Die Umsetzung der VAIT stellt jedes Unternehmen vor eine große Herausforderung. Vor allem da die VAIT selbst nur wenige Hinweise zur „Proportionalität“, daher zur Notwendigkeit und Angemessenheit von Maßnahmen zur Umsetzung der VAIT gibt und daher dem Unternehmen zwar Freiheiten aber auch große Unsicherheiten in der Umsetzung der VAIT gibt. Im Hintergrund steht immer die Frage „Überlebe ich damit die Prüfung durch die BaFin?“. Im Rahmen des Seminars gehen wir auf die Bedeutung jedes VAIT-Kapitels ein und zeigen auf, welche Maßnahmen, Prozesse und Verfahren mit der Umsetzung verbunden sind.
Die VAIT fordert die Orientierung an gängigen „Standard“ für die Erfüllung der Anforderungen. Daher zeigen wir mögliche gängige Standard wie COBIT®, IT-Grundschutz und mögliche ISO-Normen auf und stellen exemplarisch dar, wie sich aus der VAIT und den gängigen Standards Maßnahmen zur VAIT-Erfüllung ableiten lassen.
Ebenso zeigen wir auf, wie man im Rahmen eines ersten Selbsttests (Self-Assessment/Eigenauditierung) sein Unternehmen proportional einordnet und die Grundlage für ein Maßnahmenpaket zur Umsetzung der VAIT ableitet und wie eine freiwillige externe Auditierung Sie bei der Umsetzung der VAIT unterstützen kann.
In einem nächsten Schritt gehen wir Kapitelorientiert durch die VAIT und zeigen auf, welche Maßnahmen damit verbunden sein können. Dabei zeigen wir immer wieder auch exemplarisch praktische Umsetzungen und Werkzeuge für die Maßnahmen als Vorlage für das eigene Unternehmen auf.
In Bezug auf die Themen IT-Sicherheit, Informationsrisikomanagement und IT-Betrieb nehmen wir vor allem Bezug auf den in Deutschland weit verbreiteten IT-Grundschutz des BSI (Bundesamt für Informationssicherheit).
Abschließend behandeln wir noch die Themen der VAIT-Organisation, -Kommunikations- und -dokumentationsprozesse um die Umsetzung im Unternehmen voranzubringen und sicherstellen zu können, dass eine möglichst gute Vorbereitung auf eine Prüfung durch die BaFin erfolgt. Ebenso zeigen wir auf, wie eine Balanced Score Card zur Messbarkeit des Umsetzungsgrad der VAIT entwickelt werden kann.
Das Kapitel zu kritischen Infrastrukturen (KRITIS) wird dabei nicht behandelt, da dieses nicht alle unternehmen betrifft. Im Rahmen eines Sonderseminars greifen wir dieses Kapitel separat auf.
Schulungsumfang
- Seminar über 5 Tage
- Bereitstellung der Präsentation (Digital und als Hand-Out)
- Teilnahmeurkunde
Zielgruppe
Mitarbeiter und Führungskräfte welche den Auftrag haben, die VAIT (Versicherungsaufsichtliche Anforderungen an die Informationstechnologie) im Unternehmen umzusetzen. Die Teilnehmer sollten bereits über ein Grundverständnis der VAIT verfügen.
Anzahl Teilnehmer
Max. 10-12 Teilnehmer
Format
Vortrag (PowerPoint-Präsentation) mit Praxis-Beispielen und Workshop-Phasen für die Teilnehmer mit 2 Dozenten
Ablauf
Tag 1
| Block | Inhalt |
| 1 | Intro Begrüßung, Agenda und Vorstellungsrunde |
| 2-4 | Die Lage sondieren – Wo stehe ich mit der VAIT-Umsetzung Vorstellung von gängigen Standards und Business Frameworks und der Anwendung in Unternehmen Vorgehen zur Analyse des eigenen Unternehmens im Hinblick auf die Erfüllung der VAIT in Zusammenhang |
| 5 | VAIT-Grundwissen Gesetze, MaGo, VAIT und Co. – Überblick über die Zusammenhänge und Abhängigkeiten der VAIT und ihre Auswirkungen auf den Versicherungsalltag |
| 6-8 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen IT-Strategie – Beispiele für die Zielsetzungen in der IT-Strategie und Integration von IT-Zielen die Gesamtstrategie der Versicherung |
Tag 2
| Block | Inhalt |
| 9-12 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen IT-Governance Definieren von IT-Sicherheitszielen und Organisation einer effektiven und effizienten IT-Sicherheit |
| 13-16 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen Informationsrisikomanagement Die Verbindung vom Risikomanagementsystem der Versicherung mit dem IT-Risikomanagementsystem nach BSI 203-Risikomanagement und Bewertung von Risiken |
Tag 3
| Block | Inhalt |
| 17-20 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen Informationssicherheitsmanagement Organisatorische und Technische Merkmale eines Informationssicherheitsmanagementsystems Informationssicherheitsmanagement nach dem IT-Grundschutz |
| 21-24 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen Operative Informationssicherheit und Identitäts- und Rechtemanagement Analyse und Erstellung von Berechtigungskonzepten aus ganzheitlichem Blick |
Tag 4
| Block | Inhalt |
| 25-28 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) Aufbau einer entsprechenden Organisation zur VAIT-konformen Umsetzung von IT-Projekten |
| 29-32 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen IT-Betrieb Aufbau einer entsprechenden Organisation zur VAIT-konformen zum Betrieb der IT-Infrastruktur und Strukturierung eines User-Supports |
Tag 5
| Block | Inhalt |
| 33-34 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen Ausgliederungen von IT-Dienstleistungen Rahmenbedingungen für die Dokumentation und die Prozesse zum Umgang mit Ausgliederungen |
| 35-36 | Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen IT-Notfallmanagement Aufbau von Konzepten zum Umgang mit Notsituationen |
| 37-38 | VAIT – Umsetzungsfortschritt messbar machen Entwicklung einer VAIT-Balanced Score Card und Definition von Zielwerten für das eigene Unternehmen anhand von Prozessreifegraden |
| 39-40 | VAIT – Tipps zur Unternehmensorganisation Praktische Ideen für den Aufbau einer Organisation zur Umsetzung der VAIT und Dokumentation des Fortschritts |
| 41 | Aussprache und Feedback |