Weisung Informatiksicherheit. Kantonsspital Baden AG, Baden

Größe: px
Ab Seite anzeigen:

Download "Weisung Informatiksicherheit. Kantonsspital Baden AG, Baden"

Transkript

1 Weisung Informatiksicherheit Kantonsspital Baden AG, Baden

2 Inhaltsverzeichnis 1 Einführung Zweck und Umfang Geltungsbereich Definitionen und Abkürzungen Fragen und Meldungen zur Informatiksicherheit Überwachung und Auditing 4 2 Informatiksicherheit Informatiksicherheit als Teil der Informationssicherheit Informationsschutz Datenschutz Archivierung Informationssicherheit als Teil der Integralen Sicherheit Physische Sicherheit Arbeitssicherheit Krisenmanagement 6 3 Grundlegende Sicherheitsprozesse Inventarisierung und Klassifizierung der Schutzobjekte Objekteigner Klassifizierung Vertraulichkeit Datenschutzrelevanz Verfügbarkeit Archivierung Sicherheit in Projekten (Security Sign-Off) Sicherheit beim Change Management Risikomanagement Sicherheitsaudits Durchführung von Audits Umsetzung von Massnahmen Behandlung von Sicherheitsvorfällen (Security Incident Management) Meldestelle für Incidents / Security Incidents Prozess und Verantwortlichkeiten Sicherstellung von Beweisen Ausnahmen von Sicherheitsvorgaben (Exception Management) Security Reporting Sensibilisierung / Ausbildung der Mitarbeitenden 12 4 Informatik-Sicherheitsanforderungen Verantwortung für Systemadministration/-verwaltung Privilegierte Benutzer Abgrenzung der Aufgaben, Kompetenzen und Verantwortungen Einrichten unterschiedlicher Accounts Passwort-Weitergabe Benutzung von Passwort-Tools Beschaffung Hardening Freigabe und Bereitstellung der Informatikmittel Zugriffsschutz User Access Control Verfahren für die Vergabe von Benutzerrechten Einrichten von User-Accounts Änderung voreingestellter Passwörter Passwortvorgaben Einstellungen für das Windows-Login Sperrung der Benutzerkennung Zurücksetzen eines Benutzerpasswortes Hinterlegen von Passwörtern Zugriffsrechte 15 Weisung Informatiksicherheit Inhalt Seite 1/3

3 4.3.7 Überwachung und Protokollierung des Zugriffs Protokollanforderungen Monitoring / Überwachung Sicherheit bei der Systementwicklung Anforderungen an die Softwareentwicklung Sicherheit im Entwicklungsprozess Trennung Test- und Produktivsysteme Inhalt und Umgang von Testdaten Implementation / Change / Betrieb von Applikationen Sicherheit der Netze Netzwerkmanagement Netzwerktrennung / Netzwerkzonen Externe Netzübergänge Administration der Netzübergänge Verschlüsselung der Netze Einsatz von Verschlüsselungstechniken / Kryptografie Anschluss von Fremdunternehmen Verkabelung Telefonie / VoIP Sicherheit des Betriebes Betriebsverfahren / Dokumentation Systemkapazitätsplanung Viren- und Malwareschutz Vulnerability und Patch Management Datensicherung Business Continuity Management BCM Planungsprozess für das BCM Krisenmanagement Outsourcing Spezifische Sicherheitsanforderungen an den Leistungserbringer 24 5 Verantwortlichkeiten Spitalleitung Verantwortliche der einzelnen Sicherheitsteilbereiche Datenschutzbeauftragter IT-Sicherheitsbeauftragter Krisenstab Linienvorgesetzte Mitarbeitende Objekteigner Abteilung Informatik 26 6 Anhang A: Inventarisierung der Schutzobjekte Inventarisierung der Schutzobjekte Bildung von Schutzobjektgruppen Zuordnung zu Schutzobjektarten Klassifizierung Unterhalt und Pflege 27 7 Anhang B: Risikomanagement Phase 1: Kontext-Feststellung / Abgrenzung Abgrenzung / Identifikation des Untersuchungsgebietes Gefahrenliste / Katalogisierung Phase 2: Risikoanalyse Identifikation der Risiken Bewertung der Risiken Bewertung / Berechnung der Risiken Darstellung des Risikoniveaus / Risikoportfolio Phase 3: Risikobehandlung Risk Treatment Plan Festlegung von Massnahmen Umsetzung der Massnahmen Ermittlung und Übernahme von Restrisiken 35 Weisung Informatiksicherheit Inhalt Seite 2/3

4 7.4 Phase 4: Risikoüberwachung 35 Änderungsprotokoll Version, Datum Status Autor Freigabe Beschreibung 0.1, Entwurf Swiss Infosec AG - Finale Version 1.0, Entscheid Arbeitsgruppe Beschlossen durch Spitalleitung Abzulösende Dokumente Folgendes Dokument des KSB kann abgelöst werden bzw. wurde u.e. ausreichend in die Weisung Informatiksicherheit integriert: Dokumente des KSB Passwort Richtlinien des KSB (Richtlinien für den Umgang mit Passwörtern) vom Aufgenommen in bzw. abgelöst durch Weisung Informatiksicherheit (und Benutzerweisung) Weisung Informatiksicherheit Inhalt Seite 3/3

5 Weisung Informatiksicherheit 1 Einführung 1.1 Zweck und Umfang Die vorliegende Weisung definiert Vorgaben für die Informatiksicherheit innerhalb der Kantonsspital Baden AG (nachfolgend KSB genannt). Da die Informatiksicherheit einen wesentlichen Teil der Gesamtsicherheit der so genannten Integralen Sicherheit des KSB darstellt, werden auch die Schnittstellen und Abhängigkeiten zu übergeordneten Sicherheitsprozessen aufgezeigt. Die Weisung besteht aus folgenden Bereichen: In Kap. 2 wird das Verhältnis der Informatiksicherheit zur Integralen Sicherheit dargestellt, in Kap. 3 werden die unternehmensweiten Sicherheitsprozesse, die auch für die Informatiksicherheit relevant sind, definiert, in Kap. 4 werden die eigentlichen Anforderungen an die Informatiksicherheit festgelegt und in Kap. 5 die wichtigsten Verantwortlichkeiten und Funktionen im Zusammenhang mit der Sicherheit betrachtet. Weiterführende Informationen werden in Kap. 6 und 7 als Anhänge geführt. 1.2 Geltungsbereich Die Weisung Informatiksicherheit gilt für alle Mitarbeitenden der KSB. Sie enthält Sicherheitsvorgaben für alle Informatiksysteme und den damit bearbeiteten Informationen. Die Sicherheit umfasst die Entwicklung, Beschaffung, Betrieb, Wartung und Entsorgung von Systemen, Applikationen und Netzwerkkomponenten sowie die elektronische Bearbeitung, Speicherung und Übertragung von Informationen, ihre Aufbewahrung und Vernichtung. Die Abteilung Informatik sowie die zuständigen Objekteigner und Prozessverantwortlichen sind für die Umsetzung der informatikspezifischen Vorgaben gemäss Kap. 4 verantwortlich und werden dabei von den Departementsleitern unterstützt. Der IT-Sicherheitsbeauftragte (IT-Sibe) ist von der Spitalleitung für die Beratung, Unterstützung und Kontrolle im Bereich der Informatiksicherheit eingesetzt. Er ist im Auftrag der Spitalleitung für den Aufbau und Betrieb der Sicherheitsprozesse gemäss Kap. 3 verantwortlich, die von den Departementsleitern umzusetzen sind. Aufgrund der Schnittstellen zur Integralen Sicherheit legt die Spitalleitung fest, in welchem Geltungsbereich (bzw. in welchen Sicherheitsbereichen) die einzelnen Vorgaben Gültigkeit haben. Entsprechend sind die in der Weisung verwendeten Begriffe Sicherheit / Security und Informationssicherheit an diesen Geltungsbereich anzupassen. Für diese Weisung trägt der von der Spitalleitung ernannte IT-Sibe des KSB die Dokumentenverantwortung. 1.3 Definitionen und Abkürzungen Die folgenden Definitionen und Abkürzungen werden in der Weisung verwendet. Definition / Abkürzung Business Continuity Management BCM Beschreibung Business Continuity Management ist der Betrieb eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen, so dass wichtige Geschäftsprozesse in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz trotz Schadenereignis gesichert bleibt. Weisung Informatiksicherheit Seite 1/35

6 Definition / Abkürzung Datensammlung Datenschutz Datenschutzbeauftragter Exception Management Incident Informatikmittel bzw. Informatiksystem Informatiksicherheit Informationsschutz Informationssicherheit Integrale Sicherheit Integrität Inventarisierung ISO/IEC Beschreibung Unter Datensammlung ist jeder Bestand von Personendaten über mehr als eine Person zu verstehen, der so aufgebaut ist, dass die Daten nach betroffenen (natürlichen und juristischen) Personen erschliessbar sind, z.b. über Namen, Mitarbeiter- oder andere Ordnungsnummern. Beispiele von Datensammlungen sind: Karteien, Archive, Listen, Adressbestände, usw. Datenschutz bedeutet die Wahrung der Persönlichkeitsrechte von natürlichen und juristischen Personen bei der Bearbeitung von Personendaten. Weitere Begriffe im Zusammenhang mit Datenschutz sind der Datenschutzweisung zu entnehmen. Datenschutzverantwortliche Person des KSB, die bei Fragen und zur Unterstützung betreffend Datenschutz kontaktiert werden kann. Seine Aufgaben sind in der Datenschutzweisung definiert. Sicherheitsprozess. Ausnahme-Management bzw. Ausnahmen von Sicherheitsvorgaben. Ausnahmen und Abweichungen von geltenden Sicherheitsvorgaben sind beim Linienvorgesetzten zu beantragen. Siehe Security Incident. Überbegriff für alle Geräte und Dienste, die der elektronischen Verarbeitung, Speicherung und Übermittlung von Informationen dienen, wie Computersysteme, Applikationen, Software, Peripheriegeräte, Netz-Infrastruktur, Netzwerkkomponenten, etc. Informatiksystem wird auch spezifisch für Client- und Serversysteme verwendet. Zu Informatikmitteln im Geltungsbereich der Benutzerweisung gehören auch Handy, PDA, Mobiltelefon / Smartphone, USB-Stick, CD, DVD, Backupmedien. Informatiksicherheit beschäftigt sich ausschliesslich mit elektronisch bearbeiteten und gespeicherten Informationen und den daraus resultierenden technischen, organisatorischen und personellen Massnahmen zur Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Daten. Unter Informationsschutz wird der Schutz der Vertraulichkeit von Informationen, unabhängig von der Art ihrer Darstellung und Speicherung, verstanden. Die Informationssicherheit hat die Vertraulichkeit, die Verfügbarkeit und die Integrität aller Informationen zu gewährleisten. Teilbereiche der Informationssicherheit sind der Informationsschutz, der Datenschutz und die IT Sicherheit. Zusammenschluss aller einzelnen Sicherheitsteilbereiche im Sinne der Gesamtsicherheit. Die Integrität ist dann gewährleistet, wenn nur berechtigte Subjekte (Mensch oder System) ein Objekt (System, Funktion oder Datenbestände) zu berechtigtem Zweck korrekt bearbeiten. Sicherheitsprozess. Erhebung und Erfassung der Schutzobjekte im Schutzobjektinventar. ISO/IEC 27001:2005: "Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen. Darin wird das Informationssicherheitsmanagementsystem (ISMS) dargestellt, das dazu dient, die Informationssicherheit eines Unternehmens dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern. Weisung Informatiksicherheit Seite 2/35

7 Definition / Abkürzung ISO/IEC ISO/IEC IT-Sicherheitsbeauftragter IT- Sibe Klassifizierung Klassifizierungskriterien Klassifizierungsstufe Krisenmanagement Notfall Objekteigner Personendaten Risikoanalyse Risikomanagement Risikoübernahme, aktive Schutzobjekt Schutzobjektinventar Security Incident Beschreibung ISO/IEC 27002:2005: Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management", das Controls im Sinne von Massnahmenempfehlungen enthält. ISO 27005:2008: Information Technology, Security Techniques, Information Security Risk Management. Verantwortlicher des KSB für Informationssicherheit, Informatiksicherheit und Informationsschutz. Sicherheitsprozess. Beurteilung der Sicherheitsrelevanz eines Schutzobjektes. Merkmale, welche die Einstufung (Klassifizierungsstufe) eines Schutzobjektes ermöglichen. Entspricht die Beurteilung der Sicherheit eines Schutzobjektes bezogen auf ein Klassifizierungskriterium. Aufgabe des Krisenstabes, um mit vorbereiteten Massnahmen Notfälle zu beheben und die Geschäftsaktivitäten soweit möglich aufrechtzuerhalten. Ereignis, das den Geschäftsgang des KSB in kritischem Masse beeinträchtigt und nicht innerhalb der normalen Betriebsorganisation korrigiert werden kann. Tragen die Verantwortung für die Klassifizierung, Inventarisierung und den angemessenen Schutz der ihnen zugewiesenen Schutzobjekte. Personendaten sind Angaben über eine bestimmte oder bestimmbare natürliche oder juristische Person. Methodische und systematische Analyse und Kontrolle der Risiken mit dem Ziel der Verringerung der Häufigkeit und Schwere von unfallartigen Schäden und Verlusten. Sicherheitsprozess. Einheitliches Verfahren zur Identifizierung, Beurteilung, Behandlung, Kontrolle und Übernahme von Risiken. Risiken, die weder ausgeschlossen, noch versichert werden können oder sollen, werden von einem Unternehmen bewusst eingegangen. Schutzobjekte sind Vermögenswerte, die es im Interesse des KSB zu schützen gilt. Dazu gehören Informationen / Datensammlungen, Applikationen, Systeme, Netzwerke, Räume und Gebäude. Inventar sämtlicher Schutzobjekte. Sicherheitsvorfälle. Verstösse gegen Weisungen und Sicherheitsvorgaben des KSB oder sicherheitsrelevante Ereignisse, die dem KSB einen finanziellen, materiellen oder Image-relevanten Schaden verursacht haben oder einen solchen beinahe verursacht hätten. Security Incident Management Sicherheitsprozess. Security Incident Management werden mindestens die Sicherheitsvorfälle bezüglich Informatiksicherheit (je nach definiertem Geltungsbereich auch bzgl. Integraler Sicherheit) behandelt. Security Reporting Security Sign-Off Sicherheitsprozess. Bedarf Bericht zur Sicherheit und zum Datenschutz zuhanden der Spitalleitung, erstellt durch IT-Sibe und Datenschutzbeauftragter. Sicherheitsprozess. Abnahmeverfahren betreffend Beurteilung und Realisierung der Sicherheit in Projekten, bei Vorhaben und neuen Informatiksystemen. Weisung Informatiksicherheit Seite 3/35

8 Definition / Abkürzung Sensibilisierung Sicherheitsaudit Sicherheitsprozess Verfügbarkeit Vertraulichkeit Beschreibung Bewusstsein, Aufmerksamkeit, Bereitschaft zur Wahrnehmung im Zusammenhang mit Sicherheit Sicherheitsprozess. Überprüfung der Sicherheit auf Lücken, unwirksame Massnahmen, etc. im Rahmen von interne und externe Audits sowie Sicherheitskontrollen. Übergeordneter genereller Prozess, der grundsätzlich auf alle Sicherheitsbereiche anwendbar ist. (Die dazu definierten Anforderungen können auch in einen bestehenden Prozess integriert werden.) Die Verfügbarkeit ist gewährleistet, wenn die berechtigten Subjekte (Mensch oder System) dauernd innerhalb der gemeinsam als notwendig definierten Frist auf die zur Durchführung ihrer Aufgaben benötigten Objekte (System, Funktion oder Datenbestände) zugreifen können. Die Vertraulichkeit ist dann gewährleistet, wenn als schutzwürdig definierte Objekte (System, Funktion oder Datenbestände) nur berechtigten Subjekten (Mensch, System oder Funktion) offenbart werden. 1.4 Fragen und Meldungen zur Informatiksicherheit Bestehen Unklarheiten bei der Umsetzung der vorliegenden Weisung, kann der Mitarbeitende den IT- Sicherheitsbeauftragten des KSB kontaktieren. Der IT-Sibe ist die zentrale Anlaufstelle für Fragen der Informatiksicherheit. Mitarbeitende, die geltende Sicherheitsvorgaben nicht einhalten können, melden sich bei ihrem Linienvorgesetzten. Der Prozess für Ausnahmen von Sicherheitsvorgaben ist in Kap. 3.7 geregelt. 1.5 Überwachung und Auditing Die Erfüllung der intern festgelegten Sicherheitsbestimmungen wird durch Sicherheitskontrollen, Systemüberwachungen sowie durch regelmässige interne und externe Audits überprüft. Weisung Informatiksicherheit Seite 4/35

9 2 Informatiksicherheit Informatiksicherheit gewährleistet die Sicherheit aller Informatikmittel des KSB und somit den Schutz der Informatiksysteme, Applikationen, Netz-Infrastruktur sowie der elektronisch gespeicherten, bearbeiteten und übertragenen Informationen. Informatiksicherheit ist ein wesentlicher Faktor für die ordnungsgemässe und sichere Erbringung der Dienstleistungen des KSB. 2.1 Informatiksicherheit als Teil der Informationssicherheit Informationssicherheit dient, ungeachtet der Art der Informationsdarstellung und -speicherung, dem angemessenen Schutz der durch das KSB bearbeiteten Informationen. Informationssicherheit gliedert sich in die Sicherheitsbereiche Informatiksicherheit, Datenschutz, Informationsschutz und Archivierung. Informationen, die dem Datenschutz oder der Schweigepflicht unterliegen, sind dabei speziell zu schützen Informationsschutz Informationsschutz bedeutet den Schutz der Vertraulichkeit von Informationen. Diese werden entsprechend ihrer Bedeutung klassifiziert und geschützt. Die Mitarbeitenden werden bezüglich des korrekten Umgangs mit diesen Daten informiert und angehalten Datenschutz Das Hauptziel des Datenschutzes ist der Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten. Aus diesem Hauptziel lassen sich die folgenden drei Teilzielsetzungen ableiten: Restriktive Verarbeitung personenbezogener Daten nach dem Gesichtspunkt des Datenschutzes. Transparenz und Kontrollierbarkeit für interne und externe Kontrollinstanzen. Transparenz und Kontrollierbarkeit (der Daten) für die Betroffenen Archivierung Die Archivierung gewährleistet die gesetzeskonforme und revisionssichere Langzeitaufbewahrung. Sie beinhaltet die systematische Erfassung, Ordnung und Verwaltung von Informationen, die nicht für den unmittelbaren Geschäftsgang benötigt, aber längerfristig aufbewahrt werden müssen. 2.2 Informationssicherheit als Teil der Integralen Sicherheit Integrale Sicherheit beinhaltet die Gesamtsicherheit des KSB und besteht aus der Informationssicherheit, der physischen Sicherheit, der Arbeitssicherheit und dem Krisenmanagement, das auch das Business Continuity Management (die Geschäftskontinuität) umfasst. Je nach Bedarf ernennt die Spitalleitung für diese Sicherheitsbereiche weitere Sicherheitsbeauftragte Physische Sicherheit Der Sicherheitsbereich Physische Sicherheit ist für Gebäudesicherung und Gebäudeschutz zuständig und sorgt für den autorisierten Zugang zu den Gebäuden und Räumlichkeiten des KSB und damit für den Schutz vor unberechtigten Zutritten. Sicherheitsmassnahmen werden individuell pro Objekt und Standort mittels geltender Sicherheitsstandards, Risikoanalysen und Sicherheitskonzepten definiert Arbeitssicherheit Der Sicherheitsbereich Arbeitssicherheit gewährleistet die Unversehrtheit aller Mitarbeitenden bei der Erfüllung ihrer Tätigkeit für das KSB. Zur Erfüllung der Arbeitssicherheit und des Gesundheitsschutzes sind die relevanten Gesetze, Sicherheitsvorschriften, Normen und Unfallverhütungsvorschriften umzusetzen und einzuhalten. Weisung Informatiksicherheit Seite 5/35

10 2.2.3 Krisenmanagement Der Sicherheitsbereich Krisenmanagement stellt die schnelle Alarmierung, die geordnete Führung in ausserordentlichen Situationen und die Weiterführung der Geschäftstätigkeit (Business Continuity Management) in einem Notfall sicher. Dazu wird ein Krisenstab eingesetzt. 3 Grundlegende Sicherheitsprozesse Da die Informatiksicherheit Schnittstellen zu allen oben aufgeführten Sicherheitsbereichen aufweist, sind die folgenden Prozesse grundsätzlich auf alle Sicherheitsbereiche anwendbar. Die Spitalleitung legt ihren Geltungsbereich gemäss Kap. 1.2 fest. Die Sicherheitsprozesse werden vom IT-Sibe zentral geführt, überwacht und laufend verbessert. 3.1 Inventarisierung und Klassifizierung der Schutzobjekte Schutzobjekte sind Vermögenswerte, die es im Interesse des KSB zu schützen gilt. Dazu gehören Informationen / Datensammlungen, Applikationen, Systeme, Netzwerke, Räume und Gebäude. Die Inventarisierung und Klassifizierung der einzelnen Schutzobjekte ist Aufgabe der zuständigen Objekteigner, die dabei durch den IT-Sibe unterstützt werden. Der IT-Sibe ist Eigner des Schutzobjektinventars. Basierend auf der Klassifizierung legt die Abteilung Informatik (bzw. die zuständigen Objekteigner) in Zusammenarbeit mit dem IT-Sibe die erforderlichen Massnahmen fest. Die Inventarisierung der Schutzobjekte bildet die Basis für eine umfassende Sicherheit innerhalb des KSB Objekteigner Der Objekteigner ist für den angemessenen Schutz der ihm zugewiesenen Objekte verantwortlich. Er ist die zuständige Ansprechperson für fachliche Fragen im Zusammenhang mit dem Schutz der ihm zugewiesenen Schutzobjekte. So ist der Dateneigner befugt, über die inhaltliche Richtigkeit (Daten- Integrität), Weitergabe, Zugriffsrechte, Übergabe an die Archivierung, Freigabe und Löschung der Daten zu entscheiden. Folgende Objekteigner werden definiert: Dateneigner ist für Informationsbestände wie Datensammlungen oder Datenbanken verantwortlich, bei unstrukturierten Daten ist der Owner des jeweiligen Ordner-Verzeichnis-Baumes als Dateneigner zu definieren. Applikationsverantwortlicher: Jeder Applikation wird ein technischer Applikationsverantwortlicher innerhalb der Abteilung Informatik und ein fachlicher Applikationsverantwortlicher aus dem Fachbereich zugeordnet. Systemverantwortlicher: Verantwortliche Person für Systeme, Clients, Peripheriegeräte, Netzwerkkomponenten innerhalb der Abteilung Informatik. Netzwerkverantwortlicher: Verantwortlicher für Netzwerke oder Netzwerksegmente innerhalb der Abteilung Informatik. Infrastrukturverantwortlicher für Räumlichkeiten und Gebäude des KSB Klassifizierung Die Klassifizierung der Schutzobjekte ist Aufgabe der Objekteigner. Der IT-Sibe unterstützt sie und kontrolliert die Klassifizierung der Schutzobjekte Vertraulichkeit Das KSB unterscheidet folgende drei Stufen: Weisung Informatiksicherheit Seite 6/35

11 ÖFFENTLICH KSB-INTERN Als ÖFFENTLICH zu bezeichnen und zu behandeln sind Informationen, die nach ihrem Inhalt und ihrem Zweck zur Veröffentlichung bestimmt sind. Sie sind der Allgemeinheit zugänglich (z.b. Jahresbericht nach Veröffentlichung) oder ausdrücklich für einen externen Adressatenkreis (Internet) bestimmt. Als KSB-INTERN gelten Informationen, deren Inhalt nicht für die Öffentlichkeit bestimmt sind und deshalb nur intern den Mitarbeitenden oder an Dritte nach Unterzeichnung einer Geheimhaltungserklärung zugänglich gemacht werden sollen. Sie werden grundsätzlich nicht speziell gekennzeichnet und weisen keinen Klassifizierungsvermerk auf. Beispiele für Dokumente mit der Klassifizierung KSB-INTERN sind Anweisungen, Richtlinien, Rundschreiben. KSB- VERTRAULICH Als «KSB-VERTRAULICH» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte den Geschäftsinteressen von KSB Schaden zufügen kann. Ihr Bekanntwerden würde schützenswerte Interessen von KSB stark beeinträchtigen. Diese Informationen sind vom Dateneigner als KSB-VERTRAULICH zu klassifizieren, wenn sie nur einem kleinen, genau definierten Personenkreis zur Kenntnis gebracht werden dürfen. Jede KSB-VERTRAULICH klassifizierte Information muss eine Verteilerangabe enthalten. Beispiele für Dokumente mit der Klassifizierung KSB-VERTRAULICH sind strategische Planungen, Protokolle auf Verwaltungsrats- und Spitalleitungsstufe sowie Zugangsdaten. Regeln im Umgang mit klassifizierten Daten sind der Benutzerweisung zu entnehmen Datenschutzrelevanz Personenbezogene Informationen werden den folgenden Klassifizierungsstufen zugeteilt: Keine Datenschutzrelevanz D0 Geringe Datenschutzrelevanz D1 Erhöhte Datenschutzrelevanz D2 Keine datenschutzrechtliche Relevanz weisen Informationen auf, die keine Angaben zu bestimmten oder bestimmbaren juristischen und natürlichen Personen enthalten. Dieser Klassifizierungsstufe sind Informationen zuzuordnen, die Angaben zu bestimmten oder bestimmbaren Personen enthalten. Dieser Kategorie werden Informationen zugeordnet, die einzig Name, Vorname und Anschrift(en) enthalten und keinerlei weitere Informationen bspw. bezüglich Zweck der Bearbeitung, der Bezeichnung der Daten, usw. offenbaren. Dieser Schutzstufe sind Informationen zuzuordnen, die besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthalten Verfügbarkeit Zur Klassifizierung der Verfügbarkeit werden die Definitionen resp. Kennzahlen RTO (Recovery Time Objective) und RPO (Recovery Point Objective), die im Rahmen des Business Continuity Managements erhoben werden, übernommen Archivierung Als Archivierung wird die längerfristige Aufbewahrung von Informationen bezeichnet, die auf dem operationellen Speichersystem (z.b. Disk) oder in Papierform nicht mehr benötigt und deshalb auf Archivierungsmedien ausgelagert werden. Der Dateneigner legt die Aufbewahrungsdauer nach den gesetzlichen Vorgaben fest. Weisung Informatiksicherheit Seite 7/35

12 Keine Archivierung A1 Archiv A2 Archiv mit Ablaufdatums A3 Es bestehen keine internen oder externen Anforderungen an die Archivierung. Ein entsprechender Vermerk ist nicht anzubringen. Die Information wird mit Archiv klassifiziert, wenn die Aufbewahrungsdauer zehn Jahre betragen soll. Es ist ein Vermerk»ARCHIV«anzubringen. Sofern die gewünschte Archivierungsdauer nicht zehn Jahre beträgt, erfolgt die Klassifizierung mittels Angabe des Wortes Archiv: und der Angabe des jeweils gewünschten Ablaufdatums. Nach Ablauf dieses Datums kann die Information ohne Rückfrage entsorgt bzw. vernichtet werden. Es ist ein Vermerk»ARCHIV: DATUM«anzubringen, wobei das Datum das Ende der Archivdauer angibt (dd.mm.yyyy). Richtlinien hinsichtlich der Aufbewahrungszeit sowie zur Archivierung von Informationen und Anforderungen an Informationsträger und die Räume und Behältnisse, in denen sie aufbewahrt werden, werden vom Objekteigner in Zusammenarbeit mit der Abteilung Personal & Recht festgelegt. Durch die Dateneigner werden Aktenaufbewahrungspläne geführt. Es ist sicherzustellen, dass die Wiedereinspielung gespeicherter Informationen technisch realisierbar ist. Bei der Archivierung von Informationen sind die Anforderungen des Zutritts- und des Zugriffsschutzes zu berücksichtigen. 3.2 Sicherheit in Projekten (Security Sign-Off) Der Security Sign-Off-Prozess regelt, dass Projekte (inklusive Vorhaben und neue Informatiksysteme) auf mögliche Sicherheitsrisiken geprüft und entsprechende Massnahmen ergriffen werden. Bei ihrer Beantragung entscheidet die Spitalleitung, ob eine Sicherheitsrelevanz gegeben ist und ob bestimmte Sicherheitsauflagen zu erfüllen sind. Falls ja, muss die Sicherheit nach jeder Projektphase durch den IT-Sibe beurteilt und abgenommen werden. Beim Security Sign-Off-Prozess sind folgende Anforderungen zu beachten: Bei der Beantragung hat der Projektleiter (Antragsteller) in Zusammenarbeit mit dem IT-Sibe die Risiken und Sicherheitsanforderungen der Projektlieferung zu beurteilen und aufzuzeigen. Der Projektleiter hat die Projekt- und Betriebskosten im Zusammenhang mit der Sicherheit im Budget zu berücksichtigen. Der Projektleiter ist verpflichtet, Sicherheitsauflagen zu berücksichtigen und Sicherheitsanforderungen zu implementieren. Kann er geltende Vorgaben des KSB nicht einhalten, hat er sie gemäss Prozess (als Ausnahmen von Sicherheitsvorgaben) zu beantragen. Der IT-Sibe begleitet das Projekt und kontrolliert die Umsetzung der Sicherheitsanforderungen. Der IT-Sibe kontrolliert die Projektlieferung am Ende jeder Projektphase auf ihre Sicherheit und Risiken und gibt sie für die nächste Phase frei (Sign-Off). Vor der Übergabe an den Betrieb bestätigen Projektleiter und IT-Sibe die Sicherheit der Projektlieferung. 3.3 Sicherheit beim Change Management Sämtliche Änderungen oder Erweiterungen an Informatiksystemen, Austausch von Komponenten und Releasewechsel sind sorgfältig zu planen und vorzunehmen. Die Planung umfasst die Vorbereitung der Tätigkeiten, inklusive Risikobeurteilung und Fallback- Überlegungen, die Durchführung der Änderung einschliesslich des Test- und Abnahmeprozedere und eine allfällige Nachbearbeitung Alle Changes sind nachvollziehbar zu dokumentieren Sicherheitsrelevante Changes sind vor Freigabe dem IT-Sibe zu unterbreiten, der den Change Weisung Informatiksicherheit Seite 8/35

13 hinsichtlich Informatiksicherheit bewilligt. (Für Routine-Changes genügt eine einmalige Freigabe durch den IT-Sibe.) Die definitive Freigabe des Changes erfolgt durch den entsprechenden Objekteigner. Im Rahmen des Abnahmeverfahrens ist zu prüfen, ob die Anforderungen an die Informatiksicherheit ausreichend berücksichtigt wurden. Auch wenn Changes durch Externe vorgenommen werden, liegt die Verantwortung für diese beim KSB und muss durch eine zu bezeichnende Person wahrgenommen werden. 3.4 Risikomanagement Das Risikomanagement innerhalb des KSB erfolgt nach einem einheitlichen Verfahren. Risikoanalysen werden im Rahmen von Prozessen (bspw. im Projektmanagement), bei der Identifizierung neuer Risiken und in definierten zeitlichen Abständen durchgeführt. Verantwortlich für das Management der Risiken beim Betrieb der Informatikmittel ist die Abteilung Informatik (bzw. die zuständigen Objekteigner). Sie legt, ggfs. in Zusammenarbeit mit dem IT-Sibe, die erforderlichen Massnahmen fest. Der IT-Sibe führt Risikobeurteilungen in periodischen Abständen durch. Die Risiken werden anhand ihrer Auswirkungen und Eintrittswahrscheinlichkeit bewertet. Der IT-Sibe führt den Risikohandlungsplan (Risk Treatment Plan). Darin sind die zu behandelnden Risiken mit den zugeordneten Massnahmen, Terminen und den für die Umsetzung verantwortlichen Funktionen sowie die übernommenen Restrisiken aufgeführt. Der Risikobehandlungsplan wird durch den IT-Sibe periodisch geprüft. Der IT-Sibe meldet Restrisiken der Spitalleitung. Wenn gegen ein Risiko keine oder nur beschränkte Massnahmen ergriffen werden, so wird dies in einem schriftlichen Entscheid (Sicherheitsbericht) festgehalten. Restrisiken müssen von der Spitalleitung formell übernommen und getragen werden. Details zum Risikomanagement des KSB sind Kap. 7 zu entnehmen. 3.5 Sicherheitsaudits Die Sicherheit innerhalb der KSB wird regelmässig durch interne und externe Audits sowie Sicherheitskontrollen überprüft. Die Einhaltung der geltenden Vorgaben, der technischen Standards und der Massnahmen wird kontrolliert. Dadurch werden Sicherheitslücken und -defizite sowie Korrektur- und Verbesserungsmassnahmen identifiziert. Sicherheitsaudits und Sicherheitskontrollen werden von der Linienorganisation in Auftrag gegeben. Die Ergebnisse sind dem IT-Sibe zu melden, der seinerseits an die Spitalleitung rapportiert Durchführung von Audits Die einzelnen Prozessschritte für Audits stellen sich wie folgt dar: 1. Definition des Scopes. Welcher Bereich wird geprüft, wo liegt der Fokus des Audits? 2. Die Verantwortlichkeiten für die Planung und Durchführung des Audits sind zu definieren. 3. Bei externen Audits ist zu definieren, welche Dokumentation an den externen Auditor abgegeben oder in welche Dokumentationen vor Ort Einsicht gewährt wird. 4. Die anzuwendenden Methoden und Kriterien sind festzulegen. 5. Erstellen eines detaillierten Audit-Programms unter Berücksichtigung der definierten Prüfziele und der Ergebnisse von vorhergegangenen Audits. 6. Festlegen, in welcher Form und Umfang das Ergebnis erwartet wird. 7. Durchführung des Audits. 8. Verfassen des Auditberichts Weisung Informatiksicherheit Seite 9/35

14 3.5.2 Umsetzung von Massnahmen Massnahmen, die aufgrund der Auditresultate und Sicherheitskontrollen definiert wurden, sind durch die zuständige Linienorganisation freizugeben. Sie werden wie folgt umgesetzt: 1. Die freigegebenen Massnahmen sind formell zu definieren und zu planen. 2. Die Verantwortlichkeiten für jede Massnahme sind zuzuweisen. 3. Die Massnahmen sind zusammen mit den verantwortlichen Personen zu terminieren und die Ressourcen für deren Umsetzung zu bestimmen. 4. Die notwendigen, flankierenden Massnahmen, wie interne Kommunikation, Change Management, etc., sind festzulegen. 5. Massnahmen sind durch die definierten Personen oder Teams umzusetzen. 6. Nach der Umsetzung der Massnahmen sind diese, z.b. mittels Nachaudit, durch den IT-Sibe zu kontrollieren. 7. Der Schlussbericht an den IT-Sibe bildet den Abschluss. Er entscheidet, inwieweit die Spitalleitung zu informieren ist. 3.6 Behandlung von Sicherheitsvorfällen (Security Incident Management) Für die Behandlung von Sicherheitsvorfällen ist der IT-Sibe verantwortlich, der je nach Vorfall an die die Spitalleitung bzw. den Krisenstab eskalieren kann. Als Sicherheitsvorfälle gelten Verstösse gegen Weisungen und Sicherheitsvorgaben des KSB oder sicherheitsrelevante Ereignisse, die dem KSB einen finanziellen, materiellen oder Image-relevanten Schaden verursacht haben oder einen solchen beinahe verursacht hätten. Im Security Incident Management werden mindestens die Sicherheitsvorfälle bezüglich Informatiksicherheit behandelt. Weitere Sicherheitsbereiche können bei Bedarf denselben Prozess nutzen und ihre Sicherheitsvorfälle zentral dokumentieren. Der Entscheid diesbezüglich liegt bei der Spitalleitung Meldestelle für Incidents / Security Incidents Mitarbeitende melden Incidents im Bereich Informatik dem Informatik-Support. Der Informatik-Support nimmt die Meldungen entgegen und prüft sie im Rahmen der Beurteilung auf ihre Sicherheitsrelevanz. Der Informatik-Support muss entscheiden, wann der IT-Sibe zu kontaktieren ist. Übrige Sicherheitsvorfälle oder Feststellungen, die sich zu einem Sicherheitsvorfall entwickeln können, melden Mitarbeitende dem IT-Sibe Prozess und Verantwortlichkeiten Der IT-Sibe erfasst und analysiert die Meldung und entscheidet über allfällige Sofortmassnahmen. Je nach Schwere und Auswirkung des Vorfalls sowie bei Eskalation informiert er die Spitalleitung, damit diese prüft, ob eine Krise vorliegt und der Krisenstab aufzubieten ist. Falls keine Eskalation nötig ist, hat der IT-Sibe Massnahmen zu definieren und die zuständigen Stellen (in der Regel die betroffenen Objekteigner) mit der Umsetzung zu beauftragen, die er nach Bedarf unterstützt. Die Objekteigner dokumentieren die Umsetzung der Massnahmen und die Entwicklung des Vorfalls. Falls möglich, wird die Behebung im Rahmen des Change Managements vorgenommen. Bei Abschluss haben sie einen Bericht zum Sicherheitsvorfall zu erstellen und an den IT-Sibe zu liefern. Der IT-Sibe überprüft die Erledigung der Massnahmen und den Status des Vorfalls regelmässig. Er wertet den Bericht aus und untersucht die Risiken im Zusammenhang mit dem Sicherheitsvorfall. Er definiert, falls nötig, Korrektur- und Verbesserungsmassnahmen. Risiken und Massnahmen werden in den Risk Treatment Plan aufgenommen. Je nach Schwere und Auswirkung des Sicherheitsvorfalles rapportiert der IT-Sibe an die Spitalleitung. Mindestens jedoch im Rahmen des Reportings ist die Spitalleitung über Sicherheitsvorfälle im Berichtszeitraum zu informieren. Weisung Informatiksicherheit Seite 10/35

15 3.6.3 Sicherstellung von Beweisen Wenn der konkrete Verdacht besteht, dass eine Straftat oder ein Missbrauch mittels Informatiksystemen begangen wurde, so kann die Spitalleitung die entsprechenden Beweise, bestehend aus den Protokollierungen und eventuellen Backups, durch die Abteilung Informatik sichern lassen. Ein Sicherheitsvorfall kann auch Aktionen bzw. rechtliche Schritte gegen eine Person oder Organisation zur Folge haben. Aus diesem Grund müssen die gesammelten und aufbewahrten Beweise die erforderliche Beweiskraft aufweisen. 3.7 Ausnahmen von Sicherheitsvorgaben (Exception Management) Sämtliche Ausnahmen und Abweichungen von geltenden Sicherheitsvorgaben sind beim zuständigen Linienvorgesetzten zu beantragen. Der Antragsteller begründet, warum die Umsetzung der Sicherheitsvorgabe nicht sinnvoll oder wirtschaftlich ist. Das resultierende Risiko bewertet er und definiert mögliche Ersatzmassnahmen. Der Linienvorgesetzte hat den Antrag an den IT-Sibe weiterzuleiten. Dieser beurteilt den Antrag und gibt eine Empfehlung dazu ab. Er leitet den Antrag an den zuständigen Linienvorgesetzten weiter. Die verantwortliche Linienorganisation entscheidet über die Freigabe entsprechend der Kompetenzregelung des KSB. Mit der Bewilligung des Antrags werden auch mögliche Risiken, die daraus resultieren, formal und nachvollziehbar übernommen. Die Spitalleitung kann die Freigabe von Anträgen für definierte und standardisierte Ausnahmen (bspw. Abweichung von Passwortvorgaben für bestimmte Systeme) an den IT-Sibe delegieren. Eine Bewilligung darf nur zeitlich begrenzt, bspw. während der Laufzeit eines Projektes oder für maximal 1 Jahr, ausgesprochen werden. Bei neuen Projektlieferungen kann sie ggf. endgültig erfolgen. Eine Bewilligung kann auch mit Auflagen verbunden sein, die zuerst zu erfüllen sind, bevor die Ausnahme wirksam wird. Nach der Bewilligung wird der Antragsteller über den Entscheid informiert. Der IT-Sibe dokumentiert die Ausnahme und die Entscheidungen nachvollziehbar. Er führt eine Liste mit den bewilligten / abgelehnten Ausnahmen und überwacht deren periodische Neubeurteilung. Bei Ablauf der Ausnahmebewilligung muss diese vom Antragsteller neu beantragt werden. Der IT-Sibe nimmt die Risiken und allfällige Massnahmen in den Risk Treatment Plan auf. Die Ausnahmeliste mit den bewilligten und abgelehnten Anträgen ist wie folgt: Ausnahmeliste Ausnahmeliste Beantragung Beurteilung Entscheidung Nr. Antragsteller Antrag (inkl. Begründung) Vorgabe Beurteilung Sibe Risiko E S durch IT- Entscheid Datum Begründung Zeitliche Beschränkung 3.8 Security Reporting IT-Sibe und Datenschutzbeauftragter erstatten der Spitalleitung jährlich oder bei Bedarf Bericht zur Sicherheit und zum Datenschutz innerhalb des KSB. Der Bericht beinhaltet mindestens folgende Punkte: Ergebnisse durchgeführter Audits und Sicherheitskontrollen Anzahl Sicherheitsvorfälle, mit dem jeweiligen Status der Behandlung Definierte Massnahmen, inkl. Status der Umsetzung und Wirksamkeit Erteilte bzw. abgelehnte Ausnahmen von Sicherheitsvorgaben Weisung Informatiksicherheit Seite 11/35

16 3.9 Sensibilisierung / Ausbildung der Mitarbeitenden Die Linienorganisation ist mit Unterstützung durch den IT-Sibe für die Sensibilisierung und Ausbildung der Mitarbeitenden des KSB und ggf. von Dritten (Externe, Kunden) verantwortlich. Dabei arbeitet die Linie eng mit der Personalleitung (Abteilung Personal & Recht) des KSB zusammen. Dem Thema Awareness sowie der Aus- und Weiterbildung wird grosse Beachtung geschenkt. Für die Inhaltsvermittlung werden geeignete Methoden und Formen eingesetzt, die konkret auf die Sicherheitsthemen und das Zielpublikum zugeschnitten sind. Ziel ist es, ein sicheres Verhalten aller Mitarbeitenden zu fördern. Neue Mitarbeitende werden beim Eintritt im Rahmen des Eintrittsprozesses durch die Abteilung Personal & Recht über die einzuhaltenden Vorgaben bezüglich Sicherheit instruiert. 4 Informatik-Sicherheitsanforderungen Aufgabe der Informatiksicherheit ist der Schutz der elektronischen Informationen und der zu ihrer Bearbeitung notwendigen Systeme und Einrichtungen. Zur Gewährleistung der Informatiksicherheit gelten die nachfolgenden Anforderungen, die von der Abteilung Informatik bzw. den bezeichneten Stellen umzusetzen sind. 4.1 Verantwortung für Systemadministration/-verwaltung Um einen geordneten Betrieb der Informatiksysteme zu ermöglichen, werden Systemverantwortliche bestimmt. Diesen obliegt neben allgemeinen Administrationsarbeiten an den Systemen insbesondere die Benutzerverwaltung, einschliesslich der Verwaltung der Zugriffsrechte. Sie sind ebenfalls für die systemtechnische Umsetzung der Sicherheitsmassnahmen bei den von ihnen betreuten Informatiksystemen zuständig. Vorschriften und Verfahren Adäquate Richtlinien und Verfahren für die Systemadministration und -verwaltung müssen erstellt und durch den Leiter Informatik genehmigt werden. Alle durch ihre Tätigkeit mit Zugriffen auf Daten des KSB betroffenen Personen haben eine Kopie der genannten Richtlinien zu unterzeichnen und übernehmen damit direkt die Verantwortung für jeden Zugriff mit ihrer Benutzeridentifikation Privilegierte Benutzer Als privilegierte Benutzer werden Mitarbeitende des KSB bezeichnet, die über privilegierte Rechte verfügen. Es handelt sich dabei insbesondere um Anwendungs- und Systemverantwortliche bzw. Administratoren der Abteilung Informatik. Für alle privilegierten Benutzer gilt, dass sie alle geltenden Vorschriften einhalten und ihre weitgehenden Zugriffsberechtigungen mit der notwendigen Verantwortung und Sorgfalt verwenden. Die Linienvorgesetzten aller Stufen kontrollieren die Einhaltung der Vorgaben in ihrem Verantwortungsbereich Abgrenzung der Aufgaben, Kompetenzen und Verantwortungen Es ist sicherzustellen, dass zwischen den verschiedenen privilegierten Benutzern die Aufgaben, Kompetenzen und Verantwortungen so verteilt sind, dass es zu keinen Zuständigkeitsproblemen kommen kann (keine Überschneidungen/Lücken in der Aufgabenverteilung). Eine der Voraussetzungen dazu stellt die reibungslose Kommunikation zwischen den verschiedenen privilegierten Benutzern dar Einrichten unterschiedlicher Accounts Unter Berücksichtigung der Wirtschaftlichkeit ist sicherzustellen, dass für privilegierte Benutzer verschiedene Accounts zur Verfügung stehen (ein Account ausschliesslich für administrative Arbeiten, ein Account für allgemeine nicht administrative Tätigkeiten) Passwort-Weitergabe Jeder Stellvertreter erhält eine eigene Kennung, damit das Passwort des eigentlich privilegierten Benutzers im Vertretungsfall nicht weitergegeben werden muss. Es ist dem privilegierten Benutzer demnach untersagt, ihm anvertraute Passwörter oder anderweitige Zugangsinformationen weiterzugeben. Weisung Informatiksicherheit Seite 12/35

17 4.1.5 Benutzung von Passwort-Tools Die Benutzung von unterstützenden Tools zur Verwaltung von (Administratoren-) Passwörtern ist nur mit den durch das KSB zur Verfügung gestellten Mitteln bzw. Applikationen erlaubt. Solche Tools dürfen nicht auf privaten Geräten (PCs, Smartphones, etc.) eingesetzt werden. Der Einsatz eines Passwort-Tools muss vorgängig durch den Leiter Informatik genehmigt werden. Im Weiteren gelten folgende Bestimmungen: Master-Passwörter für Passwort-Tools sind auf eine sichere Art und Weise (bspw. in einem Tresor) zu hinterlegen. Master-Passwörter müssen komplex gewählt werden und mindestens 10 Zeichen lang sein, Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen enthalten. Passwort-Dateien dürfen nicht auf lokalen Laufwerken und Speichermedien gespeichert werden. Ausnahme bilden Backups, siehe nächsten Punkt. Von der verschlüsselten Passwort-Datei des Passwort-Tools ist regelmässig ein Backup auf einem externen Medium, wie bspw. einem USB-Stick, zu erstellen und an einem sicheren Ort aufzubewahren. 4.2 Beschaffung Es ist sicherzustellen, dass Informatikmittel vor der Integration in die produktive Umgebung mittels eines definierten Prozesses beschafft, getestet, freigegeben und der gesamte Prozess dokumentiert wird. Grössere Beschaffungen sind im Rahmen eines Projektes zu tätigen Hardening Informatikmittel des KSB sind vor ihrem Betrieb einem Hardening zu unterziehen. Dabei können die Hardening-Guidelines der Hersteller berücksichtigt werden. Jedes Informatikmittel ist einer Härtung (einem Hardening) zu unterziehen, bei der abhängig vom System mindestens folgende Sicherheitsvorkehrungen getroffen werden: unnötige, bzw. nicht ausdrücklich erforderliche Services werden deaktiviert und wenn möglich gelöscht resp. deinstalliert auf allen Systemen werden nur die benötigten Protokolle zugelassen bzw. aktiviert Nicht erlaubte Schnittstellen sind sofern möglich zu deaktivieren. vordefinierte Accounts, Initialpasswörter, Privilegien und Zugriffsrechte werden kontrolliert und allenfalls angepasst oder gelöscht temporäre Dateien sind beim Abmelden automatisch zu löschen Typenspezifische und vorgeschriebene Sicherheitseinstellungen gemäss Benutzerweisung sind vollständig zu implementieren wenn immer möglich sind die Sicherheitseinstellungen zentral zu verwalten Veränderungen der Sicherheitseinstellungen durch den Benutzer sind zu verhindern die Verwendung von ActiveX ist so zu steuern, dass nur erlaubte ActiveX-Komponenten installiert werden können die Systemzeiten sind synchron zu halten Standardfreigaben sind zu deaktivieren und die Möglichkeit der Erstellung von lokalen Freigaben auf Clients technisch verhindert wird Notebooks / Tablet Computer werden durch eine vollständige Diskverschlüsselung geschützt Mobiltelefon / Smartphone und mobile Speichermedien müssen, wenn Informationen, die dem Datenschutz oder der Schweigepflicht unterliegen, darauf gespeichert werden, durch Disk- oder File- Weisung Informatiksicherheit Seite 13/35

18 verschlüsselung geschützt werden Eine Antiviren-Software ist zu installieren User Access Control (UAC) ist zu aktivieren Freigabe und Bereitstellung der Informatikmittel Vor Inbetriebnahme sind die Informatikmittel im notwendigen Umfang zu testen und auf Schwachstellen zu prüfen, die Ergebnisse sind zu dokumentieren. Danach erfolgt die Freigabe durch die Abteilung Informatik, bei der die Informatikmittel im Inventar erfasst werden. Bearbeitung und Freigabe von Anträgen Die Abteilung Informatik stellt den Mitarbeitenden die zu ihrer Arbeit notwendigen Informatikmittel bereit. Anträge für zusätzliche Informatikmittel, Software, den Einsatz von privaten Informatikmitteln, die Verwendung von Informatikmittel des KSB durch Externe beurteilt und genehmigt sie nach Bedarf und beachtet dabei die Empfehlungen des Vorgesetzten des Antragsstellers. Gleiches gilt für Anträge betreffend Änderungen an der Konfiguration oder an Sicherheitseinstellungen, die nicht dem Standard entsprechen. 4.3 Zugriffsschutz Zur Sicherung der Informatiksysteme gegen unautorisierte Zugriffe, Schaden, Verlust oder Veränderungen sind Zugriffsschutzmassnahmen zu installieren. Diese unterliegen einer laufenden Überwachung. Verantwortlich für den Zugriffsschutz zeichnet die Abteilung Informatik. Der Zugriffsschutz umfasst im Minimum die folgenden Anforderungen: Anmeldung (Sign-on) mit eindeutiger Benutzer-Identifikation Verifizierung der Identität eines Benutzers (Authentisierung) Aufzeichnung (Logging) und Auswertung bzw. periodische Überprüfung sicherheitsrelevanter Informationen User Access Control Die Zugriffsrechte-Steuerung erfolgt zentral mittels Gruppen. Generell sind Gruppenrichtlinien detailliert zu dokumentieren und bilden die aktuellen Weisungen und Richtlinien ab Verfahren für die Vergabe von Benutzerrechten Es gilt ein formales Verfahren für die Definition von Benutzerkennungen und die Erteilung von Zugriffsrechten auf Informatiksysteme und Applikationen. Dieses Verfahren umfasst die Beantragung, Genehmigung (Freigabe), Erteilung, Überprüfung, Aufzeichnung und Rücknahme (Löschung) der Benutzerkennungen und Zugriffsrechte. Der Zugriff auf Informatiksysteme, Applikationen und Informationen wird ausschliesslich über dieses Verfahren gewährt Einrichten von User-Accounts Entsprechend ihren Berechtigungen sind für die Mitarbeitenden User-Accounts einzurichten. Das Einrichten von Gruppenaccounts ist sehr restritiv zu halten und muss aus betrieblichen Gründen absolut notwendig sein. Sie müssen durch den zuständigen Bereichsleiter der betreffenden Benutzer, den Leiter Informatik und den Datenschutzbeauftragten bewilligt werden. Beim Austritt eines Benutzers ist dessen Account sofort zu sperren. Weisung Informatiksicherheit Seite 14/35

19 4.3.4 Änderung voreingestellter Passwörter 1 Passwörter, die vom Hersteller voreingestellt wurden, sind nach der Installation des Systems umgehend zu ändern. Dies betrifft System- oder Anwendungssoftware Passwortvorgaben Die nachfolgenden Passwortvorgaben entsprechen den in der Benutzerweisung enthaltenen Regelungen zur Passwort Policy und sind wenn immer möglich technisch zu erzwingen. Können diese in Systemen oder Anwendungen gar nicht oder nur begrenzt umgesetzt werden, ist dies dem Leiter Informatik zu melden Einstellungen für das Windows-Login Folgende Einstellungen werden technisch in der KSB-Umgebung beim Anmelden auf der Windowsumgebung gesetzt. Sie gelten für alle Benutzer innerhalb des KSB und sollten möglichst für alle Applikationen übernommen werden. Windows-Login Maximales Kennwortalter Minimales Kennwortalter Minimale Kennwortlänge Kennwortchronik erzwingen Kontosperrungsschwelle Zurücksetzungsdauer des Kontosperrungszählers Kontosperrdauer 90 Tage 1 Tag 8 Zeichen 5 Kennwörter 5 Versuche 5 Minuten 10 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen 3 der 4 Kategorien: Gross- und Kleinbuchstaben, Sonderzeichen und Ziffern (0 bis 9) Aktiviert Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Deaktiviert Das automatische Einwählen in Anwendungen durch Speicherung des Passwortes (Bsp. Internet Explorer) ist zu deaktivieren. Die Passwörter sind im System verschlüsselt zu speichern. Passwort-Änderungen müssen von den jeweiligen Benutzern selbst durchgeführt werden können Sperrung der Benutzerkennung Die Sperre sollte nach fünf Fehlversuchen greifen und so lange bestehen bleiben, bis sie von einem Systemverwalter aufgehoben wird. Mitunter lässt sich zudem einstellen, nach welcher Zeitspanne ein Fehlversuch nicht mehr in die Zählung der Fehlversuche einbezogen wird. In Betracht kommen hier Werte ab 10 Minuten Zurücksetzen eines Benutzerpasswortes Beim Zurücksetzen eines Benutzerpasswortes durch die Hotline ist immer sicherzustellen, dass der Anrufer auch der Besitzer des Accounts ist Hinterlegen von Passwörtern Betriebswichtige Passwörter wie Administrator-Passwörter, Notfallpasswörter, Master-Passwörter für Passwort-Tools, etc. müssen in einem verschlossenen Umschlag in einem Tresor aufbewahrt werden Zugriffsrechte Über Zugriffsrechte wird geregelt, welcher Mitarbeitende im Rahmen seiner Funktion bevollmächtigt wird, Informatiksysteme, Applikationen und Informationen zu nutzen. Die Zugriffsrechte (z. B. Lesen, 1 Die nachfolgenden Regelungen (bis und mit Kap ) sind den Passwort Richtlinien des KSB (Richtlinien für den Umgang mit Passwörtern) vom entnommen. Gelbe Markierungen sind davon abweichende Regelungen bzw. Ergänzungen. Weisung Informatiksicherheit Seite 15/35

20 Schreiben, Ausführen) sind von der Funktion abhängig, die die Person wahrnimmt. Dabei werden immer nur so viele Zugriffsrechte vergeben, wie es für die Aufgabenwahrnehmung notwendig ist ("Needto-know-Prinzip"). Bestehende Rechte werden von den Fachbereichen, der Abteilung Informatik und dem IT-Sibe periodisch auf ihre Notwendigkeit überprüft. Bei Änderungen des Zuständigkeitsbereiches von Mitarbeitenden werden auch die Zugriffsberechtigungen überprüft und gegebenenfalls geändert. Notfall-PCs für Notfall-Zugriff auf Offline-Daten Sofern auf Notfall-PCs Offline-Daten zur Gewährleistung des Zugriffs bei Systemausfällen vorgehalten werden, so sind diese Daten und der Zugriff darauf entsprechend den Anforderungen im Normalbetrieb zu schützen Überwachung und Protokollierung des Zugriffs Zur Erkennung unberechtigter Aktivitäten werden die Informatiksysteme und Anwendungen angemessen überwacht. Deshalb werden Zugriffe grundsätzlich einerseits in System- und andererseits in Anwendungs-Protokolldateien festgehalten. Mitarbeitende werden über Tatsache, Art und Umfang der Protokollierung in der Benutzerweisung [01] informiert Protokollanforderungen Protokolle haben die nachfolgenden Anforderungen zu erfüllen. Bestehen gesetzliche Vorgaben zur Behandlung von Logfiles (Aufbewahrungsfristen, revisionssichere Speicherung etc.), sind diese ebenfalls umzusetzen. Logs verursachen Ressourcen- und Speicherplatzverbrauch und sind somit nur im notwendigen Umfang zu erzeugen Jeder Log-Eintrag muss mit einem Zeitstempel versehen sein Soweit möglich werden die Log-Daten auf ein zentrales System übertragen Die Übertragung von Log-Daten erfolgt stets verschlüsselt, um die Integrität und Vertraulichkeit der Daten sicherzustellen Logs sind vor unberechtigtem Zugriff, vor Manipulation und nachträglichen Änderungen zu schützen Logs sind regelmässig auszuwerten und können zu Reportingzwecken und Troubleshooting genutzt werden Für sämtliche Logs ist die Aufbewahrungsdauer zu definieren, nach deren Ablauf die Logs zu löschen sind Sämtliche Logs sind so abzulegen, dass sie innerhalb der definierten Aufbewahrungsdauer jederzeit lesbar sind Für die Protokollierung sind auch die Vorgaben aus der Benutzerweisung [01] zu befolgen Folgende Systemereignisse müssen mindestens geloggt werden: falsche Passworteingabe bis zur Sperrung, das Erreichen der max. definierten Versuche zur Anmeldung und das Sperren von Accounts Startup / Shutdown des Systemes Änderung und Aktivierung von Policies Die ermittelten Protokollierungen werden von den zuständigen Administratoren regelmässig ausgewertet. Sie sind nur für die dazu ermächtigten Mitarbeitenden des KSB einsehbar. Datenschutzaspekte bei der Protokollierung Bei der Protokollierung und der Auswertung müssen die datenschutzrechtlichen Bestimmungen eingehalten werden. Für die protokollierten Daten ist insbesondere die Zweckbindung zu beachten. Weisung Informatiksicherheit Seite 16/35

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern)

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern) EDV-Datenschutzweisung - April 2008 Zahnmed. Kliniken der Universität Bern Freiburgstrasse 7 3010 Bern Offizieller Briefkopf folgt in der Final Version Bern, im April 2008 Datenschutzweisung gültig für

Mehr

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Der Stadtrat erlässt gestützt auf Art. 6 des Personalreglements vom 21. Februar 2012 2 : I. Allgemeine Bestimmungen

Mehr

Verordnung über die Klassifizierung, die Veröffentlichung. und Archivierung von Dokumenten zu Regierungsratsgeschäften

Verordnung über die Klassifizierung, die Veröffentlichung. und Archivierung von Dokumenten zu Regierungsratsgeschäften 5.7. März 0 Verordnung über die Klassifizierung, die Veröffentlichung und die Archivierung von n zu Regierungsratsgeschäften (Klassifizierungsverordnung, KRGV) Der Regierungsrat des Kantons Bern, gestützt

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Leitlinie Datenschutz

Leitlinie Datenschutz Legal & Compliance Datenschutz Leitlinie Datenschutz Dokumenten-Nr. [1] Autor Dr. Alexander Lacher Dokumenten-Eigner BDSV Dokumenten-Bereich/Art Legal & Compliance Dokumenten-Status Final Klassifizierung

Mehr

Richtlinie zur Nutzung des Remote Access Services

Richtlinie zur Nutzung des Remote Access Services Richtlinie zur Nutzung des Remote Access Services vom 19.9.2011 Als Bestandteil zum Antrag für den Remote Access, werden die Einsatzmöglichkeiten, die Richtlinien und Verantwortlichkeiten für die Zugriffe

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe.

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. 70.7 Gesetz über den Datenschutz vom 9. November 987 ) I. Allgemeine Bestimmungen Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. Die Bestimmungen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

SWICA Datenschutzreglement DS-01

SWICA Datenschutzreglement DS-01 DS-01 SWICA bearbeitet Informationen über versicherten Personen in komplexen organisatorischen Prozessen und mit anspruchsvollen technischen Einrichtungen. Dieses Reglement basiert auf dem Grundkonzept

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Richtlinie Datenschutz und Informationssicherheit

Richtlinie Datenschutz und Informationssicherheit Richtlinie Datenschutz und Informationssicherheit für externe Partner Inhaltsverzeichnis 1 Einführung 3 1.1 Ziel und Zweck 1.2 Geltungsbereich 1.3 Referenzierte Dokumente 1.4 Begriffe 2 Datenschutz- und

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV

DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV DATENSCHUTZREGLEMENT ÖFFENTLICHE XS-KEYS zum XS Key-System von Secure Logistics BV Artikel 1. Definitionen In diesem Datenschutzreglement werden die folgenden nicht standardmäßigen Definitionen verwendet:

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Datenschutz-Management-System Datenschutzpolitik (13/20)

Datenschutz-Management-System Datenschutzpolitik (13/20) Gemeindeverwaltung Worb, Präsidialabteilung, Bärenplatz 1, Postfach, 3076 Worb Telefon 031 838 07 00, Telefax 031 838 07 09, www.worb.ch Datenschutz-Management-System Datenschutzpolitik (13/20) Autorin/Autor:

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

Dienstanweisung über Einsatz und Verwendung von Informatikmitteln

Dienstanweisung über Einsatz und Verwendung von Informatikmitteln Dienstanweisung über Einsatz und Verwendung von Informatikmitteln vom 25. August 2009 1 Die Regierung des Kantons St.Gallen erlässt als Dienstanweisung: I. Allgemeine Bestimmungen Zweck Art. 1. Diese Dienstanweisung

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

D i e n s t a n w e i s u n g

D i e n s t a n w e i s u n g D i e n s t a n w e i s u n g für den Einsatz von EDV-Systemen bei der Stadtverwaltung Kitzingen Diese Anweisung gilt für alle EDV-Anlagen die im Bereich der Stadtverwaltung eingesetzt werden (sowohl für

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Paynet Online-Archiv. Benutzerdokumentation

Paynet Online-Archiv. Benutzerdokumentation Paynet Online-Archiv Benutzerdokumentation Nutzung Für Kunden der SIX Payment Services AG Version, Datum 1.2, 31.07.2013 D0076.DE.02 SIX Payment Services AG Inhaltsverzeichnis Inhaltsverzeichnis... 2 Abbildungsverzeichnis...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Sicherheitsrichtlinie

Sicherheitsrichtlinie Sicherheitsrichtlinie Informationssicherheit und Datenschutz für IT-Fremddienstleister Herausgegeben von den Informationssicherheitsbeauftragten der MVV Gruppe MVV Gruppe Seite 1 von 7 Inhaltsverzeichnis

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 Dienstvereinbarung zur Einführung und Anwendung von helpline zwischen der Universität Oldenburg (Dienststelle) und dem Personalrat der Universität

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

Pflichtenheft Betrieblicher Datenschutz-Verantwortlicher (BDSV)

Pflichtenheft Betrieblicher Datenschutz-Verantwortlicher (BDSV) Legal & Compliance Datenschutz Pflichtenheft Betrieblicher Datenschutz-Verantwortlicher (BDSV) Dokumenten-Nr. Autor Dokumenten-Eigner Dokumenten-Bereich/Art Dokumenten-Status Klassifizierung Geltungsbereich

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Reglement für den Einsatz von Informatikmitteln in der Einheitsgemeinde Degersheim

Reglement für den Einsatz von Informatikmitteln in der Einheitsgemeinde Degersheim Reglement für den Einsatz von Informatikmitteln in der Einheitsgemeinde Degersheim vom 20. Juni 2006 mit Änderungen vom 24. April 2012 Reglement für den Einsatz von Informatikmitteln in der Einheitsgemeinde

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Broker HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon: +41 44 265 47

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens 09.11.2004 c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - 2-1.

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

amtliche bekanntmachung

amtliche bekanntmachung Nr. 908 13. März 2012 amtliche bekanntmachung Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität Bochum (RUBiKS) vom 16. Januar 2012 Dienstvereinbarung zum Identitätsmanagement der Ruhr-Universität

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V.

4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V. 4. Datenbankordnung (DBO) der Deutschen Taekwondo Union e. V. (Ordnung zur Regelung der Rahmenbedingungen für den Betrieb der DTU-Verwaltungsdatenbank) Stand Januar 2013 Inhaltsverzeichnis 4.1 Zweck der

Mehr

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit

Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit 311.4 EVANGELISCH-REFORMIERTE GESAMTKIRCHGEMEINDE BERN Weisungen des Kleinen Kirchenrates betreffend Datenschutz und Datensicherheit vom 20. September 2006 311.4 Weisungen Datenschutz/Datensicherheit Inhaltsverzeichnis

Mehr

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos

Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos Reglement über den Datenschutz in der Gemeindeverwaltung Würenlos vom 1. Juni 2015 Inhaltsverzeichnis I. Zugang zu amtlichen Dokumenten 1 Anwendbares Recht 2 Entgegennahme des Gesuches 3 Gesuchsbehandlung

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

D a t e n s c h u t z - M a n a g e m e n t s y s t e m

D a t e n s c h u t z - M a n a g e m e n t s y s t e m Leitfaden D a t e n s c h u t z - M a n a g e m e n t s y s t e m Inhalt 1 Einleitung... 2 2 Datenschutzrechtliche Anforderungen... 2 2.1 Gesetzmässigkeit ( 8 IDG)... 4 2.2 Verhältnismässigkeit ( 8 IDG)...

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! Nordthüringer IT - Sicherheitsforum 2015 11.06.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! Nordthüringer IT - Sicherheitsforum 2015 11.06. MITsec - Gelebte IT-Sicherheit in KMU - Nordthüringer IT - Sicherheitsforum 2015 11.06.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition:

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer 1. Gegenstand und Dauer des Auftrages Der Auftragnehmer übernimmt vom Auftraggeber

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr