Kontrollpflichten externer Lieferanten EUDA – von Endbenutzern entwickelte Anwendungen (End User Developed Applications) Version 7.0, Dezember 2016 Kontrollbereich Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung Geschäfts- und Sicherheitskontrollen Funktionen und Verantwortlichkeiten Der Lieferant muss Funktionen und Verantwortlichkeiten für EUDAs festlegen und kommunizieren. Diese müssen nach jeder am Betriebsmodell oder Geschäft des Lieferanten vorgenommenen Änderung überprüft werden. EUDAs erfordern ein Sponsorship auf höherer Ebene, um sicherzustellen, dass Kontrollmechanismen entwickelt, implementiert und effektiv umgesetzt werden. Zu den Hauptfunktionen muss ein leitender Angestellter gehören, der für EUDAs zuständig ist. EUDARisikoberichterstattung Um sicherzustellen, dass EUDA-Risiko-Vorfälle gemeldet und verwaltet werden, müssen dokumentierte Kontrollmechanismen und Prozesse vorhanden sein. Um die Geschäftsleitung hinreichend über die Entwicklung und den Ablauf der EUDA Risikokontrollen in Kenntnis zu setzen, ist eine fortlaufende Überwachung nötig. Der Lieferant sollte EUDA-Vorfälle und Datenschutzverletzungen unverzüglich behandeln und Barclays melden. Es sollte ein Vorfallbehandlungsprozess für die zeitnahe Bearbeitung und Meldung von Fehlern, die Auswirkungen auf Informationen von Barclays und/oder auf von Barclays genutzte Dienste haben, eingerichtet sein. Der Lieferant muss dafür sorgen, dass die festgelegten Abhilfemaßnahmen nach einem Vorfall gemäß einem Abhilfeplan (Aktion, Zuständigkeit, Frist) ausgeführt und mit Barclays abgesprochen und vereinbart werden. Fortlaufende Überwachung Der Lieferant muss regelmäßig (mindestens jedoch einmal in jedem Kalenderjahr) seine Einhaltung dieses Zeitplans messen, auswerten und dokumentieren. Einhaltung der gesetzlichen und satzungsmäßigen Bestimmungen vor Ort Der Lieferant stellt sicher, dass auf EUDA bezogene gesetzliche wie satzungsmäßige Bestimmungen des Geltungsbereichs, in welchem der Lieferant arbeitet, angemessen dokumentiert sind und eingehalten werden. Seite | 1 Version 7.0, Dezember 2016 Kontrollbereich Bezeichnung der Kontrolle Beschreibung der Kontrolle Weiterbildung und Awareness Weiterbildung und Awareness für Neuangestellte Der Lieferant muss dafür sorgen, dass alle seine neuen Mitarbeiter mit Verantwortlichkeiten für EUDA bestimmt werden und innerhalb eines angemessenen Zeitraums eine Schulung absolvieren, die ihnen die nötigen Kenntnisse über ihre Funktionen und Verantwortlichkeiten in Bezug auf EUDA vermittelt. Fortlaufende Weiterbildung und Awareness Der Lieferant muss sicherstellen, dass Mitarbeiter, denen Verantwortlichkeiten für EUDA zugewiesen worden sind, die für ihre Funktion erforderliche Weiterbildung und Awareness vermittelt bekommen Über die Bedeutung Es soll sichergestellt werden, dass sämtliche Mitarbeiter des Lieferanten mit Verantwortlichkeiten für EUDA sich ihrer Verantwortlichkeiten bewusst sind, um zu verhindern, dass der Lieferant EUDAs und die in ihnen enthaltenen Informationen versehentlich vermeidbaren Risiken aussetzt. (a) in Intervallen, die der Bedeutung ihrer Verantwortlichkeiten angemessen sind, und (b) mindestens einmal pro Jahr. EUDA-Kontrollziele Bestimmung und Einschätzung der Kritikalität Es muss ein Prozess zur Identifizierung sämtlicher EUDAs, die Dienste von Barclays unterstützen, dokumentiert und vorhanden sein. Die Kritikalität der EUDA muss mit Barclays vereinbart werden. Die Identifizierung und Bewertung der Kritikalität von EUDAs ist von oberster Bedeutung für die Bestimmung der richtigen Kontrollstufe für sämtliche EUDAs. EUDA-Kontrollziele Mindestanforderungen an Kontrollen ausgehend von der Kritikalität der EUDA Der Primärbenutzer der EUDA muss Kontrollen implementieren, die den Anforderungen der Kontrollziele ausgehend von der mit Barclays vereinbarten Kritikalitätsstufe entsprechen. Entsprechend dem Risiko, mit dem die EUDA verbunden ist, muss die richtige Kontrollstufe angewendet werden, damit die Kontrollen bei einer EUDA mit geringerem Risiko nicht zu umfangreich sind. Die mit „V“ gekennzeichneten Kontrollziele sind gemäß diesem Dokument als Verbindlich vorgeschrieben. Alle anderen Kontrollziele sind nur Optional („O“). Die Übersicht zu Kontrollen ist Anhang A zu entnehmen. Es sind gegebenenfalls Nachweise aufzubewahren, um zu zeigen, dass die Seite | 2 Version 7.0, Dezember 2016 betreffenden Kontrollziele erreicht werden. EUDA-Kontrollziele Registrierung Zur Schaffung von Transparenz hinsichtlich des Gesamtbestands der im Geltungsbereich liegenden EUDAs für den Lieferanten und zur Erfassung wichtiger Merkmale in Bezug auf die Einhaltung der Bestimmungen dieses Dokuments muss eine EUDA-Bestandsliste vorhanden sein. Die Vollständigkeit der EUDA-Bestandsliste ist von grundlegender Bedeutung, damit die erforderliche Sicherheit und die Funktion von EUDAs gewährleistet sind. Es muss ein Prozess dokumentiert und vorhanden sein, um sicherzustellen, dass die Bestandsliste der EUDAs vollständig, genau und aktuell ist. Die EUDABestandsliste muss mindestens einmal jährlich auf Genauigkeit und Vollständigkeit überprüft werden. Kontrollbereich Bezeichnung der Kontrolle Beschreibung der Kontrolle Über die Bedeutung EUDA-Kontrollziele Zugriff Der Zugriff auf Daten und Geschäftslogik für sämtliche EUDAs muss auf die entsprechenden Benutzer mit den entsprechenden Zugriffsrechten beschränkt sein. Der Zugriff muss anhand eines risikobasierten Ansatzes überprüft werden. Entsprechende Zugriffskontrollen schützen EUDAs vor unbefugtem, unangemessenem oder nicht zuordenbarem Zugriff. EUDA-Kontrollziele Verfügbarkeit Es müssen Kontrollen vorhanden sein, um sicherzustellen, dass EUDAs im Einklang mit den Anforderungen der BU zur Verfügung stehen müssen. Durch die Verfügbarkeit von EUDAs wird die kontinuierliche Funktion von Geschäftsprozessen sichergestellt. EUDA-Kontrollziele Änderungsmanagement Durch die Beachtung von Prinzipien des Änderungsmanagements wird sichergestellt, dass EUDAs nach Änderungen der Geschäftslogik wie erwartet funktionieren. Ein angemessenes Änderungsmanagement ist von entscheidender Bedeutung dafür, dass die EUDA nach einer Änderung weiter wie erwartet funktioniert. Änderungen der Geschäftslogik von EUDAs oder von wichtigen statischen Seite | 3 Version 7.0, Dezember 2016 Daten dürfen nicht zu Fehlern der Ausgabedaten oder der Berichterstattung führen. Neuere Versionen von EUDAs müssen klar von vorherigen Versionen unterschieden werden, und ältere Versionen sind an einem gesonderten Ort zu halten. Die Kenntnis von Eingabedaten, Berechnungen, Ausgabedaten sowie die Fähigkeit, selbige zu ändern, darf nicht auf eine einzelne Person (EUDAPrimärbenutzer) beschränkt sein. Zur Unterstützung der fortlaufenden Nutzung und Pflege der EUDA bei Abwesenheit des EUDA-Primärbenutzers muss ein EUDA-Prüfer benannt werden. Darüber hinaus muss eine hinreichende Dokumentation vorhanden sein, anhand derer eine Person, die mit einer spezifischen EUDA bewandert ist, die EUDA ändern und warten kann. EUDA-Kontrollziele Überführung in eine verwaltete Anwendung Beim EUDA-Verantwortlichen muss ein Prozess vorhanden sein, um jährlich die potenzielle Überführung von EUDAs, deren Kritikalität als hoch eingestuft ist, in eine Lösung für verwaltete Technologien in Betracht zu ziehen. Die Überführung von EUDAs, die als Kritisch eingestuft sind, in verwaltete Anwendungen würde die Kontrollen in dem Prozess verbessern, und die Effizienz ebenso, denn dies ermöglicht die Implementierung von stärker standardisierten Kontrollen. Definitionen EUDA EUDAs sind Anwendungen und Tools, die von den Endbenutzern erstellt, genutzt und verwaltet werden. Entwickelt werden diese in der Regel mit Standard-Desktop-Software (meistens Microsoft Excel oder Access) und anderen Arten von Datenbanken, Abfragen, Makros, Skripten, Berichterstattungstools, ausführbaren Dateien und Code-Paketen. EUDAs führen einen Geschäftsprozess fortlaufend aus oder sind Bestandteil eines Geschäftsprozesses (keine nur einmalige Nutzung), was Auswirkungen in finanzieller, regulatorischer oder den Ruf betreffender Hinsicht auf Barclays oder nachteilige Folgen für einen Kunden von Barclays haben könnte, falls Berechnungen oder Ausgabedaten von EUDAs ungenau, nicht verfügbar, Seite | 4 Version 7.0, Dezember 2016 nicht aktuell oder fehlerhaft sind. Zur Klarstellung wird angemerkt, dass es sich bei einer EUDA um eine Gruppe automatisierter Tools (z. B. Arbeitsblätter einer Tabellenkalkulation) handeln kann, allerdings müssen sie der Unterstützung des gleichen Prozesses/Funktionsbereichs dienen und einen einzigen EUDA-Primärbenutzer haben. Sämtliche in der Gruppe enthaltenen Tools unterliegen den gleichen Kontrollbestimmungen. EUDA-Verantwortlicher Für jede EUDA muss ein EUDA-Verantwortlicher benannt sein. Der EUDA-Verantwortliche muss zumindest eine Person auf der Hiercharchiestufe eines Direktors oder eine ähnliche Person in der relevanten BU bzw. im relevanten Funktionsbereich sein. Der EUDA-Verantwortliche ist für Folgendes rechenschaftspflichtig: Führen einer vollständigen und genauen Bestandsliste sämtlicher EUDAs für ihre jeweiligen Teams, und Sicherstellen, dass sämtliche unter ihre Verantwortung fallenden EUDAs den Bestimmungen dieses Dokuments entsprechen. Sicherstellen, dass jedes Jahr die Überführung von EUDAs, deren Kritikalität als hoch eingestuft ist, in eine Lösung für verwaltete Technologien in Betracht gezogen wird. EUDA-Primärbenutzer Für jede EUDA muss ein EUDA-Primärbenutzer benannt sein. Der EUDA-Primärbenutzer ist für Folgendes verantwortlich: Integrität der Daten, Berechnungen und aller sonstigen Inhalte in der EUDA, Identifizierung und Registrierung der EUDA bei der richtigen EUDA-Bestandsliste, Durchführung der Kritikalitätsbewertung für die EUDA, Fortlaufende Entwicklung und Wartung der EUDA, und Sicherstellen, dass die EUDA den im vorliegenden Dokument definierten Kontrollzielen gerecht wird. EUDA-Prüfer Beim benannten Prüfer muss es sich um eine Einzelperson, nicht aber um den Primärbenutzer, mit hinreichend Kenntnissen und Erfahrung in Bezug auf die EUDA handeln, die zu Folgendem in der Lage ist: Unterstützung der fortlaufenden Nutzung und Wartung der EUDA bei Abwesenheit des EUDA-Primärbenutzers, und Unterstützung von wichtigen Kontrollaktivitäten, die eine unabhängige Überprüfung erfordern würden. Seite | 5 Version 7.0, Dezember 2016 Anhang A: Mindestanforderungen an Kontrollen Kontrollziel Sehr Gering Mittel Hoch V V V V EUDA-Registrierung O V V V Zugriff O V V V Verfügbarkeit O O V V Änderungsmanagement O O V V Validierung von Daten und Berechnung O O O V gering EUDA-Identifizierung und Bewertung der Kritikalität Seite | 6 Version 7.0, Dezember 2016
© Copyright 2024 ExpyDoc