Die Umsetzung der VAIT stellt jedes Unternehmen vor eine große Herausforderung. Vor allem da die VAIT selbst nur wenige Hinweise zur „Proportionalität“, daher zur Notwendigkeit und Angemessenheit von Maßnahmen zur Umsetzung der VAIT gibt und daher dem Unternehmen zwar Freiheiten aber auch große Unsicherheiten in der Umsetzung der VAIT gibt. Im Hintergrund steht immer die Frage „Überlebe ich damit die Prüfung durch die BaFin?“. Im Rahmen des Seminars gehen wir auf die Bedeutung jedes VAIT-Kapitels ein und zeigen auf, welche Maßnahmen, Prozesse und Verfahren mit der Umsetzung verbunden sind.

Die VAIT fordert die Orientierung an gängigen „Standard“ für die Erfüllung der Anforderungen. Daher zeigen wir mögliche gängige Standard wie COBIT®, IT-Grundschutz und mögliche ISO-Normen auf und stellen exemplarisch dar, wie sich aus der VAIT und den gängigen Standards Maßnahmen zur VAIT-Erfüllung ableiten lassen.

Ebenso zeigen wir auf, wie man im Rahmen eines ersten Selbsttests (Self-Assessment/Eigenauditierung) sein Unternehmen proportional einordnet und die Grundlage für ein Maßnahmenpaket zur Umsetzung der VAIT ableitet und wie eine freiwillige externe Auditierung Sie bei der Umsetzung der VAIT unterstützen kann.

In einem nächsten Schritt gehen wir Kapitelorientiert durch die VAIT und zeigen auf, welche Maßnahmen damit verbunden sein können. Dabei zeigen wir immer wieder auch exemplarisch praktische Umsetzungen und Werkzeuge für die Maßnahmen als Vorlage für das eigene Unternehmen auf.

In Bezug auf die Themen IT-Sicherheit, Informationsrisikomanagement und IT-Betrieb nehmen wir vor allem Bezug auf den in Deutschland weit verbreiteten IT-Grundschutz des BSI (Bundesamt für Informationssicherheit).

Abschließend behandeln wir noch die Themen der VAIT-Organisation, -Kommunikations- und -dokumentationsprozesse um die Umsetzung im Unternehmen voranzubringen und sicherstellen zu können, dass eine möglichst gute Vorbereitung auf eine Prüfung durch die BaFin erfolgt. Ebenso zeigen wir auf, wie eine Balanced Score Card zur Messbarkeit des Umsetzungsgrad der VAIT entwickelt werden kann. Der Bereich KRITIS wird zusätzlich bei Bedarf behandelt.

Ablauf

Tag 1

Block Inhalt
1Intro
Begrüßung, Agenda und Vorstellungsrunde
2-4Die Lage sondieren – Wo stehe ich mit der VAIT-Umsetzung
Vorstellung von gängigen Standards und Business Frameworks und der Anwendung in Unternehmen
Vorgehen zur Analyse des eigenen Unternehmens im Hinblick auf die Erfüllung der VAIT in Zusammenhang
5VAIT-Grundwissen
Gesetze, MaGo, VAIT und Co. – Überblick über die Zusammenhänge und Abhängigkeiten der VAIT und ihre Auswirkungen auf den Versicherungsalltag
6-8Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
IT-Strategie – Beispiele für die Zielsetzungen in der IT-Strategie und Integration von IT-Zielen die Gesamtstrategie der Versicherung

Tag 2

Block Inhalt
9-12Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
IT-Sicherheit – Definieren von IT-Sicherheitszielen und Organisation einer effektiven und effizienten IT-Sicherheit
13-16Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
Informationsrisikomanagement
Die Verbindung vom Risikomanagementsystem der Versicherung mit dem IT-Risikomanagementsystem nach BSI 203-Risikomanagement und Bewertung von Risiken

Tag 3

Block Inhalt
17-20Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
Organisatorische und Technische Merkmale eines Informationssicherheitsmanagementsystems
Informationssicherheitsmanagement nach dem IT-Grundschutz
21-24Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
Benutzerberechtigungsmanagement
Analyse und Erstellung von Berechtigungskonzepten aus ganzheitlichem Blick

Tag 4

Block Inhalt
25-28Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
Aufbau einer entsprechenden Organisation zur VAIT-konformen Umsetzung von IT-Projekten
29-32Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
IT-Betrieb
Aufbau einer entsprechenden Organisation zur VAIT-konformen zum Betrieb der IT-Infrastruktur und Strukturierung eines User-Supports

Tag 5

Block Inhalt
33-36Die VAIT-Kapitel – Maßnahmen identifizieren und festlegen
Ausgliederungen von IT-Dienstleistungen
Rahmenbedingungen für die Dokumentation und die Prozesse zum Umgang mit Ausgliederungen
37-38VAIT – Umsetzungsfortschritt messbar machen
Entwicklung einer VAIT-Balanced Score Card und Definition von Zielwerten für das eigene Unternehmen anhand von Prozessreifegraden
39-40VAIT – Tipps zur Unternehmensorganisation
Praktische Ideen für den Aufbau einer Organisation zur Umsetzung der VAIT und Dokumentation des Fortschritts
41Aussprache und Feedback