Klaus Schmidt, Dirk Brand
IT-Revision in der Praxis
Inhalt
8
Vorwort
16
Die Autoren
18
Teil I: Praxis der IT-Revision
20
1 Grundlagen der IT-Revision
22
1.1 Das Wesen der IT-Revision
22
1.1.1 Ziele der IT-Revision
23
1.1.2 Externe Revision
26
1.1.3 Interne Revisionsarten
27
1.2 Mit der IT-Revision verwandte Funktionen
28
1.3 Die IT-Revision im Unternehmen
30
1.3.1 Position im Unternehmen
30
1.3.2 Befugnisse
30
1.3.3 Mitarbeiter
32
1.3.4 Qualitätssicherung und Leistungsmessung
34
1.3.5 Sicherheit der Revisionsabteilung
37
1.4 Prüfungsaspekte
38
1.4.1 Rechtmäßigkeit
38
1.4.2 Ordnungsmäßigkeit
39
1.4.3 Sicherheit
40
1.4.4 Zweckmäßigkeit/Funktionsfähigkeit
41
1.4.5 Wirtschaftlichkeit
42
1.4.6 Kontrollierbarkeit und Nachvollziehbarkeit
43
2 Prüfungsorganisation undVorgehen
44
2.1 Prüfungsplanung
44
2.1.1 Strategische Planung (3-Jahres-Plan)
45
2.1.2 Jahresplanung
46
2.1.3 Planung und Vorbereitung einer einzelnen Prüfung
47
2.2 Prüfungsauftrag
49
2.3 Vorbereitung der Prüfungsdurchführung
50
2.3.1 Analyse des Prüfobjekts/Voruntersuchung
50
2.3.2 Prüfungsankündigung
50
2.3.3 Kick-off-Meeting
52
2.4 Prüfungsdurchführung
52
2.4.1 Dokumentensichtung
52
2.4.2 Fragebogenerhebung
54
2.4.3 Interviews
55
2.4.4 Verifikation der Aussagen
59
2.5 Prüfungsbericht
62
2.5.1 Dokumentation des Ist-Zustands im Prüfungsbericht
62
2.5.2 Bewertung des Ist-Zustands
63
2.5.3 Maßnahmenempfehlungen
66
2.5.4 Entwurf und Abstimmung des Prüfungsberichts
66
2.6 Prüfungsabschluss
68
2.6.1 Schlussbesprechung
68
2.6.2 Vollständigkeitserklärung
69
2.6.3 Stellungnahme des geprüften Bereichs
70
2.6.4 Verfolgung der Umsetzung der Maßnahmen
70
3 Zusammenspiel mit externenWirtschaftsprüfern
72
3.1 Aufgabe der externen Wirtschaftsprüfer
72
3.2 Grundlagen der Prüfung durch einen Wirtschaftsprüfer
73
3.3 Vorgehen bei der Prüfung durch externe Wirtschaftsprüfer
75
3.4 Ergebnisse der internen Revision verwenden
76
4 Relevante Prüfungsgrundlagen
80
4.1 Prüfungsgrundlagen für die IT-Revision
80
4.2 Gesetze
81
4.2.1 Handelsgesetzbuch (HGB)
82
4.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
85
4.2.3 Bundesdatenschutzgesetz BDSG
86
4.2.4 Telemediengesetz (TMG)
88
4.2.5 SOX
89
4.3 Richtlinien für die IT-Revision
90
4.3.1 Allgemein
90
4.3.2 Verlautbarungen des IDW
91
4.3.3 GDPdU
92
4.3.4 GoBS
93
4.4 Branchenvorschriften
95
4.4.1 Basel II
95
4.4.2 MaRisk (Mindestanforderungen an das Risikomanagement)
96
4.4.3 Solvency II
97
5 Prüfung von IT-Verfahren
98
5.1 Das Wesen eines IT-Verfahrens
98
5.2 Fragmentierung von Verfahrensprüfungen
100
5.3 Prüfung der IT-Verfahrensplanung
102
5.3.1 Anforderungen an das neue IT-Verfahren
102
5.3.2 Einsatzplanung
103
5.3.3 Einbettung in Geschäftsprozesse
104
5.3.4 Einbettung in die IT
105
5.4 Prüfung der Verfahrensdokumentation
106
5.4.1 Das Wesen der Verfahrensdokumentation
106
5.4.2 Beschreibung der sachlogischen Lösung
108
5.4.3 Beschreibung der technischen Lösung
109
5.4.4 Programmidentität
112
5.4.5 Datenintegrität
113
5.4.6 Arbeitsanweisungen für den Anwender
113
5.4.7 Prüfen der Verfahrensdokumentation
114
5.5 Berechtigungskonzept
116
5.6 Prüfung der Verfahrensdaten
118
5.6.1 Anforderungen an Daten in der Planungsphase
118
5.6.2 Dateneingabe, -verarbeitung und -ausgabe
119
5.6.3 Datentransfer
120
5.6.4 Datensicherung und Archivierung
120
5.6.5 Datenmigration
121
5.6.6 Datenlöschung und -entsorgung
122
6 Besondere Prüfungsgebiete
124
6.1 Prüfungsgebiet Bundesdatenschutzgesetz
124
6.1.1 BSI Grundschutzstandards und -kataloge
125
6.1.2 Vorgehen nach BSI Grundschutz
126
6.1.3 Umsetzung der Vorgaben anhand eines Sicherheitsrahmenkonzeptes
136
6.1.4 Audit eines Informationssicherheitsmanagementsystems (ISMS) nach BSI Grundschutz
137
6.2 Prüfungsgebiet Dokumentenmanagement
139
6.2.1 Welche Rahmenbedingungen gibt es?
139
6.2.2 Bewertungsbereiche
141
6.2.3 Prüfung und Zertifizierung
141
7 CobIT-Prüfungen
144
7.1 Bestimmung des Prüfungsziels
144
7.2 Aufnahme der bestehenden Situation
146
7.3 Feststellung der CobIT-Erfüllung
147
7.4 Ermittlung des Reifegrades
147
7.5 Prüfung des Ziel- und Kontrollsystems
150
8 Tools zur Prüfungsunterstützung
154
8.1 Wie alles begann
154
8.2 Warum überhaupt Tools?
155
8.3 Welche Werkzeugarten gibt es?
155
8.4 Prüfungsbegleitende Werkzeuge
156
8.4.1 Ablauf einer tool-unterstützten Prüfung
157
8.5 Prüfende Werkzeuge
166
Teil II: Grundsätze einer ordnungsgemäßen Informationstechnik (GoIT)
168
Einleitung
170
Gliederung der IT in den GoIT
171
IT-Strukturierungsmodell
171
Fokus
173
IT-Lebenszyklusphasen in den GoIT
174
Prüfungsaspekte in den GoIT
175
Vorgehen bei der Anwendung der GoIT
176
A Physikalische Ebene
178
A.1 Planungsphase
179
A.1.1 Bei der Planung einer physischen Einrichtung sind Sicherheitsmaßnahmen berücksichtigt worden.
179
A.1.2 Bei der Planung sind einschlägige Normen berücksichtigt worden.
180
A.1.3 Schützenswerte Gebäudeteile sind deklariert worden.
181
A.1.4 Elektroversorgungsleitungen und Datenleitungen sind zukunftsorientiert geplant.
182
A.1.5 Versorgungsleitungen sind redundant ausgelegt.
183
A.2 Entwicklungsphase
183
A.3 Implementierungsphase
184
A.3.1 Bei der Realisierung sind die Anforderungen der Planungsphase berücksichtigt worden.
184
A.3.2 Beim Einzug in eine gemietete Einrichtung sind Sicherheitsmaßnahmen geprüft worden.
185
A.4 Betriebsphase
186
A.4.1 Der Zutritt zum Gebäude wird kontrolliert.
186
A.4.2 Es sind Schutzmaßnahmen gegen Bedrohungen von außen und aus der Umgebung getroffen worden.
187
A.4.3 Öffentliche Zugänge, Anlieferungs- und Ladezonen werden kontrolliert.
188
A.4.4 Die Arbeit in Sicherheitszonen ist geregelt.
189
A.4.5 Betriebsmittel sind vor unerlaubtem Zugriff physisch gesichert.
190
A.4.6 Bei physischen Einrichtungen mit Publikumsverkehr sind die Informationsträger gesondert zu sichern.
191
A.4.7 Physische Einrichtungen, in denen sich Mitarbeiter aufhalten, sind gegen unbefugten Zutritt gesichert.
192
A.4.8 Physische Sicherheitsmaßnahmen sind dokumentiert.
193
A.4.9 Notfallmaßnahmen für physische Einrichtungen sind definiert.
194
A.4.10 Notfallübungen werden durchgeführt.
195
A.5 Migration
195
A.6 Roll-Off
196
A.6.1 Der Auszug aus physischen Einrichtungen ist geregelt.
196
A.6.2 Betriebsmittel werden ordnungsgemäß entsorgt.
197
A.6.3 Bestandsverzeichnisse sind auf dem aktuellen Stand.
198
B Netzwerkebene
200
B.1 Planungsphase
201
B.1.1 Eine geeignete Netzwerksegmentierung ist geplant.
201
B.1.2 Bei der Planung sind Sicherheitsmaßnahmen zum Schutz des Netzwerkes getroffen worden.
202
B.1.3 Das physische Netzwerk ist vor unbefugten Zugängen geschützt.
203
B.1.4 Ein Netzwerkrealisierungsplan ist vorhanden.
204
B.1.5 Eine geeignete Netzkopplung ist eingeplant.
205
B.2 Entwicklungsphase
205
B.3 Implementierungsphase
206
B.3.1 Das Netzwerk ist auf Engpässe überprüft.
206
B.3.2 Die Verwaltung der Netzkomponenten ist zentral gesteuert.
207
B.3.3 Eine vollständige Netzdokumentation ist vorhanden.
208
B.3.4 Mit Netzwerkbetreibern sind geeignete Verträge abgeschlossen.
209
B.3.5 Netzkomponenten sind sicher zu konfigurieren.
210
B.4 Betriebsphase
211
B.4.1 Der Netzwerkverkehr wird protokolliert.
211
B.4.2 Die Protokolle werden regelmäßig ausgewertet und auf Unregelmäßigkeiten geprüft.
212
B.4.3 Ein Monitoring ist eingerichtet.
213
B.4.4 Das Verhalten bei Zwischenfällen ist definiert.
214
B.4.5 Netzwerkadministratoren sind sorgfältig ausgewählt worden.
215
B.4.6 Netzwerkspezifische Sicherheitsmaßnahmen sind dokumentiert.
216
B.4.7 Notfallmaßnahmen für das Netzwerk sind definiert.
217
B.4.8 Notfallübungen werden durchgeführt.
218
B.5 Migrationsphase
218
B.6 Roll-Off
219
B.6.1 Inhalte auf aktiven Netzwerkkomponenten sind ordentlichgelöscht worden.
219
B.6.2 Protokolle werden nach gesetzlichen Vorgaben vernichtet.
220
C Systemebene
222
C.1 Planungsphase
223
C.1.1 Der Schutzbedarf des Systems ist ermittelt.
223
C.1.2 Die sich aus dem Schutzbedarf ableitenden Sicherheitsanforderungen und -maßnahmen sind definiert.
224
C.1.3 Leistungs- und Kapazitätsanforderungen an das System sind definiert.
225
C.1.4 Die Dimensionierung des Systems entspricht der zu erbringenden Leistung.
226
C.1.5 Die Systeme folgen definierten Unternehmensstandards.
227
C.2 Entwicklungsphase
227
C.3 Implementierungsphase
228
C.3.1 Bei erhöhtem Schutzbedarf wird das System gehärtet.
228
C.3.2 Die Erfüllung der Leistungs- und Kapazitätsanforderungen wird nachgewiesen.
229
C.3.3 Die Systemfunktionen und -komponenten sind ausführlich getestet.
230
C.4 Betriebsphase
231
C.4.1 Alle Lizenzvereinbarungen werden eingehalten.
231
C.4.2 Das System ist vor zu langen Ausfällen geschützt.
232
C.4.3 Die Wiederherstellung des Systems ist in der erforderlichen Zeit möglich.
233
C.4.4 Das System wird durch Updates auf dem neuesten Stand gehalten.
234
C.4.5 Das System ist vor unberechtigten Zugriffen geschützt.
235
C.4.6 Die Erfüllung der Leistungs- und Sicherheitsanforderungen wird regelmäßig analysiert und ggf. angepasst.
236
C.4.7 Das System ist angemessen dokumentiert.
237
C.5 Migrationsphase
238
C.5.1 Die Systemfunktion bleibt zu jedem Zeitpunkt der Migration erhalten.
238
C.5.2 Für einen möglichen Fehlschlag von Änderungen/Migrationen ist ein Rollback vorhanden.
239
C.5.3 Systemänderungen werden auf Seiteneffekte hin geprüft.
240
C.5.4 Es gibt eine Übersicht, welche Systemeigenschaften des Altsystems denen des Neusystems entsprechen.
241
C.5.5 Änderungen und Migrationen unterliegen einem definierten und kontrollierten Change-Management-Prozess.
242
C.6 Roll-Off
243
C.6.1 Alle Systemfunktionen werden nicht mehr benötigt.
243
C.6.2 Alle Systemlizenzen erlöschen.
244
C.6.3 Vor dem Roll-Off wird sichergestellt, dass ein zu entsorgendes, physisches System keine vertraulichen Daten mehr enthält.
245
C.6.4 Das physische IT-System wird de-inventarisiert und die Entsorgung protokolliert.
246
D Applikationsebene
248
D.1 Planungsphase
249
D.1.1 Die Ziele und Aufgaben, welche die Anwendung erfüllen soll, sind definiert worden.
249
D.1.2 Die Anforderungen sind in einem Lastenheft/Anforderungskatalog konkretisiert worden.
250
D.1.3 Für die Entwicklung/Implementierung werden geeignete Ressourcen bereitgestellt.
251
D.1.4 Die Daten, die verarbeitet werden sollen, sind klassifiziert und definiert worden.
252
D.1.5 Eine geeignete Infrastruktur für den Betrieb wurde ausgewählt.
253
D.2 Entwicklungsphase
254
D.2.1 Geeignete Vorgehensweisen zur Entwicklung sind mit den Anforderungen verglichen worden.
254
D.2.2 Die Entwicklung wird konform zur Vorgehensweise dokumentiert.
255
D.3 Implementierungsphase
256
D.3.1 Quellcode ist gegen unbefugte Veränderung gesichert.
256
D.3.2 Applikationstests werden nach den Vorgaben der Planung umgesetzt.
257
D.4 Betriebsphase
258
D.4.1 Anforderungen der Applikation an den Betrieb sind dokumentiert.
258
D.4.2 Prozesse zur sicheren Applikationsverwaltung sind beschrieben.
259
D.4.3 Integritäts- und vertraulichkeitssichernde Maßnahmen sindf ür den Betrieb beschrieben und umgesetzt.
260
D.4.4 Etwaige Verschlüsselungsverfahren sind beschrieben.
261
D.4.5 Prozesse für die Benutzerverwaltung innerhalb der Anwendung sind dem Betrieb bekannt und dokumentiert.
262
D.4.6 Eine Testumgebung der Applikation ist vorhanden.
263
D.5 Migrationsphase
264
D.5.1 Der im Falle einer Migration durchzuführende Prozess ist definiert und dokumentiert.
264
D.5.2 Eine Migration erfolgt geplant.
265
D.6 Roll-Off
266
D.6.1 Die Benutzerverwaltung ist auch über die End-of-Life-Phase hinaus geregelt.
266
D.6.2 Betriebsmittel werden ordnungsgemäß entsorgt
267
D.6.3 Durch die Anwendung mitgenutzte Ressourcen sind durch Befugte freigegeben.
268
E Inhaltsebene
270
E.1 Planungsphase
271
E.1.1 Es werden die und nur die Daten vorgesehen, die für den Geschäftszweck benötigt werden.
271
E.1.2 Die Gewährleistung der Datenkonsistenz ist in der Planung berücksichtigt.
272
E.1.3 Die Gewährleistung der Datenqualität ist in der Planung berücksichtigt.
273
E.1.4 Die Daten werden hinsichtlich der Kritikalität bewertet.
274
E.2 Entwicklungsphase
275
E.2.1 Es werden möglichst keine Produktionsdaten in Entwicklungs- oder Testumgebungen verwendet.
275
E.2.2 Für Tests werden möglichst geeignete Testdaten verwendet.
276
E.2.3 Testdaten werden möglichst automatisiert generiert.
277
E.2.4 Die Daten, die durch das entwickelte System entstehen, werden dokumentiert.
278
E.3 Implementierungsphase
279
E.3.1 Es ist transparent, welche Daten in welchen Speicherorten geführt und auf welchen Datenträgern archiviert werden
279
E.3.2 Es wird kontrolliert, dass die Daten gemäß ihrer Spezifikation implementiert werden
280
E.4 Betriebsphase
281
E.4.1 Buchführungsrelevante Daten sind nach der Eingabe nicht mehr änderbar
281
E.4.2 Wichtige Daten werden vor der Speicherung validiert bzw. plausibilisiert
282
E.4.3 Wichtige, kritische oder sensible Daten sind vor Verlust geschützt
283
E.4.4 Vertrauliche Daten sind nur den Personen zugänglich, für die sie bestimmt sind
284
E.4.5 Vertrauliche bzw. personenbezogene Daten dürfen nur Personen zugänglich sein, die eine Verpflichtungserklärung zu Vertraulichkeit und Datenschutz abgegeben haben.
285
E.4.6 Der Zugriff auf vertrauliche/sensible Daten wird protokolliert
286
E.5 Migrationsphase
287
E.5.1 Die Verfügbarkeit und Vertraulichkeit der Daten ist auch bei Änderungen und Migrationen zu jedem Zeitpunkt sichergestellt
287
E.5.2 Die Datensemantik wird von einer Migration nicht ungewollt verändert
288
E.5.3 Datenänderungen werden in einem geordneten Prozess durchgeführt
289
E.5.4 Datenänderungen werden protokolliert
290
E.6 Roll-Off
291
E.6.1 Vorgeschriebene Aufbewahrungsfristen werden gewährleistet
291
E.6.2 Es ist definiert, wann und durch wen Daten gelöscht werden dürfen
292
E.6.3 Sensible Daten werden sicher, zuverlässig, dauerhaft und nachweisbar gelöscht
293
E.6.4 Die Vernichtung von Datenträgern mit sensiblen Daten wird geprüft und protokolliert
294
F Personelle Ebene
296
F.1 Planungsphase
297
F.1.1 Aufgaben und Verantwortung von Angestellten sind definiert.
297
F.1.2 Stellenbeschreibungen werden verwendet
298
F.1.3 Anforderungen an besondere Stellen sind definiert.
299
F.1.4 Eine Überprüfung der Angestellten fand im Einklang mit den Gesetzen statt.
300
F.2 Entwicklungsphase
300
F.3 Implementierungsphase
301
F.3.1 Sicherheitsrichtlinien für Angestellte sind durch das Management in Kraft gesetzt worden.
301
F.3.2 Angestellte sind Ihren Aufgaben entsprechend sensibilisiert.
302
F.3.3 Sensible Posten sind mit vertrauenswürdigen Angestellten besetzt.
303
F.3.4 Angestellte haben den vertraglichen Vereinbarungen ihrer Posten zugestimmt.
304
F.4 Betriebsphase
305
F.4.1 Angestellte werden regelmäßig über die geltenden Regelungen informiert.
305
F.4.2 Sanktionen sind definiert.
306
F.4.3 Mitarbeiter sind ausreichend geschult.
307
F.5 Roll-Off
308
F.5.1 Die Verantwortlichkeiten für das Ausscheiden der Angestellten sind geregelt.
308
F.5.2 Alle organisationseigenen Wertgegenstände sind zurückgenommen worden.
309
Literaturhinweise
310
Register
312
© 2009-2024 ciando GmbH