IT Regulatory Assurance Manager (ITRAM) Gegenstand des Zertifikats „IT Regulatory Assurance Manager (ITRAM)“ ist das Verständnis der Kerninhalte der aufsichtsrechtlichen IT-Anforderungen (IT-bezogenen Verlautbarungen der BaFin, EBA und EIOPA) sowie der DORA (EU-Verordnung Digital Operational Resilience Act). Der Zertifikatskurs „IT Regulatory Assurance Manager (ITRAM)“ vermittelt ein tiefgehendes Verständnis für die wesentlichen Anforderungen an die IT-Governance im Finanzsektor. Im Fokus stehen dabei die aufsichtsrechtlichen Vorgaben, die IT-Dienstleister und Finanzinstitute für eine robuste IT-Governance erfüllen müssen. Diese umfassen insbesondere: DORA (Digital Operational Resilience Act der EU) MaRisk/BAIT, MaGo/VAIT, KAGB/KAIT (soweit noch anwendbar) Weitere IT-relevante Verlautbarungen der BaFin, EBA und EIOPA Der Kurs unterstützt sowohl die zweite Verteidigungslinie (z. B. Informationssicherheit, Risikomanagement und Compliance) als auch Verantwortliche und Projektmanager bei der Umsetzung und Einhaltung dieser aufsichtsrechtlichen Anforderungen. Das Zertifikat richtet sich an alle, die für die Compliance der Unternehmens-IT verantwortlich sind und nachhaltige Strukturen und Prozesse aufbauen und sicherstellen möchten. Zertifikatsprüfung Die Zertifikatsprüfung wird derzeit nur von der Hochschule Frankfurt School of Finance & Management in Zusammenarbeit mit dem ISACA Germany Chapter e. V. angeboten. Die schriftliche Prüfung umfasst anwendungsorientierte Multiple-Choice-Fragen, bezogen auf die dargestellten Lehrinhalte. Dazu sind 40 Multi-Choice-Fragen zu den regulatorischen IT-Anforderungen und deren Umsetzung innerhalb von 60 Minuten zu beantworten. Insgesamt müssen mind. 70% der Multi-Choice-Fragen richtig beantwortet werden. Zugelassen zur Prüfung wird, wer 80% der Unterrichtsstunden besucht hat. Das Zertifikat IT-Regulatory Assurance Manager befindet sich auf der höchsten Stufe des Zertifikatskonzepts des ISACA Germany Chapters. Lehr- und Prüfungsinhalte Übersicht der regulatorischen IT-Anforderungen Nationale und europäische Regulierungsprozesse Übersicht der regulatorischen IT-Anforderungen Soll-IT-Anforderungen aus nationalen IT-bezogenen Regularien und deren Bedeutung nach Inkrafttreten von DORA Soll-IT-Anforderungen aus DORA sowie zugehörigen RTS/ITS-Papieren Aufsichtliche Prüfungspraxis Prüfungsablauf Schwerpunktthemen aufsichtlicher IT-Überprüfungen Typische Feststellungen aufsichtlicher IT-Überprüfungen Regulatorisches IT Audit Management IS Audit/Assurance Framework (ITAF) COBIT for Assurance Aufbau und Praxis der Revisionsfunktion Integration regulatorischer Anforderungen in die Revisionsplanung Ausgestaltung der IT-Governance Merkmale einer wirksamen IT-Governance unter Anwendung gängiger Standards Notwendige Governance-Gremien für die operationelle Resilienz Korrekte Ableitung und Festlegung der IT-Strategie einschließlich der Strategie digitaler operationaler Resilienz Organisation des IKT-Risikomanagements Definition kritischer und wichtiger Funktionen Schnittstelle IT-Risikomanagement und Operationelles Risikomanagement Merkmale eines wirksamen IKT-Risikomanagements Umfassender Informationsverbund als Basis des IKT-Risikomanagements Organisation der IKT-Sicherheit Definition typischer Rollen und Verantwortlichkeiten Vorgaben für Maßnahmen zur Sicherheit von Netzwerken und Informationssystemen aufsichtskonform gestalten IS-Audit-Konzepte vs. IT-Managementkontrollen Testen der digitalen operationalen Resilienz als integraler Bestandteil des IKT-Risikomanagement-Rahmens Management der operativen Informationssicherheit Anforderungen an das Schwachstellen- und Patchmanagement und gute Praktiken zur Umsetzung Frühzeitige Erkennung anormaler Aktivitäten Anforderungen an SIEM/SOC und gute Praktiken zur Umsetzung Erkennung, Klassifizierung und Behandlung IKT-bezogener Vorfälle und deren Meldung Netzwerksicherheitsmanagement und Threat-Led Penetration Testing (TLPT) Verschlüsselung von Daten und kryptografische Kontrollen Management von Zugängen und Zugriffen Identitätsmanagement und Prinzipien der Rechtevergabe Zugangs- und Zugriffskontroll-Prozesse Umgang mit privilegierten Berechtigungen und deren Überwachung Rollen- und Benutzer-Rezertifizierung IT-Projektmanagement und Anwendungsentwicklung Anforderungen an das IT-Projektmanagement Anforderungen Systembeschaffung, -entwicklung und -wartung Anforderungen an das IDV-Management IKT-Betriebssicherheit Physische Sicherheit und Sicherheit vor Umweltereignissen IKT-Betriebsrichtlinien einschließlich Kapazitäts- und Leistungsmanagementverfahren IKT-Änderungsmanagement Asset und Konfigurationsmanagement inkl. Lebenszyklusmanagement Management des IKT-Drittparteienrisiko Risikoanalyse und Due Diligence einschließlich Analyse der Konzentrationsrisiken Erstellung und Pflege des Informationsregisters Mindestvertragsbestimmungen und Besonderheiten bei Cloud-Auslagerungen Aufsichtlicher Überwachungsrahmen Management der IKT-Geschäftsfortführung Gute Praktiken für das IKT-Notfallmanagement IKT-Geschäftsfortführungsleitlinie und -pläne und deren Test IKT-Reaktions- und Wiederherstellungspläne und deren Test Zertifikatsvoraussetzungen Alle Kursteilnehmende müssen eine Verpflichtungserklärung akzeptieren, die folgende Punkte umfasst: Geheimhaltung der Prüfungsunterlagen Prüfungsdurchführung und -auswertung nach Vorgaben des ISACA Germany Chapters Registerführung des Zertifikats durch das ISACA Germany Chapter (optional) Die Verpflichtungserklärung wird vom ISACA Germany Chapter bereitgestellt. Zertifikatserteilung Das Zertifikat wird auf Basis der Prüfungsergebnisse vergeben. Die Prüfungsunterlagen werden - nach Prüfungsdurchführung entsprechend den Richtlinien des ISACA Germany Chapters - zur Auswertung und Kontrolle an das ISACA Germany Chapter gesandt. Das ISACA Germany Chapter und die Frankfurt School bestimmen gemeinsam zwei unabhängige Beurteiler der Prüfungsunterlagen, die diese bewerten. Bei starken Abweichungen der Beurteilungen kann ein dritter Beurteiler bestimmt oder eine mündliche Anhörung des Prüflings angesetzt werden. Die Teilnehmer erhalten das Prüfungsergebnis sowie bei bestandener Prüfung auch das Manager-Level-Zertifikat „Certified IT Regulatory Assurance Manager“ spätestens 30 Werktage nach dem Prüfungstermin per E-Mail zugesandt. Kursteilnehmer erhalten darüber hinaus bei vollständiger Kursteilnahme einen Weiterbildungsnachweis über 42 CPE vom ISACA Germany Chapter. Weiterhin wird auf der Internetseite des ISACA Germany Chapters ein öffentliches Zertifikatsregister zur Verifizierung der Echtheit des Zertifikats geführt. Prüfungswiederholung Bei nicht bestandener Prüfung besteht die Möglichkeit, die Prüfung bei der Frankfurt School zu wiederholen.
