleiten.
Die in den nachfolgenden Screenshots ersichtlichen Datumsangaben, Anzahlen der geänderten Vorschläge oder Versionsnummern entsprechen nicht zwingend den aktuellen Angaben, sondern dienen der beispielhaften Erklärung zur Vorschlagsübernahme.
Mapping Sicherheitsmaßnahmenkatalog (SiMaKat)
Allgemein
Das Mapping zwischen Sicherheitsmaßnahmenkatalog (SiMaKat), der ISO 27002 Norm und dem Standard für Ordnungsmäßigkeit der IT-Verfahren (SOIT) ist derzeit nur über den Sicherheitsmaßnahmenkatalog (SiMaKat) einsehbar.
De entsprechenden Verweise werden angezeigt, wenn die Vorschläge zu den benannten Standards vorhanden sind und in den produktiven Bereich von ForumNSR übernommen sind.
Die Verweise auf den SOIT und die ISO sind auf Basis der Mappingtabelle „SOIT_ISO_SiMaKat_Mapping_V1.0.xls“ vorgegeben und erfolgen auf der Ebene der Sicherheitsmaßnahmen.
Verweise in einer Sicherheitsmaßnahme auf den SOIT und die ISO Norm sind als Basiszuordnung zu verstehen und im einzelnen genau zu prüfen sowie entsprechend zu dokumentieren.
Bestimmung Reifegrad
Der Reifegrad kann direkt aus der Übersicht Maßnahmen bearbeitet werden und kann natürlich in der Einzelansicht der jeweiligen Sicherheitsmaßnahme über die Schaltfläche Bearbeiten entsprechend modelliert werden..
Wenn Sie den Reifegrad aus der Übersicht Maßnahmen erstellen, beachten Sie bitte, dass gegebenenfalls kein Verantwortlicher vorhanden sowie keine Umsetzung (IST) dokumentiert ist. Der jeweilige Reifegrad der zugeordneten Verweise des referenzierten Kataloges ist für Sie aus der Übersicht der Maßnahmen ebenfalls nicht einsehbar.
Über Mouseover bekommen Sie den Hilfstext zum Bearbeiten anklicken sowie das Stiftsymbol angezeigt und können den Reifegrad entsprechend bestimmen.
In der Einzelansicht einer Sicherheitsmaßnahme werden aus Verweisen des referenzierten Kataloges Prüfungsfragen o.ä. angeboten. Im nachfolgenden Beispiel sind die Verweise aus dem SOIT alle vollständig umgesetzt.
Für die Umsetzung des Reifegrades (auf vollständig umgesetzt), der im Bild gezeigten Sicherheitsmaßnahme, kann die eingerahmte Prüfungsfrage aus dem SOIT bereits ausschlaggebend sein.
Abweichungen
Als Bearbeiter des SiMaKat bekommen Sie bei der Dokumentation einer Einstufung der Umsetzung als "teilweise" oder "nicht umgesetzt" einen Hinweis angezeigt, sofern bei den über Verweise referenzierten Katalogen und Prüfungsfragen bereits eine Risikobetrachtung erfolgte.
Bei mindestens einem Verweis auf andere Kataloge wurden bereits Risiken zur teilweisen bzw. Nicht-Umsetzung betrachtet. Bitte prüfen Sie, ob eine gesonderte Erfassung von Risiken hier erforderlich ist.
Weitere Informationen zum Bearbeiten des SiMaKats entnehmen Sie bitte dem Handbuch.
Meine geänderten Vorschläge
Vorschläge zu Objekten, welche in meiner Verantwortung liegen, können über die Schaltfläche Meine geänderten Vorschläge direkt aus der Startseite geöffnet werden.
Unter dem Menüpunkt Verwaltung bekommen Sie im Bereich Meine geänderten Vorschläge einen Hinweis und einen entsprechenden Link zu Änderungen in Ihrer Verantwortlichkeit angezeigt.
Die geänderten Vorschläge können nun wie gewohnt einzeln, als Massenübernahme sowie als Massenlöschung übernommen werden.
Eine Massenübernahme ist über die Schaltfläche Jetzt alle Änderungen übernehmen zu aktivieren.
Hinweise:
Es handelt sich ggf. um relevante Änderungen. Wir empfehlen daher ausdrücklich, die Änderungen einzeln zu prüfen und zu übernehmen. Eine Darstellung der Änderungen ist nach erfolgter Übernahme nicht mehr möglich.
Löschungen sind von der Massenübernahme ausgeschlossen und müssen gesondert behandelt werden.
Bei der Übernahme werden freigegebene Dokumente wieder in den Bearbeitungszustand versetzt.
- Abhängig von der Anzahl der Änderungen kann die Übernahme einige Minuten in Anspruch nehmen.
Eine Massenlöschung ist über die Schaltfläche Jetzt alle archivieren zu aktivieren.
ACHTUNG:
Mit dieser Aktion werden alle Produktivdokumente zu entfallenen Vorschlägen gelöscht.
Bei der automatisierten Löschung werden die jeweiligen produktiven Objekte mit all Ihren Eingaben archiviert und sind für Sie danach nicht mehr ohne Weiteres zugänglich.
- Wir empfehlen daher ausdrücklich, eine Einzelprüfung durchzuführen und die Löschungen individuell zu bestätigen.
Erfolgsmeldung für Massenübernahme bei Vorschlagsänderungen
Nach erfolgreicher Massenübernahme von Vorschlagsänderungen bzw. Vorschlagslöschungen wird eine entsprechende Erfolgsmeldung angezeigt (hier am Beispiel Umsetzungsleitfaden BAIT 2018-02).
Verantwortliche benachrichtigen
Verantwortliche für Dokumente mit geänderten Vorschlägen können nun aus der Übersicht des Vorschlagsstatus über die Schaltfläche Benachrichtigung senden heraus benachrichtigt werden. Unter Details, welche Sie über das Dreieckssymbol öffnen können, werden Ihnen die Empfänger und die Anzahl der geänderten Vorschläge der Benachrichtigungen aufgelistet.
Dieser Bereich ist nur für Administratoren sichtbar. Die Benachrichtigung an die betreffenden Mitarbeiter mit Verantwortungen kann nur von einem Administratoren versendet werden.
Neue Vorschläge
Hier sollte mit der Übernahme der einzelnen Kapitel begonnen werden, da die am neuen Kapitel enthaltenden Prüfungsfragen auch mit übernommen werden.
Geänderte Vorschläge, verwendet
Analog zur Massenübernahme und Massenlöschung von Änderungen unter Meine geänderten Vorschläge ist eine ähnliche Option auch in diesem Bereich implementiert wurden.
Die Aktion Massenübernahmen von Änderungen sowie Massenlöschungen sind nur von Systemadministratoren durchführbar.
Objekte für eine Massenübernahme von Änderungen können Sie durch aktivieren des Dreieckssymbols einsehen und anschließend über die Schaltfläche Jetzt alle Änderungen übernehmen auf einmal übernehmen.
Hinweise:
Es handelt sich ggf. um relevante Änderungen. Wir empfehlen daher ausdrücklich, die Änderungen einzeln zu prüfen und zu übernehmen. Eine Darstellung der Änderungen ist nach erfolgter Übernahme nicht mehr möglich.
Löschungen sind von der Massenübernahme ausgeschlossen und müssen gesondert behandelt werden.
Bei der Übernahme werden freigegebene Dokumente wieder in den Bearbeitungszustand versetzt.
- Abhängig von der Anzahl der Änderungen kann die Übernahme einige Minuten in Anspruch nehmen.
Objekte für eine Massenlöschung können Sie durch aktivieren des Dreieckssymbols einsehen und über die Schaltfläche Jetzt alle archivieren auf einmal archivieren..
ACHTUNG:
Mit dieser Aktion werden alle Produktivdokumente zu entfallenen Vorschlägen gelöscht.
Bei der automatisierten Löschung werden die jeweiligen produktiven Objekte mit all Ihren Eingaben archiviert und sind für Sie danach nicht mehr ohne Weiteres zugänglich.
- Wir empfehlen daher ausdrücklich, eine Einzelprüfung durchzuführen und die Löschungen individuell zu bestätigen.
Erfolgsmeldung für Massenübernahme bei Vorschlagsänderungen
Nach erfolgreicher Massenübernahme von Vorschlagsänderungen bzw. Vorschlagslöschungen wird eine entsprechende Erfolgsmeldung angezeigt (hier am Beispiel Umsetzungsleitfaden BAIT 2018-02).