Weisung Informatiksicherheit. Kantonsspital Baden AG, Baden

Größe: px
Ab Seite anzeigen:

Download "Weisung Informatiksicherheit. Kantonsspital Baden AG, Baden"

Transkript

1 Weisung Informatiksicherheit Kantonsspital Baden AG, Baden

2 Inhaltsverzeichnis 1 Einführung Zweck und Umfang Geltungsbereich Definitionen und Abkürzungen Fragen und Meldungen zur Informatiksicherheit Überwachung und Auditing 4 2 Informatiksicherheit Informatiksicherheit als Teil der Informationssicherheit Informationsschutz Datenschutz Archivierung Informationssicherheit als Teil der Integralen Sicherheit Physische Sicherheit Arbeitssicherheit Krisenmanagement 6 3 Grundlegende Sicherheitsprozesse Inventarisierung und Klassifizierung der Schutzobjekte Objekteigner Klassifizierung Vertraulichkeit Datenschutzrelevanz Verfügbarkeit Archivierung Sicherheit in Projekten (Security Sign-Off) Sicherheit beim Change Management Risikomanagement Sicherheitsaudits Durchführung von Audits Umsetzung von Massnahmen Behandlung von Sicherheitsvorfällen (Security Incident Management) Meldestelle für Incidents / Security Incidents Prozess und Verantwortlichkeiten Sicherstellung von Beweisen Ausnahmen von Sicherheitsvorgaben (Exception Management) Security Reporting Sensibilisierung / Ausbildung der Mitarbeitenden 12 4 Informatik-Sicherheitsanforderungen Verantwortung für Systemadministration/-verwaltung Privilegierte Benutzer Abgrenzung der Aufgaben, Kompetenzen und Verantwortungen Einrichten unterschiedlicher Accounts Passwort-Weitergabe Benutzung von Passwort-Tools Beschaffung Hardening Freigabe und Bereitstellung der Informatikmittel Zugriffsschutz User Access Control Verfahren für die Vergabe von Benutzerrechten Einrichten von User-Accounts Änderung voreingestellter Passwörter Passwortvorgaben Einstellungen für das Windows-Login Sperrung der Benutzerkennung Zurücksetzen eines Benutzerpasswortes Hinterlegen von Passwörtern Zugriffsrechte 15 Weisung Informatiksicherheit Inhalt Seite 1/3

3 4.3.7 Überwachung und Protokollierung des Zugriffs Protokollanforderungen Monitoring / Überwachung Sicherheit bei der Systementwicklung Anforderungen an die Softwareentwicklung Sicherheit im Entwicklungsprozess Trennung Test- und Produktivsysteme Inhalt und Umgang von Testdaten Implementation / Change / Betrieb von Applikationen Sicherheit der Netze Netzwerkmanagement Netzwerktrennung / Netzwerkzonen Externe Netzübergänge Administration der Netzübergänge Verschlüsselung der Netze Einsatz von Verschlüsselungstechniken / Kryptografie Anschluss von Fremdunternehmen Verkabelung Telefonie / VoIP Sicherheit des Betriebes Betriebsverfahren / Dokumentation Systemkapazitätsplanung Viren- und Malwareschutz Vulnerability und Patch Management Datensicherung Business Continuity Management BCM Planungsprozess für das BCM Krisenmanagement Outsourcing Spezifische Sicherheitsanforderungen an den Leistungserbringer 24 5 Verantwortlichkeiten Spitalleitung Verantwortliche der einzelnen Sicherheitsteilbereiche Datenschutzbeauftragter IT-Sicherheitsbeauftragter Krisenstab Linienvorgesetzte Mitarbeitende Objekteigner Abteilung Informatik 26 6 Anhang A: Inventarisierung der Schutzobjekte Inventarisierung der Schutzobjekte Bildung von Schutzobjektgruppen Zuordnung zu Schutzobjektarten Klassifizierung Unterhalt und Pflege 27 7 Anhang B: Risikomanagement Phase 1: Kontext-Feststellung / Abgrenzung Abgrenzung / Identifikation des Untersuchungsgebietes Gefahrenliste / Katalogisierung Phase 2: Risikoanalyse Identifikation der Risiken Bewertung der Risiken Bewertung / Berechnung der Risiken Darstellung des Risikoniveaus / Risikoportfolio Phase 3: Risikobehandlung Risk Treatment Plan Festlegung von Massnahmen Umsetzung der Massnahmen Ermittlung und Übernahme von Restrisiken 35 Weisung Informatiksicherheit Inhalt Seite 2/3

4 7.4 Phase 4: Risikoüberwachung 35 Änderungsprotokoll Version, Datum Status Autor Freigabe Beschreibung 0.1, Entwurf Swiss Infosec AG - Finale Version 1.0, Entscheid Arbeitsgruppe Beschlossen durch Spitalleitung Abzulösende Dokumente Folgendes Dokument des KSB kann abgelöst werden bzw. wurde u.e. ausreichend in die Weisung Informatiksicherheit integriert: Dokumente des KSB Passwort Richtlinien des KSB (Richtlinien für den Umgang mit Passwörtern) vom Aufgenommen in bzw. abgelöst durch Weisung Informatiksicherheit (und Benutzerweisung) Weisung Informatiksicherheit Inhalt Seite 3/3

5 Weisung Informatiksicherheit 1 Einführung 1.1 Zweck und Umfang Die vorliegende Weisung definiert Vorgaben für die Informatiksicherheit innerhalb der Kantonsspital Baden AG (nachfolgend KSB genannt). Da die Informatiksicherheit einen wesentlichen Teil der Gesamtsicherheit der so genannten Integralen Sicherheit des KSB darstellt, werden auch die Schnittstellen und Abhängigkeiten zu übergeordneten Sicherheitsprozessen aufgezeigt. Die Weisung besteht aus folgenden Bereichen: In Kap. 2 wird das Verhältnis der Informatiksicherheit zur Integralen Sicherheit dargestellt, in Kap. 3 werden die unternehmensweiten Sicherheitsprozesse, die auch für die Informatiksicherheit relevant sind, definiert, in Kap. 4 werden die eigentlichen Anforderungen an die Informatiksicherheit festgelegt und in Kap. 5 die wichtigsten Verantwortlichkeiten und Funktionen im Zusammenhang mit der Sicherheit betrachtet. Weiterführende Informationen werden in Kap. 6 und 7 als Anhänge geführt. 1.2 Geltungsbereich Die Weisung Informatiksicherheit gilt für alle Mitarbeitenden der KSB. Sie enthält Sicherheitsvorgaben für alle Informatiksysteme und den damit bearbeiteten Informationen. Die Sicherheit umfasst die Entwicklung, Beschaffung, Betrieb, Wartung und Entsorgung von Systemen, Applikationen und Netzwerkkomponenten sowie die elektronische Bearbeitung, Speicherung und Übertragung von Informationen, ihre Aufbewahrung und Vernichtung. Die Abteilung Informatik sowie die zuständigen Objekteigner und Prozessverantwortlichen sind für die Umsetzung der informatikspezifischen Vorgaben gemäss Kap. 4 verantwortlich und werden dabei von den Departementsleitern unterstützt. Der IT-Sicherheitsbeauftragte (IT-Sibe) ist von der Spitalleitung für die Beratung, Unterstützung und Kontrolle im Bereich der Informatiksicherheit eingesetzt. Er ist im Auftrag der Spitalleitung für den Aufbau und Betrieb der Sicherheitsprozesse gemäss Kap. 3 verantwortlich, die von den Departementsleitern umzusetzen sind. Aufgrund der Schnittstellen zur Integralen Sicherheit legt die Spitalleitung fest, in welchem Geltungsbereich (bzw. in welchen Sicherheitsbereichen) die einzelnen Vorgaben Gültigkeit haben. Entsprechend sind die in der Weisung verwendeten Begriffe Sicherheit / Security und Informationssicherheit an diesen Geltungsbereich anzupassen. Für diese Weisung trägt der von der Spitalleitung ernannte IT-Sibe des KSB die Dokumentenverantwortung. 1.3 Definitionen und Abkürzungen Die folgenden Definitionen und Abkürzungen werden in der Weisung verwendet. Definition / Abkürzung Business Continuity Management BCM Beschreibung Business Continuity Management ist der Betrieb eines leistungsfähigen Notfall- und Krisenmanagements zwecks systematischer Vorbereitung auf die Bewältigung von Schadenereignissen, so dass wichtige Geschäftsprozesse in Notfällen nicht oder nur temporär unterbrochen werden und die wirtschaftliche Existenz trotz Schadenereignis gesichert bleibt. Weisung Informatiksicherheit Seite 1/35

6 Definition / Abkürzung Datensammlung Datenschutz Datenschutzbeauftragter Exception Management Incident Informatikmittel bzw. Informatiksystem Informatiksicherheit Informationsschutz Informationssicherheit Integrale Sicherheit Integrität Inventarisierung ISO/IEC Beschreibung Unter Datensammlung ist jeder Bestand von Personendaten über mehr als eine Person zu verstehen, der so aufgebaut ist, dass die Daten nach betroffenen (natürlichen und juristischen) Personen erschliessbar sind, z.b. über Namen, Mitarbeiter- oder andere Ordnungsnummern. Beispiele von Datensammlungen sind: Karteien, Archive, Listen, Adressbestände, usw. Datenschutz bedeutet die Wahrung der Persönlichkeitsrechte von natürlichen und juristischen Personen bei der Bearbeitung von Personendaten. Weitere Begriffe im Zusammenhang mit Datenschutz sind der Datenschutzweisung zu entnehmen. Datenschutzverantwortliche Person des KSB, die bei Fragen und zur Unterstützung betreffend Datenschutz kontaktiert werden kann. Seine Aufgaben sind in der Datenschutzweisung definiert. Sicherheitsprozess. Ausnahme-Management bzw. Ausnahmen von Sicherheitsvorgaben. Ausnahmen und Abweichungen von geltenden Sicherheitsvorgaben sind beim Linienvorgesetzten zu beantragen. Siehe Security Incident. Überbegriff für alle Geräte und Dienste, die der elektronischen Verarbeitung, Speicherung und Übermittlung von Informationen dienen, wie Computersysteme, Applikationen, Software, Peripheriegeräte, Netz-Infrastruktur, Netzwerkkomponenten, etc. Informatiksystem wird auch spezifisch für Client- und Serversysteme verwendet. Zu Informatikmitteln im Geltungsbereich der Benutzerweisung gehören auch Handy, PDA, Mobiltelefon / Smartphone, USB-Stick, CD, DVD, Backupmedien. Informatiksicherheit beschäftigt sich ausschliesslich mit elektronisch bearbeiteten und gespeicherten Informationen und den daraus resultierenden technischen, organisatorischen und personellen Massnahmen zur Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Daten. Unter Informationsschutz wird der Schutz der Vertraulichkeit von Informationen, unabhängig von der Art ihrer Darstellung und Speicherung, verstanden. Die Informationssicherheit hat die Vertraulichkeit, die Verfügbarkeit und die Integrität aller Informationen zu gewährleisten. Teilbereiche der Informationssicherheit sind der Informationsschutz, der Datenschutz und die IT Sicherheit. Zusammenschluss aller einzelnen Sicherheitsteilbereiche im Sinne der Gesamtsicherheit. Die Integrität ist dann gewährleistet, wenn nur berechtigte Subjekte (Mensch oder System) ein Objekt (System, Funktion oder Datenbestände) zu berechtigtem Zweck korrekt bearbeiten. Sicherheitsprozess. Erhebung und Erfassung der Schutzobjekte im Schutzobjektinventar. ISO/IEC 27001:2005: "Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen. Darin wird das Informationssicherheitsmanagementsystem (ISMS) dargestellt, das dazu dient, die Informationssicherheit eines Unternehmens dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern. Weisung Informatiksicherheit Seite 2/35

7 Definition / Abkürzung ISO/IEC ISO/IEC IT-Sicherheitsbeauftragter IT- Sibe Klassifizierung Klassifizierungskriterien Klassifizierungsstufe Krisenmanagement Notfall Objekteigner Personendaten Risikoanalyse Risikomanagement Risikoübernahme, aktive Schutzobjekt Schutzobjektinventar Security Incident Beschreibung ISO/IEC 27002:2005: Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management", das Controls im Sinne von Massnahmenempfehlungen enthält. ISO 27005:2008: Information Technology, Security Techniques, Information Security Risk Management. Verantwortlicher des KSB für Informationssicherheit, Informatiksicherheit und Informationsschutz. Sicherheitsprozess. Beurteilung der Sicherheitsrelevanz eines Schutzobjektes. Merkmale, welche die Einstufung (Klassifizierungsstufe) eines Schutzobjektes ermöglichen. Entspricht die Beurteilung der Sicherheit eines Schutzobjektes bezogen auf ein Klassifizierungskriterium. Aufgabe des Krisenstabes, um mit vorbereiteten Massnahmen Notfälle zu beheben und die Geschäftsaktivitäten soweit möglich aufrechtzuerhalten. Ereignis, das den Geschäftsgang des KSB in kritischem Masse beeinträchtigt und nicht innerhalb der normalen Betriebsorganisation korrigiert werden kann. Tragen die Verantwortung für die Klassifizierung, Inventarisierung und den angemessenen Schutz der ihnen zugewiesenen Schutzobjekte. Personendaten sind Angaben über eine bestimmte oder bestimmbare natürliche oder juristische Person. Methodische und systematische Analyse und Kontrolle der Risiken mit dem Ziel der Verringerung der Häufigkeit und Schwere von unfallartigen Schäden und Verlusten. Sicherheitsprozess. Einheitliches Verfahren zur Identifizierung, Beurteilung, Behandlung, Kontrolle und Übernahme von Risiken. Risiken, die weder ausgeschlossen, noch versichert werden können oder sollen, werden von einem Unternehmen bewusst eingegangen. Schutzobjekte sind Vermögenswerte, die es im Interesse des KSB zu schützen gilt. Dazu gehören Informationen / Datensammlungen, Applikationen, Systeme, Netzwerke, Räume und Gebäude. Inventar sämtlicher Schutzobjekte. Sicherheitsvorfälle. Verstösse gegen Weisungen und Sicherheitsvorgaben des KSB oder sicherheitsrelevante Ereignisse, die dem KSB einen finanziellen, materiellen oder Image-relevanten Schaden verursacht haben oder einen solchen beinahe verursacht hätten. Security Incident Management Sicherheitsprozess. Security Incident Management werden mindestens die Sicherheitsvorfälle bezüglich Informatiksicherheit (je nach definiertem Geltungsbereich auch bzgl. Integraler Sicherheit) behandelt. Security Reporting Security Sign-Off Sicherheitsprozess. Bedarf Bericht zur Sicherheit und zum Datenschutz zuhanden der Spitalleitung, erstellt durch IT-Sibe und Datenschutzbeauftragter. Sicherheitsprozess. Abnahmeverfahren betreffend Beurteilung und Realisierung der Sicherheit in Projekten, bei Vorhaben und neuen Informatiksystemen. Weisung Informatiksicherheit Seite 3/35

8 Definition / Abkürzung Sensibilisierung Sicherheitsaudit Sicherheitsprozess Verfügbarkeit Vertraulichkeit Beschreibung Bewusstsein, Aufmerksamkeit, Bereitschaft zur Wahrnehmung im Zusammenhang mit Sicherheit Sicherheitsprozess. Überprüfung der Sicherheit auf Lücken, unwirksame Massnahmen, etc. im Rahmen von interne und externe Audits sowie Sicherheitskontrollen. Übergeordneter genereller Prozess, der grundsätzlich auf alle Sicherheitsbereiche anwendbar ist. (Die dazu definierten Anforderungen können auch in einen bestehenden Prozess integriert werden.) Die Verfügbarkeit ist gewährleistet, wenn die berechtigten Subjekte (Mensch oder System) dauernd innerhalb der gemeinsam als notwendig definierten Frist auf die zur Durchführung ihrer Aufgaben benötigten Objekte (System, Funktion oder Datenbestände) zugreifen können. Die Vertraulichkeit ist dann gewährleistet, wenn als schutzwürdig definierte Objekte (System, Funktion oder Datenbestände) nur berechtigten Subjekten (Mensch, System oder Funktion) offenbart werden. 1.4 Fragen und Meldungen zur Informatiksicherheit Bestehen Unklarheiten bei der Umsetzung der vorliegenden Weisung, kann der Mitarbeitende den IT- Sicherheitsbeauftragten des KSB kontaktieren. Der IT-Sibe ist die zentrale Anlaufstelle für Fragen der Informatiksicherheit. Mitarbeitende, die geltende Sicherheitsvorgaben nicht einhalten können, melden sich bei ihrem Linienvorgesetzten. Der Prozess für Ausnahmen von Sicherheitsvorgaben ist in Kap. 3.7 geregelt. 1.5 Überwachung und Auditing Die Erfüllung der intern festgelegten Sicherheitsbestimmungen wird durch Sicherheitskontrollen, Systemüberwachungen sowie durch regelmässige interne und externe Audits überprüft. Weisung Informatiksicherheit Seite 4/35

9 2 Informatiksicherheit Informatiksicherheit gewährleistet die Sicherheit aller Informatikmittel des KSB und somit den Schutz der Informatiksysteme, Applikationen, Netz-Infrastruktur sowie der elektronisch gespeicherten, bearbeiteten und übertragenen Informationen. Informatiksicherheit ist ein wesentlicher Faktor für die ordnungsgemässe und sichere Erbringung der Dienstleistungen des KSB. 2.1 Informatiksicherheit als Teil der Informationssicherheit Informationssicherheit dient, ungeachtet der Art der Informationsdarstellung und -speicherung, dem angemessenen Schutz der durch das KSB bearbeiteten Informationen. Informationssicherheit gliedert sich in die Sicherheitsbereiche Informatiksicherheit, Datenschutz, Informationsschutz und Archivierung. Informationen, die dem Datenschutz oder der Schweigepflicht unterliegen, sind dabei speziell zu schützen Informationsschutz Informationsschutz bedeutet den Schutz der Vertraulichkeit von Informationen. Diese werden entsprechend ihrer Bedeutung klassifiziert und geschützt. Die Mitarbeitenden werden bezüglich des korrekten Umgangs mit diesen Daten informiert und angehalten Datenschutz Das Hauptziel des Datenschutzes ist der Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten. Aus diesem Hauptziel lassen sich die folgenden drei Teilzielsetzungen ableiten: Restriktive Verarbeitung personenbezogener Daten nach dem Gesichtspunkt des Datenschutzes. Transparenz und Kontrollierbarkeit für interne und externe Kontrollinstanzen. Transparenz und Kontrollierbarkeit (der Daten) für die Betroffenen Archivierung Die Archivierung gewährleistet die gesetzeskonforme und revisionssichere Langzeitaufbewahrung. Sie beinhaltet die systematische Erfassung, Ordnung und Verwaltung von Informationen, die nicht für den unmittelbaren Geschäftsgang benötigt, aber längerfristig aufbewahrt werden müssen. 2.2 Informationssicherheit als Teil der Integralen Sicherheit Integrale Sicherheit beinhaltet die Gesamtsicherheit des KSB und besteht aus der Informationssicherheit, der physischen Sicherheit, der Arbeitssicherheit und dem Krisenmanagement, das auch das Business Continuity Management (die Geschäftskontinuität) umfasst. Je nach Bedarf ernennt die Spitalleitung für diese Sicherheitsbereiche weitere Sicherheitsbeauftragte Physische Sicherheit Der Sicherheitsbereich Physische Sicherheit ist für Gebäudesicherung und Gebäudeschutz zuständig und sorgt für den autorisierten Zugang zu den Gebäuden und Räumlichkeiten des KSB und damit für den Schutz vor unberechtigten Zutritten. Sicherheitsmassnahmen werden individuell pro Objekt und Standort mittels geltender Sicherheitsstandards, Risikoanalysen und Sicherheitskonzepten definiert Arbeitssicherheit Der Sicherheitsbereich Arbeitssicherheit gewährleistet die Unversehrtheit aller Mitarbeitenden bei der Erfüllung ihrer Tätigkeit für das KSB. Zur Erfüllung der Arbeitssicherheit und des Gesundheitsschutzes sind die relevanten Gesetze, Sicherheitsvorschriften, Normen und Unfallverhütungsvorschriften umzusetzen und einzuhalten. Weisung Informatiksicherheit Seite 5/35

10 2.2.3 Krisenmanagement Der Sicherheitsbereich Krisenmanagement stellt die schnelle Alarmierung, die geordnete Führung in ausserordentlichen Situationen und die Weiterführung der Geschäftstätigkeit (Business Continuity Management) in einem Notfall sicher. Dazu wird ein Krisenstab eingesetzt. 3 Grundlegende Sicherheitsprozesse Da die Informatiksicherheit Schnittstellen zu allen oben aufgeführten Sicherheitsbereichen aufweist, sind die folgenden Prozesse grundsätzlich auf alle Sicherheitsbereiche anwendbar. Die Spitalleitung legt ihren Geltungsbereich gemäss Kap. 1.2 fest. Die Sicherheitsprozesse werden vom IT-Sibe zentral geführt, überwacht und laufend verbessert. 3.1 Inventarisierung und Klassifizierung der Schutzobjekte Schutzobjekte sind Vermögenswerte, die es im Interesse des KSB zu schützen gilt. Dazu gehören Informationen / Datensammlungen, Applikationen, Systeme, Netzwerke, Räume und Gebäude. Die Inventarisierung und Klassifizierung der einzelnen Schutzobjekte ist Aufgabe der zuständigen Objekteigner, die dabei durch den IT-Sibe unterstützt werden. Der IT-Sibe ist Eigner des Schutzobjektinventars. Basierend auf der Klassifizierung legt die Abteilung Informatik (bzw. die zuständigen Objekteigner) in Zusammenarbeit mit dem IT-Sibe die erforderlichen Massnahmen fest. Die Inventarisierung der Schutzobjekte bildet die Basis für eine umfassende Sicherheit innerhalb des KSB Objekteigner Der Objekteigner ist für den angemessenen Schutz der ihm zugewiesenen Objekte verantwortlich. Er ist die zuständige Ansprechperson für fachliche Fragen im Zusammenhang mit dem Schutz der ihm zugewiesenen Schutzobjekte. So ist der Dateneigner befugt, über die inhaltliche Richtigkeit (Daten- Integrität), Weitergabe, Zugriffsrechte, Übergabe an die Archivierung, Freigabe und Löschung der Daten zu entscheiden. Folgende Objekteigner werden definiert: Dateneigner ist für Informationsbestände wie Datensammlungen oder Datenbanken verantwortlich, bei unstrukturierten Daten ist der Owner des jeweiligen Ordner-Verzeichnis-Baumes als Dateneigner zu definieren. Applikationsverantwortlicher: Jeder Applikation wird ein technischer Applikationsverantwortlicher innerhalb der Abteilung Informatik und ein fachlicher Applikationsverantwortlicher aus dem Fachbereich zugeordnet. Systemverantwortlicher: Verantwortliche Person für Systeme, Clients, Peripheriegeräte, Netzwerkkomponenten innerhalb der Abteilung Informatik. Netzwerkverantwortlicher: Verantwortlicher für Netzwerke oder Netzwerksegmente innerhalb der Abteilung Informatik. Infrastrukturverantwortlicher für Räumlichkeiten und Gebäude des KSB Klassifizierung Die Klassifizierung der Schutzobjekte ist Aufgabe der Objekteigner. Der IT-Sibe unterstützt sie und kontrolliert die Klassifizierung der Schutzobjekte Vertraulichkeit Das KSB unterscheidet folgende drei Stufen: Weisung Informatiksicherheit Seite 6/35

11 ÖFFENTLICH KSB-INTERN Als ÖFFENTLICH zu bezeichnen und zu behandeln sind Informationen, die nach ihrem Inhalt und ihrem Zweck zur Veröffentlichung bestimmt sind. Sie sind der Allgemeinheit zugänglich (z.b. Jahresbericht nach Veröffentlichung) oder ausdrücklich für einen externen Adressatenkreis (Internet) bestimmt. Als KSB-INTERN gelten Informationen, deren Inhalt nicht für die Öffentlichkeit bestimmt sind und deshalb nur intern den Mitarbeitenden oder an Dritte nach Unterzeichnung einer Geheimhaltungserklärung zugänglich gemacht werden sollen. Sie werden grundsätzlich nicht speziell gekennzeichnet und weisen keinen Klassifizierungsvermerk auf. Beispiele für Dokumente mit der Klassifizierung KSB-INTERN sind Anweisungen, Richtlinien, Rundschreiben. KSB- VERTRAULICH Als «KSB-VERTRAULICH» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte den Geschäftsinteressen von KSB Schaden zufügen kann. Ihr Bekanntwerden würde schützenswerte Interessen von KSB stark beeinträchtigen. Diese Informationen sind vom Dateneigner als KSB-VERTRAULICH zu klassifizieren, wenn sie nur einem kleinen, genau definierten Personenkreis zur Kenntnis gebracht werden dürfen. Jede KSB-VERTRAULICH klassifizierte Information muss eine Verteilerangabe enthalten. Beispiele für Dokumente mit der Klassifizierung KSB-VERTRAULICH sind strategische Planungen, Protokolle auf Verwaltungsrats- und Spitalleitungsstufe sowie Zugangsdaten. Regeln im Umgang mit klassifizierten Daten sind der Benutzerweisung zu entnehmen Datenschutzrelevanz Personenbezogene Informationen werden den folgenden Klassifizierungsstufen zugeteilt: Keine Datenschutzrelevanz D0 Geringe Datenschutzrelevanz D1 Erhöhte Datenschutzrelevanz D2 Keine datenschutzrechtliche Relevanz weisen Informationen auf, die keine Angaben zu bestimmten oder bestimmbaren juristischen und natürlichen Personen enthalten. Dieser Klassifizierungsstufe sind Informationen zuzuordnen, die Angaben zu bestimmten oder bestimmbaren Personen enthalten. Dieser Kategorie werden Informationen zugeordnet, die einzig Name, Vorname und Anschrift(en) enthalten und keinerlei weitere Informationen bspw. bezüglich Zweck der Bearbeitung, der Bezeichnung der Daten, usw. offenbaren. Dieser Schutzstufe sind Informationen zuzuordnen, die besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthalten Verfügbarkeit Zur Klassifizierung der Verfügbarkeit werden die Definitionen resp. Kennzahlen RTO (Recovery Time Objective) und RPO (Recovery Point Objective), die im Rahmen des Business Continuity Managements erhoben werden, übernommen Archivierung Als Archivierung wird die längerfristige Aufbewahrung von Informationen bezeichnet, die auf dem operationellen Speichersystem (z.b. Disk) oder in Papierform nicht mehr benötigt und deshalb auf Archivierungsmedien ausgelagert werden. Der Dateneigner legt die Aufbewahrungsdauer nach den gesetzlichen Vorgaben fest. Weisung Informatiksicherheit Seite 7/35

12 Keine Archivierung A1 Archiv A2 Archiv mit Ablaufdatums A3 Es bestehen keine internen oder externen Anforderungen an die Archivierung. Ein entsprechender Vermerk ist nicht anzubringen. Die Information wird mit Archiv klassifiziert, wenn die Aufbewahrungsdauer zehn Jahre betragen soll. Es ist ein Vermerk»ARCHIV«anzubringen. Sofern die gewünschte Archivierungsdauer nicht zehn Jahre beträgt, erfolgt die Klassifizierung mittels Angabe des Wortes Archiv: und der Angabe des jeweils gewünschten Ablaufdatums. Nach Ablauf dieses Datums kann die Information ohne Rückfrage entsorgt bzw. vernichtet werden. Es ist ein Vermerk»ARCHIV: DATUM«anzubringen, wobei das Datum das Ende der Archivdauer angibt (dd.mm.yyyy). Richtlinien hinsichtlich der Aufbewahrungszeit sowie zur Archivierung von Informationen und Anforderungen an Informationsträger und die Räume und Behältnisse, in denen sie aufbewahrt werden, werden vom Objekteigner in Zusammenarbeit mit der Abteilung Personal & Recht festgelegt. Durch die Dateneigner werden Aktenaufbewahrungspläne geführt. Es ist sicherzustellen, dass die Wiedereinspielung gespeicherter Informationen technisch realisierbar ist. Bei der Archivierung von Informationen sind die Anforderungen des Zutritts- und des Zugriffsschutzes zu berücksichtigen. 3.2 Sicherheit in Projekten (Security Sign-Off) Der Security Sign-Off-Prozess regelt, dass Projekte (inklusive Vorhaben und neue Informatiksysteme) auf mögliche Sicherheitsrisiken geprüft und entsprechende Massnahmen ergriffen werden. Bei ihrer Beantragung entscheidet die Spitalleitung, ob eine Sicherheitsrelevanz gegeben ist und ob bestimmte Sicherheitsauflagen zu erfüllen sind. Falls ja, muss die Sicherheit nach jeder Projektphase durch den IT-Sibe beurteilt und abgenommen werden. Beim Security Sign-Off-Prozess sind folgende Anforderungen zu beachten: Bei der Beantragung hat der Projektleiter (Antragsteller) in Zusammenarbeit mit dem IT-Sibe die Risiken und Sicherheitsanforderungen der Projektlieferung zu beurteilen und aufzuzeigen. Der Projektleiter hat die Projekt- und Betriebskosten im Zusammenhang mit der Sicherheit im Budget zu berücksichtigen. Der Projektleiter ist verpflichtet, Sicherheitsauflagen zu berücksichtigen und Sicherheitsanforderungen zu implementieren. Kann er geltende Vorgaben des KSB nicht einhalten, hat er sie gemäss Prozess (als Ausnahmen von Sicherheitsvorgaben) zu beantragen. Der IT-Sibe begleitet das Projekt und kontrolliert die Umsetzung der Sicherheitsanforderungen. Der IT-Sibe kontrolliert die Projektlieferung am Ende jeder Projektphase auf ihre Sicherheit und Risiken und gibt sie für die nächste Phase frei (Sign-Off). Vor der Übergabe an den Betrieb bestätigen Projektleiter und IT-Sibe die Sicherheit der Projektlieferung. 3.3 Sicherheit beim Change Management Sämtliche Änderungen oder Erweiterungen an Informatiksystemen, Austausch von Komponenten und Releasewechsel sind sorgfältig zu planen und vorzunehmen. Die Planung umfasst die Vorbereitung der Tätigkeiten, inklusive Risikobeurteilung und Fallback- Überlegungen, die Durchführung der Änderung einschliesslich des Test- und Abnahmeprozedere und eine allfällige Nachbearbeitung Alle Changes sind nachvollziehbar zu dokumentieren Sicherheitsrelevante Changes sind vor Freigabe dem IT-Sibe zu unterbreiten, der den Change Weisung Informatiksicherheit Seite 8/35

13 hinsichtlich Informatiksicherheit bewilligt. (Für Routine-Changes genügt eine einmalige Freigabe durch den IT-Sibe.) Die definitive Freigabe des Changes erfolgt durch den entsprechenden Objekteigner. Im Rahmen des Abnahmeverfahrens ist zu prüfen, ob die Anforderungen an die Informatiksicherheit ausreichend berücksichtigt wurden. Auch wenn Changes durch Externe vorgenommen werden, liegt die Verantwortung für diese beim KSB und muss durch eine zu bezeichnende Person wahrgenommen werden. 3.4 Risikomanagement Das Risikomanagement innerhalb des KSB erfolgt nach einem einheitlichen Verfahren. Risikoanalysen werden im Rahmen von Prozessen (bspw. im Projektmanagement), bei der Identifizierung neuer Risiken und in definierten zeitlichen Abständen durchgeführt. Verantwortlich für das Management der Risiken beim Betrieb der Informatikmittel ist die Abteilung Informatik (bzw. die zuständigen Objekteigner). Sie legt, ggfs. in Zusammenarbeit mit dem IT-Sibe, die erforderlichen Massnahmen fest. Der IT-Sibe führt Risikobeurteilungen in periodischen Abständen durch. Die Risiken werden anhand ihrer Auswirkungen und Eintrittswahrscheinlichkeit bewertet. Der IT-Sibe führt den Risikohandlungsplan (Risk Treatment Plan). Darin sind die zu behandelnden Risiken mit den zugeordneten Massnahmen, Terminen und den für die Umsetzung verantwortlichen Funktionen sowie die übernommenen Restrisiken aufgeführt. Der Risikobehandlungsplan wird durch den IT-Sibe periodisch geprüft. Der IT-Sibe meldet Restrisiken der Spitalleitung. Wenn gegen ein Risiko keine oder nur beschränkte Massnahmen ergriffen werden, so wird dies in einem schriftlichen Entscheid (Sicherheitsbericht) festgehalten. Restrisiken müssen von der Spitalleitung formell übernommen und getragen werden. Details zum Risikomanagement des KSB sind Kap. 7 zu entnehmen. 3.5 Sicherheitsaudits Die Sicherheit innerhalb der KSB wird regelmässig durch interne und externe Audits sowie Sicherheitskontrollen überprüft. Die Einhaltung der geltenden Vorgaben, der technischen Standards und der Massnahmen wird kontrolliert. Dadurch werden Sicherheitslücken und -defizite sowie Korrektur- und Verbesserungsmassnahmen identifiziert. Sicherheitsaudits und Sicherheitskontrollen werden von der Linienorganisation in Auftrag gegeben. Die Ergebnisse sind dem IT-Sibe zu melden, der seinerseits an die Spitalleitung rapportiert Durchführung von Audits Die einzelnen Prozessschritte für Audits stellen sich wie folgt dar: 1. Definition des Scopes. Welcher Bereich wird geprüft, wo liegt der Fokus des Audits? 2. Die Verantwortlichkeiten für die Planung und Durchführung des Audits sind zu definieren. 3. Bei externen Audits ist zu definieren, welche Dokumentation an den externen Auditor abgegeben oder in welche Dokumentationen vor Ort Einsicht gewährt wird. 4. Die anzuwendenden Methoden und Kriterien sind festzulegen. 5. Erstellen eines detaillierten Audit-Programms unter Berücksichtigung der definierten Prüfziele und der Ergebnisse von vorhergegangenen Audits. 6. Festlegen, in welcher Form und Umfang das Ergebnis erwartet wird. 7. Durchführung des Audits. 8. Verfassen des Auditberichts Weisung Informatiksicherheit Seite 9/35

14 3.5.2 Umsetzung von Massnahmen Massnahmen, die aufgrund der Auditresultate und Sicherheitskontrollen definiert wurden, sind durch die zuständige Linienorganisation freizugeben. Sie werden wie folgt umgesetzt: 1. Die freigegebenen Massnahmen sind formell zu definieren und zu planen. 2. Die Verantwortlichkeiten für jede Massnahme sind zuzuweisen. 3. Die Massnahmen sind zusammen mit den verantwortlichen Personen zu terminieren und die Ressourcen für deren Umsetzung zu bestimmen. 4. Die notwendigen, flankierenden Massnahmen, wie interne Kommunikation, Change Management, etc., sind festzulegen. 5. Massnahmen sind durch die definierten Personen oder Teams umzusetzen. 6. Nach der Umsetzung der Massnahmen sind diese, z.b. mittels Nachaudit, durch den IT-Sibe zu kontrollieren. 7. Der Schlussbericht an den IT-Sibe bildet den Abschluss. Er entscheidet, inwieweit die Spitalleitung zu informieren ist. 3.6 Behandlung von Sicherheitsvorfällen (Security Incident Management) Für die Behandlung von Sicherheitsvorfällen ist der IT-Sibe verantwortlich, der je nach Vorfall an die die Spitalleitung bzw. den Krisenstab eskalieren kann. Als Sicherheitsvorfälle gelten Verstösse gegen Weisungen und Sicherheitsvorgaben des KSB oder sicherheitsrelevante Ereignisse, die dem KSB einen finanziellen, materiellen oder Image-relevanten Schaden verursacht haben oder einen solchen beinahe verursacht hätten. Im Security Incident Management werden mindestens die Sicherheitsvorfälle bezüglich Informatiksicherheit behandelt. Weitere Sicherheitsbereiche können bei Bedarf denselben Prozess nutzen und ihre Sicherheitsvorfälle zentral dokumentieren. Der Entscheid diesbezüglich liegt bei der Spitalleitung Meldestelle für Incidents / Security Incidents Mitarbeitende melden Incidents im Bereich Informatik dem Informatik-Support. Der Informatik-Support nimmt die Meldungen entgegen und prüft sie im Rahmen der Beurteilung auf ihre Sicherheitsrelevanz. Der Informatik-Support muss entscheiden, wann der IT-Sibe zu kontaktieren ist. Übrige Sicherheitsvorfälle oder Feststellungen, die sich zu einem Sicherheitsvorfall entwickeln können, melden Mitarbeitende dem IT-Sibe Prozess und Verantwortlichkeiten Der IT-Sibe erfasst und analysiert die Meldung und entscheidet über allfällige Sofortmassnahmen. Je nach Schwere und Auswirkung des Vorfalls sowie bei Eskalation informiert er die Spitalleitung, damit diese prüft, ob eine Krise vorliegt und der Krisenstab aufzubieten ist. Falls keine Eskalation nötig ist, hat der IT-Sibe Massnahmen zu definieren und die zuständigen Stellen (in der Regel die betroffenen Objekteigner) mit der Umsetzung zu beauftragen, die er nach Bedarf unterstützt. Die Objekteigner dokumentieren die Umsetzung der Massnahmen und die Entwicklung des Vorfalls. Falls möglich, wird die Behebung im Rahmen des Change Managements vorgenommen. Bei Abschluss haben sie einen Bericht zum Sicherheitsvorfall zu erstellen und an den IT-Sibe zu liefern. Der IT-Sibe überprüft die Erledigung der Massnahmen und den Status des Vorfalls regelmässig. Er wertet den Bericht aus und untersucht die Risiken im Zusammenhang mit dem Sicherheitsvorfall. Er definiert, falls nötig, Korrektur- und Verbesserungsmassnahmen. Risiken und Massnahmen werden in den Risk Treatment Plan aufgenommen. Je nach Schwere und Auswirkung des Sicherheitsvorfalles rapportiert der IT-Sibe an die Spitalleitung. Mindestens jedoch im Rahmen des Reportings ist die Spitalleitung über Sicherheitsvorfälle im Berichtszeitraum zu informieren. Weisung Informatiksicherheit Seite 10/35

15 3.6.3 Sicherstellung von Beweisen Wenn der konkrete Verdacht besteht, dass eine Straftat oder ein Missbrauch mittels Informatiksystemen begangen wurde, so kann die Spitalleitung die entsprechenden Beweise, bestehend aus den Protokollierungen und eventuellen Backups, durch die Abteilung Informatik sichern lassen. Ein Sicherheitsvorfall kann auch Aktionen bzw. rechtliche Schritte gegen eine Person oder Organisation zur Folge haben. Aus diesem Grund müssen die gesammelten und aufbewahrten Beweise die erforderliche Beweiskraft aufweisen. 3.7 Ausnahmen von Sicherheitsvorgaben (Exception Management) Sämtliche Ausnahmen und Abweichungen von geltenden Sicherheitsvorgaben sind beim zuständigen Linienvorgesetzten zu beantragen. Der Antragsteller begründet, warum die Umsetzung der Sicherheitsvorgabe nicht sinnvoll oder wirtschaftlich ist. Das resultierende Risiko bewertet er und definiert mögliche Ersatzmassnahmen. Der Linienvorgesetzte hat den Antrag an den IT-Sibe weiterzuleiten. Dieser beurteilt den Antrag und gibt eine Empfehlung dazu ab. Er leitet den Antrag an den zuständigen Linienvorgesetzten weiter. Die verantwortliche Linienorganisation entscheidet über die Freigabe entsprechend der Kompetenzregelung des KSB. Mit der Bewilligung des Antrags werden auch mögliche Risiken, die daraus resultieren, formal und nachvollziehbar übernommen. Die Spitalleitung kann die Freigabe von Anträgen für definierte und standardisierte Ausnahmen (bspw. Abweichung von Passwortvorgaben für bestimmte Systeme) an den IT-Sibe delegieren. Eine Bewilligung darf nur zeitlich begrenzt, bspw. während der Laufzeit eines Projektes oder für maximal 1 Jahr, ausgesprochen werden. Bei neuen Projektlieferungen kann sie ggf. endgültig erfolgen. Eine Bewilligung kann auch mit Auflagen verbunden sein, die zuerst zu erfüllen sind, bevor die Ausnahme wirksam wird. Nach der Bewilligung wird der Antragsteller über den Entscheid informiert. Der IT-Sibe dokumentiert die Ausnahme und die Entscheidungen nachvollziehbar. Er führt eine Liste mit den bewilligten / abgelehnten Ausnahmen und überwacht deren periodische Neubeurteilung. Bei Ablauf der Ausnahmebewilligung muss diese vom Antragsteller neu beantragt werden. Der IT-Sibe nimmt die Risiken und allfällige Massnahmen in den Risk Treatment Plan auf. Die Ausnahmeliste mit den bewilligten und abgelehnten Anträgen ist wie folgt: Ausnahmeliste Ausnahmeliste Beantragung Beurteilung Entscheidung Nr. Antragsteller Antrag (inkl. Begründung) Vorgabe Beurteilung Sibe Risiko E S durch IT- Entscheid Datum Begründung Zeitliche Beschränkung 3.8 Security Reporting IT-Sibe und Datenschutzbeauftragter erstatten der Spitalleitung jährlich oder bei Bedarf Bericht zur Sicherheit und zum Datenschutz innerhalb des KSB. Der Bericht beinhaltet mindestens folgende Punkte: Ergebnisse durchgeführter Audits und Sicherheitskontrollen Anzahl Sicherheitsvorfälle, mit dem jeweiligen Status der Behandlung Definierte Massnahmen, inkl. Status der Umsetzung und Wirksamkeit Erteilte bzw. abgelehnte Ausnahmen von Sicherheitsvorgaben Weisung Informatiksicherheit Seite 11/35

16 3.9 Sensibilisierung / Ausbildung der Mitarbeitenden Die Linienorganisation ist mit Unterstützung durch den IT-Sibe für die Sensibilisierung und Ausbildung der Mitarbeitenden des KSB und ggf. von Dritten (Externe, Kunden) verantwortlich. Dabei arbeitet die Linie eng mit der Personalleitung (Abteilung Personal & Recht) des KSB zusammen. Dem Thema Awareness sowie der Aus- und Weiterbildung wird grosse Beachtung geschenkt. Für die Inhaltsvermittlung werden geeignete Methoden und Formen eingesetzt, die konkret auf die Sicherheitsthemen und das Zielpublikum zugeschnitten sind. Ziel ist es, ein sicheres Verhalten aller Mitarbeitenden zu fördern. Neue Mitarbeitende werden beim Eintritt im Rahmen des Eintrittsprozesses durch die Abteilung Personal & Recht über die einzuhaltenden Vorgaben bezüglich Sicherheit instruiert. 4 Informatik-Sicherheitsanforderungen Aufgabe der Informatiksicherheit ist der Schutz der elektronischen Informationen und der zu ihrer Bearbeitung notwendigen Systeme und Einrichtungen. Zur Gewährleistung der Informatiksicherheit gelten die nachfolgenden Anforderungen, die von der Abteilung Informatik bzw. den bezeichneten Stellen umzusetzen sind. 4.1 Verantwortung für Systemadministration/-verwaltung Um einen geordneten Betrieb der Informatiksysteme zu ermöglichen, werden Systemverantwortliche bestimmt. Diesen obliegt neben allgemeinen Administrationsarbeiten an den Systemen insbesondere die Benutzerverwaltung, einschliesslich der Verwaltung der Zugriffsrechte. Sie sind ebenfalls für die systemtechnische Umsetzung der Sicherheitsmassnahmen bei den von ihnen betreuten Informatiksystemen zuständig. Vorschriften und Verfahren Adäquate Richtlinien und Verfahren für die Systemadministration und -verwaltung müssen erstellt und durch den Leiter Informatik genehmigt werden. Alle durch ihre Tätigkeit mit Zugriffen auf Daten des KSB betroffenen Personen haben eine Kopie der genannten Richtlinien zu unterzeichnen und übernehmen damit direkt die Verantwortung für jeden Zugriff mit ihrer Benutzeridentifikation Privilegierte Benutzer Als privilegierte Benutzer werden Mitarbeitende des KSB bezeichnet, die über privilegierte Rechte verfügen. Es handelt sich dabei insbesondere um Anwendungs- und Systemverantwortliche bzw. Administratoren der Abteilung Informatik. Für alle privilegierten Benutzer gilt, dass sie alle geltenden Vorschriften einhalten und ihre weitgehenden Zugriffsberechtigungen mit der notwendigen Verantwortung und Sorgfalt verwenden. Die Linienvorgesetzten aller Stufen kontrollieren die Einhaltung der Vorgaben in ihrem Verantwortungsbereich Abgrenzung der Aufgaben, Kompetenzen und Verantwortungen Es ist sicherzustellen, dass zwischen den verschiedenen privilegierten Benutzern die Aufgaben, Kompetenzen und Verantwortungen so verteilt sind, dass es zu keinen Zuständigkeitsproblemen kommen kann (keine Überschneidungen/Lücken in der Aufgabenverteilung). Eine der Voraussetzungen dazu stellt die reibungslose Kommunikation zwischen den verschiedenen privilegierten Benutzern dar Einrichten unterschiedlicher Accounts Unter Berücksichtigung der Wirtschaftlichkeit ist sicherzustellen, dass für privilegierte Benutzer verschiedene Accounts zur Verfügung stehen (ein Account ausschliesslich für administrative Arbeiten, ein Account für allgemeine nicht administrative Tätigkeiten) Passwort-Weitergabe Jeder Stellvertreter erhält eine eigene Kennung, damit das Passwort des eigentlich privilegierten Benutzers im Vertretungsfall nicht weitergegeben werden muss. Es ist dem privilegierten Benutzer demnach untersagt, ihm anvertraute Passwörter oder anderweitige Zugangsinformationen weiterzugeben. Weisung Informatiksicherheit Seite 12/35

17 4.1.5 Benutzung von Passwort-Tools Die Benutzung von unterstützenden Tools zur Verwaltung von (Administratoren-) Passwörtern ist nur mit den durch das KSB zur Verfügung gestellten Mitteln bzw. Applikationen erlaubt. Solche Tools dürfen nicht auf privaten Geräten (PCs, Smartphones, etc.) eingesetzt werden. Der Einsatz eines Passwort-Tools muss vorgängig durch den Leiter Informatik genehmigt werden. Im Weiteren gelten folgende Bestimmungen: Master-Passwörter für Passwort-Tools sind auf eine sichere Art und Weise (bspw. in einem Tresor) zu hinterlegen. Master-Passwörter müssen komplex gewählt werden und mindestens 10 Zeichen lang sein, Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen enthalten. Passwort-Dateien dürfen nicht auf lokalen Laufwerken und Speichermedien gespeichert werden. Ausnahme bilden Backups, siehe nächsten Punkt. Von der verschlüsselten Passwort-Datei des Passwort-Tools ist regelmässig ein Backup auf einem externen Medium, wie bspw. einem USB-Stick, zu erstellen und an einem sicheren Ort aufzubewahren. 4.2 Beschaffung Es ist sicherzustellen, dass Informatikmittel vor der Integration in die produktive Umgebung mittels eines definierten Prozesses beschafft, getestet, freigegeben und der gesamte Prozess dokumentiert wird. Grössere Beschaffungen sind im Rahmen eines Projektes zu tätigen Hardening Informatikmittel des KSB sind vor ihrem Betrieb einem Hardening zu unterziehen. Dabei können die Hardening-Guidelines der Hersteller berücksichtigt werden. Jedes Informatikmittel ist einer Härtung (einem Hardening) zu unterziehen, bei der abhängig vom System mindestens folgende Sicherheitsvorkehrungen getroffen werden: unnötige, bzw. nicht ausdrücklich erforderliche Services werden deaktiviert und wenn möglich gelöscht resp. deinstalliert auf allen Systemen werden nur die benötigten Protokolle zugelassen bzw. aktiviert Nicht erlaubte Schnittstellen sind sofern möglich zu deaktivieren. vordefinierte Accounts, Initialpasswörter, Privilegien und Zugriffsrechte werden kontrolliert und allenfalls angepasst oder gelöscht temporäre Dateien sind beim Abmelden automatisch zu löschen Typenspezifische und vorgeschriebene Sicherheitseinstellungen gemäss Benutzerweisung sind vollständig zu implementieren wenn immer möglich sind die Sicherheitseinstellungen zentral zu verwalten Veränderungen der Sicherheitseinstellungen durch den Benutzer sind zu verhindern die Verwendung von ActiveX ist so zu steuern, dass nur erlaubte ActiveX-Komponenten installiert werden können die Systemzeiten sind synchron zu halten Standardfreigaben sind zu deaktivieren und die Möglichkeit der Erstellung von lokalen Freigaben auf Clients technisch verhindert wird Notebooks / Tablet Computer werden durch eine vollständige Diskverschlüsselung geschützt Mobiltelefon / Smartphone und mobile Speichermedien müssen, wenn Informationen, die dem Datenschutz oder der Schweigepflicht unterliegen, darauf gespeichert werden, durch Disk- oder File- Weisung Informatiksicherheit Seite 13/35

18 verschlüsselung geschützt werden Eine Antiviren-Software ist zu installieren User Access Control (UAC) ist zu aktivieren Freigabe und Bereitstellung der Informatikmittel Vor Inbetriebnahme sind die Informatikmittel im notwendigen Umfang zu testen und auf Schwachstellen zu prüfen, die Ergebnisse sind zu dokumentieren. Danach erfolgt die Freigabe durch die Abteilung Informatik, bei der die Informatikmittel im Inventar erfasst werden. Bearbeitung und Freigabe von Anträgen Die Abteilung Informatik stellt den Mitarbeitenden die zu ihrer Arbeit notwendigen Informatikmittel bereit. Anträge für zusätzliche Informatikmittel, Software, den Einsatz von privaten Informatikmitteln, die Verwendung von Informatikmittel des KSB durch Externe beurteilt und genehmigt sie nach Bedarf und beachtet dabei die Empfehlungen des Vorgesetzten des Antragsstellers. Gleiches gilt für Anträge betreffend Änderungen an der Konfiguration oder an Sicherheitseinstellungen, die nicht dem Standard entsprechen. 4.3 Zugriffsschutz Zur Sicherung der Informatiksysteme gegen unautorisierte Zugriffe, Schaden, Verlust oder Veränderungen sind Zugriffsschutzmassnahmen zu installieren. Diese unterliegen einer laufenden Überwachung. Verantwortlich für den Zugriffsschutz zeichnet die Abteilung Informatik. Der Zugriffsschutz umfasst im Minimum die folgenden Anforderungen: Anmeldung (Sign-on) mit eindeutiger Benutzer-Identifikation Verifizierung der Identität eines Benutzers (Authentisierung) Aufzeichnung (Logging) und Auswertung bzw. periodische Überprüfung sicherheitsrelevanter Informationen User Access Control Die Zugriffsrechte-Steuerung erfolgt zentral mittels Gruppen. Generell sind Gruppenrichtlinien detailliert zu dokumentieren und bilden die aktuellen Weisungen und Richtlinien ab Verfahren für die Vergabe von Benutzerrechten Es gilt ein formales Verfahren für die Definition von Benutzerkennungen und die Erteilung von Zugriffsrechten auf Informatiksysteme und Applikationen. Dieses Verfahren umfasst die Beantragung, Genehmigung (Freigabe), Erteilung, Überprüfung, Aufzeichnung und Rücknahme (Löschung) der Benutzerkennungen und Zugriffsrechte. Der Zugriff auf Informatiksysteme, Applikationen und Informationen wird ausschliesslich über dieses Verfahren gewährt Einrichten von User-Accounts Entsprechend ihren Berechtigungen sind für die Mitarbeitenden User-Accounts einzurichten. Das Einrichten von Gruppenaccounts ist sehr restritiv zu halten und muss aus betrieblichen Gründen absolut notwendig sein. Sie müssen durch den zuständigen Bereichsleiter der betreffenden Benutzer, den Leiter Informatik und den Datenschutzbeauftragten bewilligt werden. Beim Austritt eines Benutzers ist dessen Account sofort zu sperren. Weisung Informatiksicherheit Seite 14/35

19 4.3.4 Änderung voreingestellter Passwörter 1 Passwörter, die vom Hersteller voreingestellt wurden, sind nach der Installation des Systems umgehend zu ändern. Dies betrifft System- oder Anwendungssoftware Passwortvorgaben Die nachfolgenden Passwortvorgaben entsprechen den in der Benutzerweisung enthaltenen Regelungen zur Passwort Policy und sind wenn immer möglich technisch zu erzwingen. Können diese in Systemen oder Anwendungen gar nicht oder nur begrenzt umgesetzt werden, ist dies dem Leiter Informatik zu melden Einstellungen für das Windows-Login Folgende Einstellungen werden technisch in der KSB-Umgebung beim Anmelden auf der Windowsumgebung gesetzt. Sie gelten für alle Benutzer innerhalb des KSB und sollten möglichst für alle Applikationen übernommen werden. Windows-Login Maximales Kennwortalter Minimales Kennwortalter Minimale Kennwortlänge Kennwortchronik erzwingen Kontosperrungsschwelle Zurücksetzungsdauer des Kontosperrungszählers Kontosperrdauer 90 Tage 1 Tag 8 Zeichen 5 Kennwörter 5 Versuche 5 Minuten 10 Minuten Kennwort muss Komplexitätsvoraussetzungen entsprechen 3 der 4 Kategorien: Gross- und Kleinbuchstaben, Sonderzeichen und Ziffern (0 bis 9) Aktiviert Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern Deaktiviert Das automatische Einwählen in Anwendungen durch Speicherung des Passwortes (Bsp. Internet Explorer) ist zu deaktivieren. Die Passwörter sind im System verschlüsselt zu speichern. Passwort-Änderungen müssen von den jeweiligen Benutzern selbst durchgeführt werden können Sperrung der Benutzerkennung Die Sperre sollte nach fünf Fehlversuchen greifen und so lange bestehen bleiben, bis sie von einem Systemverwalter aufgehoben wird. Mitunter lässt sich zudem einstellen, nach welcher Zeitspanne ein Fehlversuch nicht mehr in die Zählung der Fehlversuche einbezogen wird. In Betracht kommen hier Werte ab 10 Minuten Zurücksetzen eines Benutzerpasswortes Beim Zurücksetzen eines Benutzerpasswortes durch die Hotline ist immer sicherzustellen, dass der Anrufer auch der Besitzer des Accounts ist Hinterlegen von Passwörtern Betriebswichtige Passwörter wie Administrator-Passwörter, Notfallpasswörter, Master-Passwörter für Passwort-Tools, etc. müssen in einem verschlossenen Umschlag in einem Tresor aufbewahrt werden Zugriffsrechte Über Zugriffsrechte wird geregelt, welcher Mitarbeitende im Rahmen seiner Funktion bevollmächtigt wird, Informatiksysteme, Applikationen und Informationen zu nutzen. Die Zugriffsrechte (z. B. Lesen, 1 Die nachfolgenden Regelungen (bis und mit Kap ) sind den Passwort Richtlinien des KSB (Richtlinien für den Umgang mit Passwörtern) vom entnommen. Gelbe Markierungen sind davon abweichende Regelungen bzw. Ergänzungen. Weisung Informatiksicherheit Seite 15/35

20 Schreiben, Ausführen) sind von der Funktion abhängig, die die Person wahrnimmt. Dabei werden immer nur so viele Zugriffsrechte vergeben, wie es für die Aufgabenwahrnehmung notwendig ist ("Needto-know-Prinzip"). Bestehende Rechte werden von den Fachbereichen, der Abteilung Informatik und dem IT-Sibe periodisch auf ihre Notwendigkeit überprüft. Bei Änderungen des Zuständigkeitsbereiches von Mitarbeitenden werden auch die Zugriffsberechtigungen überprüft und gegebenenfalls geändert. Notfall-PCs für Notfall-Zugriff auf Offline-Daten Sofern auf Notfall-PCs Offline-Daten zur Gewährleistung des Zugriffs bei Systemausfällen vorgehalten werden, so sind diese Daten und der Zugriff darauf entsprechend den Anforderungen im Normalbetrieb zu schützen Überwachung und Protokollierung des Zugriffs Zur Erkennung unberechtigter Aktivitäten werden die Informatiksysteme und Anwendungen angemessen überwacht. Deshalb werden Zugriffe grundsätzlich einerseits in System- und andererseits in Anwendungs-Protokolldateien festgehalten. Mitarbeitende werden über Tatsache, Art und Umfang der Protokollierung in der Benutzerweisung [01] informiert Protokollanforderungen Protokolle haben die nachfolgenden Anforderungen zu erfüllen. Bestehen gesetzliche Vorgaben zur Behandlung von Logfiles (Aufbewahrungsfristen, revisionssichere Speicherung etc.), sind diese ebenfalls umzusetzen. Logs verursachen Ressourcen- und Speicherplatzverbrauch und sind somit nur im notwendigen Umfang zu erzeugen Jeder Log-Eintrag muss mit einem Zeitstempel versehen sein Soweit möglich werden die Log-Daten auf ein zentrales System übertragen Die Übertragung von Log-Daten erfolgt stets verschlüsselt, um die Integrität und Vertraulichkeit der Daten sicherzustellen Logs sind vor unberechtigtem Zugriff, vor Manipulation und nachträglichen Änderungen zu schützen Logs sind regelmässig auszuwerten und können zu Reportingzwecken und Troubleshooting genutzt werden Für sämtliche Logs ist die Aufbewahrungsdauer zu definieren, nach deren Ablauf die Logs zu löschen sind Sämtliche Logs sind so abzulegen, dass sie innerhalb der definierten Aufbewahrungsdauer jederzeit lesbar sind Für die Protokollierung sind auch die Vorgaben aus der Benutzerweisung [01] zu befolgen Folgende Systemereignisse müssen mindestens geloggt werden: falsche Passworteingabe bis zur Sperrung, das Erreichen der max. definierten Versuche zur Anmeldung und das Sperren von Accounts Startup / Shutdown des Systemes Änderung und Aktivierung von Policies Die ermittelten Protokollierungen werden von den zuständigen Administratoren regelmässig ausgewertet. Sie sind nur für die dazu ermächtigten Mitarbeitenden des KSB einsehbar. Datenschutzaspekte bei der Protokollierung Bei der Protokollierung und der Auswertung müssen die datenschutzrechtlichen Bestimmungen eingehalten werden. Für die protokollierten Daten ist insbesondere die Zweckbindung zu beachten. Weisung Informatiksicherheit Seite 16/35

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen

Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1. I. Allgemeine Bestimmungen Reglement über den Betrieb und die Sicherheit srs 183.1 der städtischen Informatik vom 2. Juli 2013 1 Der Stadtrat erlässt als Reglement: I. Allgemeine Bestimmungen Zweck Art. 1 Das vorliegende Reglement

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

SIX Swiss Exchange AG Besondere Bedingungen für die internetgestützte

SIX Swiss Exchange AG Besondere Bedingungen für die internetgestützte Seite Error! No text of specified style in document. Die in diesem Dokument enthaltenen Angaben erfolgen ohne Gewähr, verpflichten die SIX Group AG bzw. die mit der SIX Group AG verbundenen Gesellschaften

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

REGLEMENT BENÜTZUNG VON INFORMATIKMITTELN

REGLEMENT BENÜTZUNG VON INFORMATIKMITTELN EINWOHNERGEMEINDE MURGENTHAL REGLEMENT ÜBER DIE BENÜTZUNG VON INFORMATIKMITTELN DER GEMEINDE Reglement des Gemeinderates über die Benutzung von Informatikmitteln der Gemeinde vom 2. März 2015 Der Gemeinderat,

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Richtlinie für Verfahren für interne Datenschutz-Audits

Richtlinie für Verfahren für interne Datenschutz-Audits Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich...

Mehr

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich

DISCLAIMER KSA CHECK-IN. Nutzungsbestimmungen KSA Check-in. Geltungsbereich DISCLAIMER KSA CHECK-IN Nutzungsbestimmungen KSA Check-in Geltungsbereich Das KSA Check-in ist eine Dienstleistung des KSA (Kantonsspital Aarau AG). Sie ermöglicht Schweizer Fachärzten und Praxen, die

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Standeskommissionsbeschluss über die Informatiknutzung

Standeskommissionsbeschluss über die Informatiknutzung 1 172.315 Standeskommissionsbeschluss über die Informatiknutzung vom 18. Dezember 2012 Die Standeskommission des Kantons Appenzell I.Rh., gestützt auf Art. 3 Abs. 3 der Personalverordnung (PeV) vom 30.

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Lenkung von Dokumenten

Lenkung von Dokumenten Beispiel Verfahrensanweisung Dok.-Nr. 1.8.2 Lenkung von Dokumenten Revision 0 erstellt am 11.02.2010 Seite 1 von 5 Ziel und Zweck: In den betrieblichen Vorgabedokumenten werden Handlungs- oder Verhaltensweisen

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1

OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 OPPORTUNITIES AND RISK ANALYSIS Sicherheit Outsourced Domain SEITE 1 1 Definitionen - Die im Subvertrag Sicherheit outsourced Domain erwähnten zentralen und wichtigen Ausdrücke sind ausformuliert und erklärt.

Mehr

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe.

1 Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. 70.7 Gesetz über den Datenschutz vom 9. November 987 ) I. Allgemeine Bestimmungen Zum Schutz der Persönlichkeit regelt dieses Gesetz die Bearbeitung von Daten durch öffentliche Organe. Die Bestimmungen

Mehr

IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL)

IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL) für die Verwaltung der Freien und Hansestadt Hamburg Passwort-RL Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL) vom 10.10.2007 (MittVw Seite 96) 1. Geltungsbereich (1) Diese

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1

Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Reglement über die dienstliche Benutzung von srs 183.3 Informatikmitteln vom 2. Juli 2013 1 Der Stadtrat erlässt gestützt auf Art. 6 des Personalreglements vom 21. Februar 2012 2 : I. Allgemeine Bestimmungen

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika

Mehr

Schulgemeinde Steinegg Reglement über die Informatiknutzung

Schulgemeinde Steinegg Reglement über die Informatiknutzung 1 Schulgemeinde Steinegg Reglement über die Informatiknutzung vom 24. Juni 2013 I. Allgemeine Bestimmungen Art. 1 1 Dieser Beschluss regelt die Informatiknutzung der Mitarbeiter* im Rahmen ihrer Anstellung

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

GEMEINDE GEBENSTORF DATENSCHUTZREGLEMENT. 1 Zweck

GEMEINDE GEBENSTORF DATENSCHUTZREGLEMENT. 1 Zweck GEMEINDE GEBENSTORF DATENSCHUTZREGLEMENT 1 Zweck Dieses Reglement dient dem Schutz natürlicher und juristischer Personen vor einem allfälligen Missbrauch von Daten; die durch die Gemeindeverwaltung über

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern)

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern) EDV-Datenschutzweisung - April 2008 Zahnmed. Kliniken der Universität Bern Freiburgstrasse 7 3010 Bern Offizieller Briefkopf folgt in der Final Version Bern, im April 2008 Datenschutzweisung gültig für

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Verordnung über die Klassifizierung, die Veröffentlichung. und Archivierung von Dokumenten zu Regierungsratsgeschäften

Verordnung über die Klassifizierung, die Veröffentlichung. und Archivierung von Dokumenten zu Regierungsratsgeschäften 5.7. März 0 Verordnung über die Klassifizierung, die Veröffentlichung und die Archivierung von n zu Regierungsratsgeschäften (Klassifizierungsverordnung, KRGV) Der Regierungsrat des Kantons Bern, gestützt

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel Datum des LAV-Beschlusses: 05.11.2012 Seite 1 von 9 Inhalt 1 Zweck, Ziel... 1 2 Geltungsbereich... 2 3 Begriffe, Definitionen... 2 4 Verfahren... 2 4.1 Planung der Audits... 5 4.2 Vorbereitung des Audits...

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Dienstvereinbarung über den Einsatz von Firewallsystemen an der Freien Universität Berlin

Dienstvereinbarung über den Einsatz von Firewallsystemen an der Freien Universität Berlin Dienstvereinbarung - Firewall 1 / 7 Dienstvereinbarung über den Einsatz von Firewallsystemen an der Freien Universität Berlin gemäß 74 Personalvertretungsgesetz Berlin (PersVG) in der aktuellen Fassung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Datenschutz-Management-System Datenschutzpolitik (13/20)

Datenschutz-Management-System Datenschutzpolitik (13/20) Gemeindeverwaltung Worb, Präsidialabteilung, Bärenplatz 1, Postfach, 3076 Worb Telefon 031 838 07 00, Telefax 031 838 07 09, www.worb.ch Datenschutz-Management-System Datenschutzpolitik (13/20) Autorin/Autor:

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein. Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Richtlinie zur Nutzung des Remote Access Services

Richtlinie zur Nutzung des Remote Access Services Richtlinie zur Nutzung des Remote Access Services vom 19.9.2011 Als Bestandteil zum Antrag für den Remote Access, werden die Einsatzmöglichkeiten, die Richtlinien und Verantwortlichkeiten für die Zugriffe

Mehr

Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung

Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung Verordnung über die elektronische Geschäftsverwaltung in der Bundesverwaltung (GEVER-Verordnung) 172.010.441 vom 30. November 2012 (Stand am 1. Juli 2014) Der Schweizerische Bundesrat, gestützt auf Artikel

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

(Punktuelle) Videoüberwachung auf öffentlichem Grund 402.0. Reglement über die (punktuelle) Videoüberwachung auf öffentlichem Grund

(Punktuelle) Videoüberwachung auf öffentlichem Grund 402.0. Reglement über die (punktuelle) Videoüberwachung auf öffentlichem Grund (Punktuelle) Videoüberwachung auf öffentlichem Grund 40.0 Reglement über die (punktuelle) Videoüberwachung auf öffentlichem Grund vom 30. November 00 Der Stadtrat, gestützt auf Art. 6 der Polizeiverordnung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Versicherungsnehmer HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon:

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Regelung zur Dokumentation

Regelung zur Dokumentation Regelung zur Dokumentation Zweck Die Dokumentation ist Nachweis und Maßstab für die Leistungsfähigkeit Ihres Managementsystems. Sie legt Ursachen und Ergebnisse betrieblichen Handelns offen. Genauigkeit,

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

HDI-Gerling Industrie Versicherung AG

HDI-Gerling Industrie Versicherung AG HDI-Gerling Industrie Versicherung AG Online-Partnerportal Nutzungsvereinbarung für Broker HDI-Gerling Industrie Versicherung AG Niederlassung Schweiz Dufourstrasse 46 8034 Zürich Telefon: +41 44 265 47

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte,

Sie tätigen mit uns oder einer anderen Tochtergesellschaft des Lindt Konzerns Handelsgeschäfte, Diese Datenschutzrichtlinie ist auf dem Stand vom 05. November 2012. Die vorliegende Datenschutzrichtlinie legt dar, welche Art von Informationen von Chocoladefabriken Lindt & Sprüngli GmbH ( Lindt ) erhoben

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Art. 2 Der Geltungsbereich dieser Verordnung bestimmt sich nach 2 des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4).

Art. 2 Der Geltungsbereich dieser Verordnung bestimmt sich nach 2 des Gesetzes über die Information und den Datenschutz (IDG, LS 170.4). 6.00 Datenschutzverordnung (DSV) Gemeinderatsbeschluss vom 5. Mai 0 Der Gemeinderat erlässt gestützt auf 8 des Gesetzes über die Information und den Datenschutz (IDG), 7 der Verordnung über die Information

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Policy Regelungen für Geschäftspartner von Siemens

Policy Regelungen für Geschäftspartner von Siemens Informationssicherheit Policy Regelungen für Geschäftspartner von Siemens Grundlegenden Regeln für den Zugriff auf Siemens-interne Informationen und Systeme Policy Regelungen für Geschäftspartner von Siemens

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Levent Ildeniz Informationssicherheitsbeauftragter 1 Der erste Eindruck > Sind Sie sicher? Woher wissen Sie das? 2 Der erste Eindruck

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Leitlinie Datenschutz

Leitlinie Datenschutz Legal & Compliance Datenschutz Leitlinie Datenschutz Dokumenten-Nr. [1] Autor Dr. Alexander Lacher Dokumenten-Eigner BDSV Dokumenten-Bereich/Art Legal & Compliance Dokumenten-Status Final Klassifizierung

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr