14.11.2023 – IDEAL Versicherungsgruppe

Im Fokus der Prüfung steht die IT-Sicherheit in Versicherungsunternehmen – von der IT-Strategie über die Leitlinien, Richtlinien und Prozesse bis hin zur Operationalisierung im Alltag. Über definierte Kriterien betrachtet Assekurata ganzheitlich die Strukturen, Prozesse und Systeme innerhalb der IT des zu prüfenden Unternehmens, analysiert Abweichungen zum Anforderungskatalog und gibt Handlungsempfehlungen.

Den Kriterienkatalog hat Assekurata Solutions in Anlehnung an die internationalen Norm ISO/IEC 27001:2013 – „Anforderungen an ein Informationssicherheitsmanagementsystem“ in einer auf die besonderen Anforderungen der Versicherungsunternehmen angepassten Form erstellt. Im Zuge der Prüfung werden auch die Regelungen der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), des BSI-IT-Grundschutz-Kompendiums sowie des IT-Sicherheitsgesetztes in Betracht gezogen.

Mittels eines umfassenden Fragebogens, einem Management-Audit und der räumlichen Begehung der IT-Infrastruktur werden folgende 14 Prüfpunkte einer Evaluierung unterzogen:

• Übergreifende Aspekte (z. B. ist eine IT-Sicherheitsrichtlinie im TOP-Management verankert?)
• Informationssicherheitsrichtlinie (z. B. Inhalt und Aufbau der Richtlinie)
• Informationssicherheitsorganisation (z. B. Regelung der Verantwortlichkeiten)
• Informationssicherheit für Mitarbeiter (z. B. Verpflichtungen der Mitarbeiter, Schulungsmaßnahmen)
• Schutzbedarf der IT-Infrastruktur (z. B. Informationssicherheit bei den Kernprozessen)
• Zugangs- und Zugriffskontrolle (z. B. Verfahren zur Behandlung von Benutzerrechten)
• Verschlüsselung (z. B. Regelungen zur Verschlüsselung)
• Gebäudesicherheit (z. B. Notfallpläne -Vorsorgemaßnahmen)
• Informationssicherheitsprozesse in der Datenverarbeitung (z. B.  Trennung der Entwicklungs- und Testumgebung vom Produktivsystem)
• Informationssicherheit im Datenverkehr (z. B. Netzwerkverwaltung und –steuerung)
• Auftragsdatenverarbeitung (z. B. Anforderungen an die Informationssicherheit von Lieferanten)
• Behandlung von Informationssicherheitsvorfällen (z. B. Verantwortlichkeiten, Verfahren, Meldewege)
• Notfallvorsorge-Maßnahmen für die Informationssicherheit (z. B. Sicherung der Informationssicherheit bei Bedrohung von außen)
• Gesetzes- und Regelkonformität (z. B. Umsetzungsgrad des IT-Sicherheitsgesetzes)

Die Ergebnisse der Evaluierung der einzelnen Prüfpunkte werden jeder für sich auf einer fünfstufigen Reifegrad-Skala eingeordnet.

Alle Prüfergebnisse werden anschließend aggregiert und zu einem Gesamturteil zusammengefasst. Ab einer Gesamtbeurteilung der IT-Sicherheit mit einem Reifegrad von mindestens der Stufe 3 kann das Unternehmen ein IT-Sicherheitssiegel beantragen, mit dem das positive Ergebnis der Evaluierung der IT-Security nach außen dokumentiert werden kann.