Prüfaspekte zur Wirksamkeit eines ISMS. Schicht 1. Sicherheitsorganisation

Transkript

1 Prüfaspekte zur Wirksamkeit eines ISMS Schicht 1 Sicherheitsorganisation Sicherheitsmanagement Sicherheitsleitlinie Kritische Geschäftsprozesse Sicherheitskonzept Personal Versions-und Änderungsmanagement Schulung und Sensibilisierung Behandlung von Sicherheitsvorfällen Notfallkonzept Datensicherung Outsourcing Unabhängiger IT-Sicherheitsbeauftragter Etablierte Kommunikations- und Berichtswege vom IT- Sicherheitsbeauftragten (IT-SiBe) zur Behördenleitung Einbindung des IT-SiBe in Projekte, Beschaffungs- und Änderungsprozesse Klare Verantwortlichkeiten Regelmäßige Überprüfung Durchgängiger Sicherheitsprozess Strategische, messbare Sicherheitsziele Übernahme der Verantwortung durch die Leitung Erfassung und Dokumentation Schlüssige Verbindung zur Schutzbedarfsfeststellung Strukturanalyse Modellierung Schutzbedarfsfeststellung Einstellung Umsetzung Beendigung des Beschäftigungsverhältnisses Kontrollierter und etablierter Änderungsprozess Regelmäßige Schulung und Sensibilisierung Verpflichtung zur Einhaltung von Vorgaben Verfahren zur Entdeckung, zum Melden und Eskalieren von Sicherheitsvorfällen Notfallhandbuch Alarmierungspläne Datensicherungskonzept Datenträgerarchive Bestandsverzeichnisse Definition von Sicherheitsanforderungen Regelmäßige Kontrollen Stand vom Seite 1 von 6

2 Schicht 2 Elektrische Verkabelung, IT-Verkabelung, Versorgungsleitungen Zutrittskontrolle Brandschutz Klimatisierung Stromversorgung Dokumentation Ausführung Kennzeichnung Perimeterschutz Tiefgarage/Lieferanteneingänge/Eingänge für Personal/Raucherecken Zutrittskontrollsystem Schlüsselverwaltung/Schließplan Besucherausweisregelung Fremdpersonal Pförtner (Kontrollgänge/Wachanweisung/Wachbuch) Konzept Brandschutzbeauftragter Übungen Ausreichende Klimatisierung Überwachung der Klimatisierung Wartung der Klimaanlagen USV Monitoring der USV Wartung der USV Notstrom Stand vom Seite 2 von 6

3 Schicht 3 Sichere Grundkonfiguration der Server und Clients Berechtigungsvergabe Mobile Endgeräte Multifunktionsgeräte Sicherheitsgateways Anpassung von Standardeinstellungen Desktop Firewall Aktueller Virenschutz Kontrolle externer Schnittstellen Erstellung von System- und Installationsdokumentationen Zeitsynchronisation Protokollierung Rollen- und Benutzerkonzept Zugriffsbeschränkungen Vertreterregelungen Passwortregelung Verschlüsselung von sensiblen Daten Regelungen zum Umgang Zugriffsbeschränkungen Regelungen zur sicheren Verwendung Speicher Vermeidung von Netzkopplung Einbindung in die Netzstruktur Konfiguration, Administration und Prüfung Freigabeverfahren für Änderungen am Regelwerk Stand vom Seite 3 von 6

4 Schicht 4 Netzdokumentation und Netzverwaltung Netzwerk- und Systemmanagement Konfiguration und sicherer Betrieb der Netzkomponenten Sicherung der Netzwerkzugänge Adressvergabe und- Verwaltung Netzplan Proaktives Monitoring Protokollierung und Auswertung von Logfiles Alarmierung bei Störungen Deaktivierung sicherheitskritischer Dienste Sichere Fernadministration Sichere Fernwartung Sicherung von Konfigurationsdaten Netzwerkzugangskontrolle Deaktivierung von nicht genutzten Netzwerkzugängen Stand vom Seite 4 von 6

5 Schicht 5 / Webauftritt Regelung zur privaten Nutzung Administrative und organisatorische Rahmenbedingungen Anwendungen Rollen- und Berechtigungskonzept Zugangs- und Zugriffskontrolle Datensicherung Mobile Datenträger und Datenträgeraustausch Regeln zum Datenträgeraustausch Bestandsverzeichnis Kennzeichnung Verschlüsselung Entsorgung Stand vom Seite 5 von 6

6 Versionshistorie Datum Version Verfasser Bemerkungen BSI Version zur Kommentierung durch Auditoren BSI Stand vom Seite 6 von 6