07 – Governance & Compliance | HAFS Service Portal

Inhaltsverzeichnis

Governance-Rahmenwerk
Policy Management
Risk Management
Audit Management
Control Framework
Exception Management
Reporting & Board Communication
DORA & BAIT Compliance

1. Governance-Rahmenwerk

1.1 Regulatorischer Kontext

Regulierung	Relevanz	Schwerpunkt
BaFin MaRisk (AT 7)	Direkt	IT-Risikomanagement, Auslagerungssteuerung
BaFin BAIT	Direkt	IT-Governance, Informationssicherheit
DSGVO / GDPR	Direkt	Datenschutz, Betroffenenrechte
ISO 27001	Best Practice	Information Security Management System
ITIL 4	Best Practice	IT Service Management
COBIT 2019	Best Practice	IT-Governance Framework
DORA	Direkt (ab 2025)	Digital Operational Resilience
NIS2	Indirekt	Netz- und Informationssicherheit

1.2 Governance Dashboard

Governance Dashboard Overview

  ┌─────────────┐  ┌─────────────┐  ┌─────────────────────┐
  │ Compliance  │  │ Risk        │  │ Policy              │
  │ Score       │  │ Overview    │  │ Status              │
  │             │  │             │  │                     │
  │   92/100    │  │ Low: 45     │  │ Active: 34          │
  │             │  │ Med: 12     │  │ Review Due: 5       │
  │             │  │ High: 3     │  │ Expired: 0          │
  │             │  │ Crit: 0     │  │                     │
  └─────────────┘  └─────────────┘  └─────────────────────┘

  ┌─────────────┐  ┌─────────────┐  ┌─────────────────────┐
  │ Audit       │  │ Control     │  │ Exception           │
  │ Status      │  │ Testing     │  │ Tracker             │
  │             │  │             │  │                     │
  │ Open: 2     │  │ Passed: 89% │  │ Active: 7           │
  │ In Prog: 1  │  │ Failed: 4%  │  │ Pending: 3          │
  │ Closed: 15  │  │ Pending: 7% │  │ Expired: 0          │
  └─────────────┘  └─────────────┘  └─────────────────────┘

portal.hafs.de/governance/dashboard

Compliance Score

von 100

Excellent

Übersicht

Active Policies

Open Risks

Pending Audits

Exceptions

Policy Compliance

Nach Regulierung

DORA 98%

BAIT 95%

ISO 27001 94%

GDPR 97%

MaRisk 96%

Audit Kalender

Nächste Termine

Audit	Datum	Status
BaFin IT-Prüfung	15.03.2026	Vorbereitung
ISO 27001 Rezertifizierung	22.04.2026	Geplant
DORA Readiness Review	10.05.2026	Geplant
Internes Audit Q2	01.06.2026	Ausstehend
Datenschutz-Audit	15.06.2026	Ausstehend

Governance Dashboard – Compliance Score, KPI-Übersicht, Policy-Compliance nach Regulierung und Audit-Kalender

2. Policy Management

Policy Lifecycle

  ┌──────────┐    ┌──────────┐    ┌──────────┐    ┌──────────┐
  │ Draft    │───►│ Review   │───►│ Approve  │───►│ Publish  │
  │          │    │          │    │          │    │          │
  │ AI-Assi- │    │ Stake-   │    │ CISO /   │    │ Portal + │
  │ stierte  │    │ holder   │    │ CIO      │    │ Notifi-  │
  │ Erstellg.│    │ Review   │    │ Sign-Off │    │ cation   │
  └──────────┘    └──────────┘    └──────────┘    └────┬─────┘
                                                        │
  ┌──────────┐    ┌──────────┐    ┌──────────┐         │
  │ Archive  │◄───│ Sunset   │◄───│ Active   │◄────────┘
  │          │    │          │    │ (Review) │
  └──────────┘    └──────────┘    └──────────┘

2.1 Policy-Kategorien

Kategorie	Beispiele	Review-Zyklus
IT-Security	Passwort-Policy, Encryption, Access Control	Jährlich
Data Protection	DSGVO-Richtlinien, Datenhaltung, Löschfristen	Jährlich
Operations	Change Management, Incident Response, Backup	Jährlich
Infrastructure	K8s-Governance, On-Prem-Security, Kapazitäts-Management	Halbjährlich
User	Acceptable Use, BYOD, Remote Work	Jährlich
Compliance	BaFin-Anforderungen, Audit-Richtlinien	Bei Regulierungsänderung

2.2 AI-Unterstützung bei Policies

Feature	Beschreibung
Policy-Draft Generator	AI erstellt Policy-Entwurf basierend auf Template und Anforderungen
Compliance Mapping	AI mappt Policy-Anforderungen auf Regulierungen (BaFin, DSGVO)
Gap Analysis	AI erkennt fehlende Policies basierend auf Frameworks
Change Impact	AI analysiert Auswirkungen von Policy-Änderungen
Natural Language Summary	AI erstellt verständliche Zusammenfassungen für Mitarbeiter

portal.hafs.de/governance/policies

Alle Policies Aktiv 28 Entwurf 4 Review 2

Kategorie: Alle Owner: Alle Regulierung: Alle

Policy-ID	Name	Version	Status	Owner	Nächste Review	Approval
POL-SEC-001	IT-Security Policy	v3.2	Aktiv	Dr. K. Richter (CISO)	15.06.2026	Genehmigt
POL-DAT-002	Data Classification Policy	v2.1	Aktiv	M. Braun (DSB)	01.07.2026	Genehmigt
POL-IAM-003	Access Management Policy	v4.0	Entwurf	S. Weber (IAM Lead)	–	Ausstehend
POL-INC-004	Incident Response Policy	v2.5	Review	Dr. K. Richter (CISO)	01.04.2026	In Prüfung
POL-BCP-005	BCP / Disaster Recovery Policy	v1.8	Aktiv	T. Fischer (IT-Ops)	30.09.2026	Genehmigt

KI-Empfehlung

Die Access Management Policy (POL-IAM-003 v4.0) enthält aktualisierte DORA-Anforderungen. Empfehlung: Review durch Compliance-Abteilung vor Freigabe – 3 neue DORA-Artikel referenziert.

Policy Management – Übersicht aller Policies mit Status, Versionierung, Review-Zyklen und Approval-Workflow

3. Risk Management

IT Risk Register & Heat Map

  ID    │ Risiko              │ Impact │ Prob. │ Score │ Owner
  ──────┼─────────────────────┼────────┼───────┼───────┼──────
  R-001 │ Ransomware-Angriff  │ 5      │ 3     │ 15    │ CISO
  R-002 │ Infrastruktur-Ausf. │ 4      │ 2     │ 8     │ CTO
  R-003 │ Datenverlust        │ 5      │ 2     │ 10    │ CISO
  R-004 │ Key-Person-Risiko   │ 3      │ 3     │ 9     │ CIO
  R-005 │ Compliance-Verstoß  │ 4      │ 2     │ 8     │ CO
  R-006 │ Third-Party-Risiko  │ 3      │ 3     │ 9     │ CISO

  RISK HEAT MAP

  Impact │
    5    │     │     │ R03 │     │ R01 │
    4    │     │     │ R02 │     │ R05 │
    3    │     │     │ R04 │ R06 │     │
    2    │     │     │     │     │     │
    1    │     │     │     │     │     │
         └─────┴─────┴─────┴─────┴─────┘
           1     2     3     4     5  Probability

portal.hafs.de/governance/risk-register

Risk Heatmap

Impact vs. Likelihood – Anzahl Risiken pro Zelle

Impact ↓ / Likelihood →	Unlikely	Possible	Likely
Catastrophic	1	1	0
Major	2	1	0
Moderate	0	2	1
Minor	0	0	0
Insignificant	0	0	0

Top-5 Risiken

Sortiert nach Risk Score

Risk-ID	Beschreibung	Impact	Likelihood	Score	Owner	Mitigation Status
R-001	Ransomware-Angriff auf kritische Systeme	Catastrophic	Possible	15	Dr. K. Richter (CISO)	In Bearbeitung
R-003	Datenverlust durch fehlende Verschlüsselung	Catastrophic	Unlikely	10	Dr. K. Richter (CISO)	Maßnahme aktiv
R-004	Key-Person-Risiko im IT-Betrieb	Moderate	Likely	9	H. Schneider (CIO)	In Bearbeitung
R-006	Third-Party-Risiko bei Cloud-Anbietern	Moderate	Possible	9	Dr. K. Richter (CISO)	Geplant
R-002	Infrastruktur-Ausfall Rechenzentrum	Major	Unlikely	8	T. Fischer (CTO)	Maßnahme aktiv

Risk Register – 5×5 Heatmap (Impact vs. Likelihood) und Top-5 Risiken mit Mitigation-Status

4. Audit Management

Audit Support & Findings Tracking

  ┌─── Audit-Vorbereitung ────────────────────────────────┐
  │                                                        │
  │  AI sammelt automatisch:                              │
  │  • Alle relevanten Tickets und deren Resolution       │
  │  • Policy-Versionen und Änderungen                    │
  │  • Access Reviews und deren Ergebnisse                │
  │  • Incident Reports und Follow-Ups                    │
  │  • Change-Logs und Approvals                          │
  │  • Compliance-Test-Ergebnisse                         │
  │                                                        │
  │  [Audit-Paket generieren] [Evidence Export]            │
  └────────────────────────────────────────────────────────┘

  ┌─── Audit-Findings Tracking ───────────────────────────┐
  │                                                        │
  │  Finding │ Severity │ Owner │ Due Date │ Status        │
  │  F-001   │ High     │ CISO  │ 2026-04  │ In Progress   │
  │  F-002   │ Medium   │ CTO   │ 2026-06  │ Planned       │
  │  F-003   │ Low      │ IT-Ops│ 2026-05  │ In Progress   │
  │                                                        │
  │  Jedes Finding = Ticket mit Tracking und Eskalation    │
  └────────────────────────────────────────────────────────┘

4.1 Compliance Audit Trail

Jede Aktion im Portal erzeugt einen unveränderlichen Audit-Eintrag:

      {
  "timestamp": "2026-02-10T14:30:00Z",
  "actor": "max.mueller@hafs.de",
  "action": "ACCESS_GRANTED",
  "target": "SharePoint Site Finance",
  "details": {
    "permission_level": "Contributor",
    "approval_chain": ["manager@hafs.de", "data_owner@hafs.de"],
    "ai_risk_score": "LOW",
    "auto_approved": false
  },
  "compliance_tags": ["BAIT-4.3", "ISO27001-A.9"]
}
    

5. Control Framework

Control-ID	Beschreibung	Frequenz	Typ
CTRL-IAM-01	Alle Accounts haben MFA aktiv	Täglich	Automatisch
CTRL-IAM-02	Keine Orphaned Accounts	Wöchentlich	Automatisch
CTRL-IAM-03	Access Reviews abgeschlossen	Quartalsweise	Semi-Auto
CTRL-PAM-01	Alle Passwörter rotiert nach Nutzung	Per Event	Automatisch
CTRL-PAM-02	Alle Sessions aufgezeichnet	Per Event	Automatisch
CTRL-SEC-01	Vulnerability Scans durchgeführt	Wöchentlich	Automatisch
CTRL-SEC-02	Critical Patches innerhalb 48h	Per Event	Semi-Auto
CTRL-OPS-01	Backup erfolgreich	Täglich	Automatisch
CTRL-OPS-02	DR-Test durchgeführt	Halbjährlich	Manuell
CTRL-GOV-01	Policies aktuell (nicht abgelaufen)	Monatlich	Automatisch

6. Exception Management

Ausnahme-Workflow

  Ausnahme-Antrag (z.B. "Legacy-System kann kein MFA")
         │
         ▼
  ┌──────────────────┐
  │ AI Risk          │──► Automatische Risikobewertung
  │ Assessment       │    Empfehlung: Compensating Controls
  └──────┬───────────┘
         ▼
  ┌──────────────────┐
  │ Approval Chain   │
  │ Standard:        │──► Risk Owner + CISO
  │ High Risk:       │──► + CIO + Compliance
  └──────┬───────────┘
         ▼
  ┌──────────────────┐
  │ Conditions       │──► Compensating Controls definiert
  │ • Time Limit     │    Zeitlimit: max. 12 Monate
  │ • Review Date    │    Automatischer Review
  └──────┬───────────┘
         ▼
  ┌──────────────────┐
  │ Monitoring       │──► Automatische Ablauf-Erinnerung
  │                  │    Quartals-Review durch Risk Owner
  └──────────────────┘

7. Reporting & Board Communication

Report	Zielgruppe	Frequenz	Inhalt
IT Security Report	CISO, CIO	Monatlich	Security Score, Incidents, Vulns, PAM
Compliance Report	Compliance, Vorstand	Quartalsweise	BaFin-Status, Audit-Findings, Policies
Risk Report	Risk Committee	Quartalsweise	Risk Heat Map, Trends, Maßnahmen
Operational Report	IT-Management	Wöchentlich	Tickets, SLAs, Availability
Executive Summary	Vorstand	Quartalsweise	KPIs, Trends, Investitionsbedarf

8. DORA & BAIT Compliance

8.1 DORA-Anforderungen

DORA-Anforderung	Portal-Umsetzung
ICT Risk Management	Integriertes Risk Register mit AI-Bewertung
ICT Incident Reporting	Automatisierte Incident-Meldung und Tracking
Resilience Testing	DR-Tests dokumentiert und getrackt
ICT Third-Party Risk	Vendor-Management mit Risk-Scoring
Information Sharing	Threat Intelligence Integration

8.2 BAIT-Mapping

BAIT-Kapitel	Portal-Modul	Status-Tracking
IT-Strategie (Kap. 1)	Governance Dashboard	Automatisch
IT-Governance (Kap. 2)	Policy Management, Reporting	Automatisch
Informationsrisikomanagement (Kap. 3)	Risk Register, Controls	Semi-Auto
Informationssicherheit (Kap. 4)	Security Center, IAM/PAM	Automatisch
Benutzerberechtigungen (Kap. 5)	IAM, Access Reviews	Automatisch
IT-Projekte (Kap. 6)	Change Management	Semi-Auto
IT-Betrieb (Kap. 7)	Ticket System, Monitoring	Automatisch
Auslagerung (Kap. 8)	Vendor Management	Semi-Auto

← ZurückSecurity & IAM/PAM Weiter →Netzwerk & Infrastruktur