high
must
IKT-Drittparteienrisikomanagement etablieren
Risiken aus IKT-Drittparteienbeziehungen muessen identifiziert, bewertet, gesteuert, dokumentiert und ueberwacht werden.
Sparkassen-Relevanz
hoch fuer IT-Dienstleistersteuerung, Auslagerungsmanagement, Informationssicherheit und IT-Governance
EZB-Relevanz
hoch bei bedeutenden Instituten und kritischen oder wichtigen Funktionen
Moegliche Prueffragen
- Gibt es eine vollstaendige Uebersicht relevanter IKT-Drittparteien?
- Ist die Kritikalitaet nachvollziehbar bewertet?
- Gibt es laufende Ueberwachung und Eskalationslogik?
- Sind Rollen und Verantwortlichkeiten eindeutig?
Nachweise
- IKT-Drittparteieninventar
- Risikoanalyse
- Kritikalitaetsbewertung
- Dienstleisterberichte
- Kontroll- und Eskalationsnachweise
Abgeleitete Handlungen
- Inventar der IKT-Drittparteienbeziehungen konsolidieren
- Kritikalitaetslogik fuer Cloud- und IT-Dienstleister festlegen
- Ueberwachungs- und Eskalationsprozess dokumentieren