Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren

Größe: px
Ab Seite anzeigen:

Download "Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren"

Transkript

1 Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.0 Fröhlich, Hafner Audi I/GO, VW K-GOT

2 Inhaltsverzeichnis: 1. Zweck Kontext Geltungsbereich Einstufung und Kontrolle der Werte Personelle Sicherheit Physische und umgebungsbezogene Sicherheit Management der Kommunikation und des Betriebs Betriebsverfahren und verantwortlichkeiten Dokumentierte Betriebsverfahren Kontrolle von Veränderungen Verfahren für das Management von Vorfällen Pflichtentrennung Trennung von Entwicklungs- und Betriebsanlagen Externe Verwaltung von Geräten Systemplanung und -abnahme Schutz vor bösartiger Software Haushaltsorganisation Back-up von Informationen Bedienerprotokolle Fehlerprotokoll Netzwerkmanagement Sicherheit von Systemdokumentation Austausch von Informationen und Software Zugangskontrolle Geschäftsanforderungen an die Zugangskontrolle Verwaltung der Zugriffsrechte der Benutzer Netzzugriffskontrolle Kontrolle des Betriebssystemzugriffs Zugriffskontrolle für Anwendungen Überwachung des Systemzugriffs und der Systembenutzung Mobile Computing Systementwicklung und wartung Management des kontinuierlichen Geschäftsbetriebs Aspekte zur Aufrechterhaltung des Geschäftsbetriebs Prozess für das Management des kontinuierlichen Geschäftsbetriebs Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des kontinuierlichen Geschäftsbetriebs Einhaltung der Verpflichtungen Einhaltung gesetzlicher Verpflichtungen Überprüfung der Sicherheitspolitik und technischen Normerfüllung Überlegungen zum Systemaudit Verantwortlichkeit Anhang: Seite 2 von 14

3 1. Zweck Die für die Nutzung von Informationen und Kommunikationsgeräten (z. B. Personalcomputer, Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden IT- Sicherheitsregelungen für Systembetreiber und Administratoren sind in diesen IT- Sicherheitshandlungsleitlinien zusammengefasst. Für den Schutz von Speicherprogrammierbaren Steuerungen (SPS) und Robotersteuerungen gelten innerhalb dieser Handlungsleitlinien ausschließlich die Regelungen im Anhang, Ziff. 1. Die IT-Sicherheitsregelungen dienen dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie der Wahrung der Rechte und Interessen des Unternehmens und aller natürlichen und juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. für diese arbeiten. Die Basis für dieses Dokument stellt die IT-Sicherheitspolitik dar. Die Grundsätze der IT-Sicherheitspolitik werden für die Zielgruppe Systembetreiber und Administratoren konkretisiert. Die Struktur dieses Dokumentes basiert auf dem internationalen Standard ISO/IEC Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2). Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen ausschließlich über das Intranet (siehe Anhang, Ziff. 2). 2. Kontext Folgende Übersicht zeigt die Einordnung der IT-Sicherheitshandlungsleitlinien in das IT- Sicherheitsregelwerk: IT-Sicherheitspolitik Definition der grundlegenden Ziele, Strategien und Verantwortlichkeiten zur Gewährleistung der IT-Sicherheit IT-Sicherheitshandlungsleitlinien Ausgestaltung der Politik in organisatorische Anweisungen für einzelne Benutzergruppen IT-Sicherheitsregelungen Spezifikation der organisatorischen Standards im technischen Umfeld und Beschreibung von technischen Funktionen und Prozessen Für alle Nur für eingeschränkten Nutzerkreis IT-Sicherheitsregelwerk Seite 3 von 14

4 3. Geltungsbereich Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch konkrete IT-Regelungen im Einzelfall auszugestalten. 4. Einstufung und Kontrolle der Werte Betriebsnotwendige IT-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen. Als betriebsnotwendig sind IT-Systeme einzustufen, deren Funktionsstörung den Fortbestand des Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen hohen Zeitaufwand und/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urkunden (z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen. Dieses Verzeichnis der erfassten IT-Systeme hat mindestens die folgenden Angaben zu enthalten: Beschreibung der IT-Systeme einschließlich ihrer Schnittstellen zu anderen IT-Systemen, Verantwortliche Stelle oder Person, Bedeutung der IT-Systeme für die Geschäftsprozesse, Einsatzort (physisch), Einsatzbereich (fachlich), Klassifizierung der Daten und ggf. Hinweise auf besondere Schutzerfordernisse und -maßnahmen, Vorhandensein personenbezogener Daten. 5. Personelle Sicherheit Nach der Bearbeitung von IT-Sicherheitsvorfällen, IT-Sicherheitsschwachstellen oder ITsicherheitsrelevanten Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten und an die IT-Sicherheitsorganisation (siehe Anhang, Ziff. 4) zu melden. Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern und den Umgang mit diesen Ereignissen zu verbessern. 6. Physische und umgebungsbezogene Sicherheit Betriebsnotwendige IT-Systeme sind vor Stromausfall oder schwankungen zu schützen (z. B. durch unterbrechungsfreie Stromversorgung, durch Notstromaggregat). Unmittelbar nach der Installation einer Daten- und Stromnetzkomponente sind vorhandene systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können. Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit und Integrität von Daten gewährleistet ist. Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen nachhaltig zu löschen. Seite 4 von 14

5 7. Management der Kommunikation und des Betriebs 7.1. Betriebsverfahren und verantwortlichkeiten Dokumentierte Betriebsverfahren Anweisungen, die für den Betrieb eines IT-Systems zu berücksichtigen sind, sind vom Betreiber zu erstellen und aktuell zu halten, z. B. in Form von Betriebshandbüchern. Bei Veröffentlichungen ist darauf zu achten, dass keine sicherheitsrelevanten Fakten (z. B. Firewallkonfiguration) an unberechtigte Dritte bekannt gemacht werden. Die Dokumentation ist gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 5) zu archivieren Kontrolle von Veränderungen Änderungen an produktiven IT-Systemen müssen über ein definiertes Verfahren geplant, getestet, genehmigt und dokumentiert werden, bevor sie im produktiven Betrieb umgesetzt werden. Änderungsabsichten (change requests) sind schriftlich zu dokumentieren und von der verantwortlichen Stelle (z. B. Änderungen an Anwendungssytemen durch den Informationseigentümer, Änderungen an der Infrastruktur durch den Betreiber) zu genehmigen. Die Auswirkungen der geplanten Änderungen sind an einem Testsystem zu untersuchen. Das Testsystem ist in Abwägung des potentiellen Risikos mit dem dafür erforderlichen Aufwand aufzubauen. Im Notfall kann vom Betreiber ein beschleunigtes Verfahren im IT-Notfallplan (siehe Kapitel 10) definiert werden. Dabei ist sicherzustellen, dass durch die Änderungen keine Sicherheitsmaßnahmen unterlaufen werden. Das Sicherheitsniveau muss während und nach der Änderung erhalten bleiben. Wenn Risiken nicht ausgeschlossen werden können, hat die Planung auch eine Rückfalllösung vorzusehen und Kriterien vorzugeben, wann diese zum Tragen kommen soll. Änderungen am IT-System sind zu protokollieren. Bei einer fehlgeschlagenen Änderung ist das IT-System möglichst in den ursprünglichen Zustand zu versetzen. Vor einer neuen Durchführung ist die Ursache festzustellen. Sofern Änderungen an produktiven Daten nicht über das Anwendungssystem gemacht werden können, sind auch diese Änderungen zu protokollieren. Alle von den Änderungen betroffenen Personen sind rechtzeitig zu informieren Verfahren für das Management von Vorfällen Um bei IT-Sicherheitsvorfällen rasch und effektiv reagieren zu können, ist es notwendig, dass der Systembetreiber Verfahren, d. h. Anweisungen, Maßnahmen, eingesetzte Mittel etc., zur Behandlung von Vorfällen erarbeitet, umsetzt und aktuell hält Pflichtentrennung Ausführende (z. B. Programmierung, Entwicklung) und kontrollierende (z. B. Audit, Abnahme) Tätigkeiten sind personell voneinander zu trennen. Zudem sind Tätigkeiten dann zu trennen, wenn ohne eine Trennung ein erhöhtes Risiko einer willentlichen oder unwissentlichen Fehlhandhabung zu Lasten des Konzerns besteht (Vier-Augen-Prinzip). Vor der Einführung von Software sind die Verantwortlichkeiten zu regeln (z. B. für die Erstellung von Pflichtenheften, die Produktvorauswahl, das Testen, das Freigeben, die Installation und den Betrieb) Trennung von Entwicklungs- und Betriebsanlagen Entwicklungs-, Testsoftware und Software im laufenden Betrieb müssen auf unterschiedlichen IT- Systemen und/oder Netzbereichen laufen. Seite 5 von 14

6 Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- und Produktivsysteme z. B. durch unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern. Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten Externe Verwaltung von Geräten Vor einer Betreuung und Verwaltung von IT-Systemen durch Fremdpersonal ist folgendes zu prüfen und durchzuführen: Genehmigungen der für Anwendung/Prozess zuständigen Personen sind einzuholen. Verantwortlichkeiten und Verfahren für die Meldung und Behandlung von IT-Sicherheitsvorfällen sind festzulegen. IT-Notfallpläne sind neu zu bewerten und anzupassen (siehe Kapitel ) Systemplanung und -abnahme Systemplaner sowie Betreiber von IT-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die Anforderungen des späteren Betriebes zu berücksichtigen. Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der Planung zu definieren und zu dokumentieren. Der Systembetreiber hat unter Berücksichtigung des geltenden IT-Sicherheitsregelwerkes zusammen mit den Benutzern/Benutzervertretern die zu erreichende IT-Sicherheit des IT-Systems zu planen. Dabei ist ein Sollzustand des IT-Systems festzulegen. Der Istzustand ist nach Realisierung des IT-Systems zu prüfen und freizugeben. Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) und -abnahme (Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen Schutz vor bösartiger Software Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen. Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu aktualisieren. Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah installiert werden. Vom Systembetreiber sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System) einzusetzen, um das Firmennetz vor Schadsoftware und einer Verbreitung derselben im Netzwerk zu schützen Haushaltsorganisation Back-up von Informationen Alle Verantwortlichen für IT-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt. Sicherungsverfahren sind zu planen, zu überwachen und zu dokumentieren. Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B. Schutz gegen Diebstahl und unbefugten Zugriff). Sie sind getrennt vom IT-System aufzubewahren, um bei einer Beschädigung oder Zerstörung des IT-Systems und seiner unmittelbaren Umgebung unversehrt zu bleiben. Seite 6 von 14

7 Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware und Software zum Lesen und Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist. Bei der Archivierung von Daten sind firmeninterne und gesetzliche Aufbewahrungsfristen einzuhalten. Die Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen Bedienerprotokolle Die Tätigkeiten der Systembetreiber an IT-Systemen mit vertraulichen und/oder geheimen Informationen sind zu protokollieren. Die Protokolle haben mindestens Folgendes zu enthalten: eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung), Beginn und Beendigung der Tätigkeit am IT-System, aufgetretene Systemfehler, durchgeführte Maßnahmen. Protokollauswertungen haben regelmäßig im Rahmen von Audits und bei Verdacht auf IT- Sicherheitsvorfälle zu erfolgen Fehlerprotokoll Von Benutzern gemeldete Fehler und Fehlfunktionen sind zu protokollieren. Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt und von berechtigtem Personal durchgeführt werden Netzwerkmanagement Der sichere Betrieb von IT-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten. Das Sicherheitsniveau der Kommunikations- und der Netzwerkressourcen ist der Gefährdung und der Sensibilität der zu übertragenden Daten anzupassen Sicherheit von Systemdokumentation Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen Austausch von Informationen und Software Der Systembetreiber ist für die Zuverlässigkeit von Kommunikationsdiensten (z. B. , ftp) verantwortlich. Bei den diensten ist folgendes zu beachten: Bei der Vergabe von Adressen ist auf Eindeutigkeit zu achten. Gruppen- Adressen dürfen nur für den -Empfang verwendet werden. Postfächer sind gegen Zugriffe Unbefugter zu schützen. Für nicht zustellbare Nachrichten erfolgt eine automatische Rückmeldung. Öffentlich zugängliche IT-Systeme sind für alle (z. B. Mitarbeiter, Kunden, Geschäftspartner, Medien) frei zugänglich und zur Nutzung verfügbar. Informationen, die in das öffentlich zugängliche IT-System eingegeben und dort verarbeitet werden, sind vollständig, korrekt und zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses und bei der Speicherung zu schützen. Öffentlich zugängliche IT-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu internen Netzen haben. Seite 7 von 14

8 8. Zugangskontrolle 8.1. Geschäftsanforderungen an die Zugangskontrolle Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert und autorisiert erfolgen. Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender und -gruppen auf die Ihnen zugewiesenen Ressourcen für jedes IT-System geregelt sind. Nicht benötigte Daten, Dienste und Benutzerkennungen sind durch den Systembetreiber zu löschen bzw. gezielt zu sperren. Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten durchzuführen Verwaltung der Zugriffsrechte der Benutzer Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt entsprechend gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8). Es ist vom Systembetreiber sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer vergeben wird. Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren und in Systemen umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von Zugriffsrechten zuzuordnen. Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind. Der Systembetreiber hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen und Rechteprofile zu führen. Es sind Verfahren für die Vergabe und die Rücksetzung von Passwörtern festzulegen und zu veröffentlichen. Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). Die Dokumentation der zugelassenen Benutzer und Rechteprofile ist regelmäßig darauf zu überprüfen, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht Netzzugriffskontrolle Nur authentisierte und autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten. Der Systemzugang für externe Verbindungen ist mindestens mittels "Wissen und Besitz" zu schützen (z. B. SecurID-Karte: dort ist Wissen die Kenntnis der PIN-Nummer und Besitz das Haben der Karte selber). Zum Schutz vor unberechtigten und ungewollten Verbindungen sind Rückrufverfahren und maßnahmen einzusetzen (z. B. die Verwendung von Rückruf-Modems). Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- und Geheimhaltungsvereinbarung erfolgen. Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten. Seite 8 von 14

9 8.4. Kontrolle des Betriebssystemzugriffs Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen. IT-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern sind durch geeignete IT-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch entsprechende Zusatzsoftware oder hardware nachzurüsten. Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende Vorgaben zu erfüllen: Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten fehlerhaft war. Erfolglose Versuche sind aufzuzeichnen. Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das IT-System die Anmeldung abzubrechen. Allen Benutzern ist eine eindeutige Benutzerkennung für ihren persönlichen und alleinigen Gebrauch zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können. Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des Benutzers geben. Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe IT- Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter ) durch entsprechende Systemumsetzungen zu unterstützen. Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren oder durch geeignete Maßnahmen zu schützen Zugriffskontrolle für Anwendungen Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die für ihn freigegebenen Informationen erhält Überwachung des Systemzugriffs und der Systembenutzung IT-Sicherheitsvorfälle sind zu dokumentieren. Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet werden Mobile Computing Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine sichere Remote Anbindung. Die Identifikation und Authentisierung erfolgt mittels Wissen und Besitz. Die Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen. 9. Systementwicklung und wartung Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt werden. Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- /Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 10) zu archivieren. Beim Zugriff auf Testdaten ist der Grundsatz Kenntnis, nur wenn nötig zu beachten. Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. Seite 9 von 14

10 Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven IT-Systemen in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist, sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt für die Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Das Kopieren oder die Nutzung von Informationen aus laufenden IT-Systemen ist nur nach vorheriger Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen IT-Sicherheitsanforderungen wie die Original-Daten. Benutzte Informationen aus laufenden IT-Systemen sind nach Durchführung des Tests nicht wiederherstellbar zu löschen. Zugriffsberechtigungen, die für laufende IT-Systeme gelten, müssen auch für Testanwendungen beachtet werden. Sicherheitsupdates von Software-Herstellern sind zeitnah einzuspielen. Die Sicherheit von Anwendungen darf durch den Einsatz von Administrationswerkzeugen und protokollen nicht gefährdet werden. Vor der Installation neuer Softwareversionen oder Patches ist durch Tests sicherzustellen, dass weder der Betrieb noch die Sicherheit durch die Änderungen gefährdet sind. Bei Änderungen sind die betroffenen Beschreibungen der Benutzerverfahren und der Betriebsdokumentation anzupassen. Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkungen auf bestehende Regelungen und Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies lizenzrechtlich und aufgrund der Wartungsverträge zulässig ist. 10. Management des kontinuierlichen Geschäftsbetriebs Aspekte zur Aufrechterhaltung des Geschäftsbetriebs Unvorhergesehene oder unerwartete Ereignisse, die einen Ausfall von IT-Systemen über eine nicht tolerierbare Zeit und einen Schaden für Geschäftsprozesse zur Folge haben, werden im Folgenden einheitlich als IT-Notfall bezeichnet Prozess für das Management des kontinuierlichen Geschäftsbetriebs Zur Aufrechterhaltung des kontinuierlichen IT-Geschäftsbetriebs hat der Systembetreiber organisatorische Maßnahmen/Prozesse für das Management aufzubauen, um kritische IT-Geschäftsprozesse zu identifizieren und zu bewerten Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse Eine Organisationseinheit oder das Gesamtunternehmen darf durch den Eintritt eines unerwarteten IT- Ereignisses (z. B. Ausfall) nicht handlungs- oder geschäftsunfähig werden. Um dieses zu erreichen, sind zum einen vorsorgliche Maßnahmen erforderlich, damit ein unerwartetes IT- Ereignis keinen Notfall zur Folge hat. Zum anderen sind Maßnahmen zu bestimmen, die bei Eintritt des IT- Notfalls durchzuführen sind. Die IT-Notfallvorsorge muss sich an den Anforderungen der Geschäftsprozesse, die beim Ausfall von IT entstehen, orientieren. Mit Hilfe von Risikoanalysen sind mögliche Schadensfälle bezüglich der Eintrittswahrscheinlichkeit und der Schadenshöhe zu bewerten. Bei der Bewertung von Notfallschäden ist die Anzahl der betroffenen Anwender zu berücksichtigen sowie die geschäftliche Bedeutung der IT für Geschäftsprozesse Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs Das notwendige Niveau der Dienstleistung und die maximal zu akzeptierenden Ausfallzeiten von geschäftskritischen informationsverarbeitenden IT-Systemen sind zu definieren und zu dokumentieren. Seite 10 von 14

11 Der IT-Notfallplan regelt das Vorgehen im IT-Notfall. Er enthält in komprimierter Form alle entscheidungsrelevanten Angaben, um im IT-Notfall die notwendigen Schritte einzuleiten Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs Mit Hilfe des IT-Notfallplans muss schnell entschieden werden können, welche Maßnahmen durch welche Verantwortliche als erstes bzw. in welcher Reihenfolge durchzuführen sind. Die für IT-Notfallmaßnahmen verantwortlichen Mitarbeiter sowie ihre Vertreter sind namentlich und als Funktion im IT-Notfallplan anzugeben und ihre Erreichbarkeit ist sicherzustellen. Alle Personen, die über den IT-Notfall zu informieren sind, sind festzulegen Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des kontinuierlichen Geschäftsbetriebs Die Sicherstellung des kontinuierlichen Geschäftsbetriebes wird mit folgenden Maßnahmen und Techniken von den Systembetreibern überprüft: Planspiele von IT-Notfallszenarien, Simulationen zur Schulung des Personals auf ihre Rollen im Krisenmanagement, Technische Tests zur Wiederherstellung von Informationssystemen, Test der Wiederherstellung des Betriebs an einem Ausweichstandort, Prüfen der Vertragserfüllung von ihren externen Dienstleistern, Regelmäßige IT-Notfallübungen. 11. Einhaltung der Verpflichtungen Einhaltung gesetzlicher Verpflichtungen Beim Einsatz von Verschlüsselung und/oder von elektronischen Signaturen (siehe Anhang, Ziff. 11) insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen für den Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten. Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 12) zu kontaktieren Überprüfung der Sicherheitspolitik und technischen Normerfüllung Jeder Betreiber von IT-Systemen hat seine IT-Systeme stichprobenartig auf die Einhaltung der sicherheitsrelevanten Vorschriften und Richtlinien zu überprüfen. Mechanismen und Tools zur Systemüberwachung (z. B. die Auditfunktion der Betriebs-systeme) sind einzurichten und zu nutzen. Dafür vorgeschriebene Genehmigungsverfahren sind zu beachten (siehe Anhang, Ziff. 13). Die Betreiber von IT-Systemen sind verpflichtet, bekannt gewordene Sicherheitslücken der IT-Systeme durch geeignete Maßnahmen zu schließen Überlegungen zum Systemaudit Auditanforderungen/ aktivitäten sind sorgfältig zu planen (insbesondere für Produktiv-systeme), um das Risiko von Störungen der Geschäftsprozesse zu minimieren. Folgende Punkte sind zu beachten: Der Anwendungsbereich der Prüfungen ist zu vereinbaren und zu kontrollieren. Die Prüfungen sind auf nur lesenden Zugriff für Software und Daten zu begrenzen. IT-Ressourcen sind für die Prüfungen zu identifizieren und verfügbar zu machen. Sämtliche Verfahren, Anforderungen und Zuständigkeiten sind zu dokumentieren. Um einen Missbrauch oder die Kompromittierung des Audittools zu verhindern, darf der Zugriff auf Systemaudittools nur für autorisiertes Personal erlaubt werden. Das uneingeschränkte Prüfungsrecht der internen Revision ist hiervon nicht betroffen. Seite 11 von 14

12 12. Verantwortlichkeit Diese Handlungsleitlinien sind von allen Systembetreibern und Administratoren anzuwenden und einzuhalten. Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen und gesetzlichen Vorschriften und Vereinbarungen geprüft und entsprechend geahndet. Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung mit den zuständigen Stellen (siehe Anhang, Ziff. 14) und nur zeitlich begrenzt zulässig. Seite 12 von 14

13 Anhang: Gültigkeit: Diese Regelungen sind für den Betrieb und die Administration von neuen IT-Systemen mit der Veröffentlichung sofort bindend. Für bestehende Systeme und Prozesse ist vom Systembetreiber ein Migrationskonzept zu erarbeiten, um diese entsprechend anzupassen. Die Migration muss bis zum abgeschlossen sein. Ziffer 1. Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in verschließbaren Schränken aufzubewahren oder durch entsprechende anderweitige geeignete Maßnahmen zu sichern. Der Zugang ist nur Berechtigten zu ermöglichen. Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in Netzen zu betreiben, in denen nur die Kommunikation erlaubt ist, die für den Betrieb unbedingt erforderlich ist. 2. Die jeweils aktuellen Informationen werden im Audi mynet veröffentlicht. 3. Ein IT-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren Kommunikationsbeziehungen untereinander. 4. Die IT-Sicherheitsorganisation besteht aus dem Informations- und Datenschutz, dem IT-Sicherheitsteam, der Expertengruppe IT-Sicherheit, den Competence Centern im Kontext der IT-Sicherheitsorganisation und den IT-Sicherheitsbeauftragten in den Fachbereichen. 5. Die Dokumentation ist in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 6. Die Freigabe von Virenschutzsoftware erfolgt durch das Viren Competence Center (VCC). 7. Verantwortlichkeit: I/FP. 8. Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt schriftlich mit dem Benutzerantrag. Alle Personen, die zur Benutzung eines Systems oder einer Applikation berechtigt sind, sind formal zu erfassen. 9. Verantwortlichkeit: Systemadministratoren, Mitarbeiter mit administrativen Rechten. 10. Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 11. Nationale Gesetze zur Anerkennung der elektronischen Signatur: In der Bundesrepublik Deutschland gilt das Signaturgesetz SigG. Hier sind die nationalen gesetzlichen Rahmenbedingungen für den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom [ECRL99] Seite 13 von 14

14 angepasste Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften [SigG01] ist am in Kraft getreten und löst das Signaturgesetz von 1997 ab. Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. 12. Verantwortlichkeit: Zentraler Rechtsservice. 13. Personenbezogene Audits sind schriftlich vom Leiter Informations- und Datenschutz und der zuständigen Personalabteilung genehmigen zu lassen. Eine Abstimmung mit dem Betriebsrat ist notwendig. 14. Verantwortlichkeit: Informations- und Datenschutz. Seite 14 von 14

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.0 Fröhlich, Hafner Audi I/GO, VW K-GOT 20.10.2006 Inhaltsverzeichnis:

Mehr

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Gültig ab: 20.10.2006 Status: Freigegeben Geändert am: 12.03.2013 Version: 2.0 Herausgeber: I/GA-2, Datenschutz

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.1 Fröhlich, Hafner Audi I/GO, VW K-DOK 25.05.2004 Inhaltsverzeichnis:

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Sicherheitsrichtlinie zur IT-Nutzung

Sicherheitsrichtlinie zur IT-Nutzung Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

IT-Sicherheit Police der Swiss Remarketing

IT-Sicherheit Police der Swiss Remarketing IT-Sicherheit Police der Swiss Remarketing Inhaltsübersicht 1 Information 1.1 Einleitung 1.2 Sicherheitsbewusstsein 2 Grundsatzaussage 2.1 Informationsklassifizierung und -kontrolle 2.1.1 Backup-Sicherung

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Dienstvereinbarung. Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten der TU Dortmund

Dienstvereinbarung. Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten der TU Dortmund Dienstvereinbarung Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten wird zwischen der Rektorin und dem Personalrat der wissenschaftlich und künstlerisch Beschäftigten

Mehr

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Definition - Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-Informationen

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme

Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme Richtlinie für vertraglich gebundene externe Nutzer der GASAG Konzern-IT-Systeme Fachverantwortlicher: IT-Konzernstrategie Version 1.0 Letzte Aktualisierung: 16.03.2009 Inhaltsverzeichnis 1 Geltungsbereich...2

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

nachfolgende Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte

nachfolgende Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte Stand: 1. Januar 2015 Zwischen dem GKV-Spitzenverband (Spitzenverband Bund der Krankenkassen) K.d.ö.R, Berlin und der Kassenärztlichen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: zwischen Stadtwerke

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Partnerfirmen Gültig ab: 25.05.2004 Status: Freigegeben Geändert am: 12.03.2013 Version: 2.0 Herausgeber: I/GA-2, Datenschutz / Datensicherheit

Mehr

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung - Beispiel - Stand: Juni 2004 1/6 INHALTSVERZEICHIS 1 EINLEITUNG...2 2 GELTUNGSBEREICH...2 3 ORGANISATION...3 3.1 STELLEN...3 3.2 GRUNDSÄTZLICHE

Mehr

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens 09.11.2004 c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - 2-1.

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Marienberg

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Erklärung zum Zertifizierungsbetrieb der HvS PKI

Erklärung zum Zertifizierungsbetrieb der HvS PKI Erklärung zum Zertifizierungsbetrieb der HvS PKI HvS-Consulting AG Seite 1 von 10 Freigabe Datum Erstellt: Marc Ströbel Technical Security Consultant HvS-Consulting AG Genehmigt: Michael Hochenrieder Vorstand

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Konstanz GmbH

Mehr

Sicherheitsrichtlinie

Sicherheitsrichtlinie Sicherheitsrichtlinie Informationssicherheit und Datenschutz für IT-Fremddienstleister Herausgegeben von den Informationssicherheitsbeauftragten der MVV Gruppe MVV Gruppe Seite 1 von 7 Inhaltsverzeichnis

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern)

Datenschutzweisung gültig für die Zahnmedizinischen Kliniken der Universität Bern (ZMK Bern) EDV-Datenschutzweisung - April 2008 Zahnmed. Kliniken der Universität Bern Freiburgstrasse 7 3010 Bern Offizieller Briefkopf folgt in der Final Version Bern, im April 2008 Datenschutzweisung gültig für

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

ISSS Security Lunch - Cloud Computing

ISSS Security Lunch - Cloud Computing ISSS Security Lunch - Cloud Computing Technische Lösungsansätze Insert Andreas Your Kröhnert Name Insert Technical Your Account Title Manager Insert 6. Dezember Date 2010 The Cloud Unternehmensgrenzen

Mehr

Checkliste für Systempflege Verbindliche Vorgaben für den Systemanwender Stand 09. Juni 2011

Checkliste für Systempflege Verbindliche Vorgaben für den Systemanwender Stand 09. Juni 2011 ANLAGE 3 Checkliste für Systempflege Verbindliche Vorgaben für den Systemanwender Stand 09. Juni 2011 Allgemein Um den Support des DV-Systems sicher und effektiv gewährleisten zu können ist es unerlässlich,

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

IT-Sicherheitsleitlinie der Universität der Bundeswehr München

IT-Sicherheitsleitlinie der Universität der Bundeswehr München IT-Sicherheitsleitlinie der Universität der Bundeswehr München Arbeitskreis IT-Sicherheit an der UniBwM 06.12.2006 Datum Bemerkung 25.07.2006 Erstfassung 06.12.2006 Redaktionelle Überarbeitung Revision

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Homburg GmbH

Mehr

Betriebsordnung IT-SERVICES WU

Betriebsordnung IT-SERVICES WU BETRIEBSORDNUNG IT-SERVICES WU SEITE 1 Version 2011-1.0 Betriebsordnung IT-SERVICES WU 13. April 2012 Inhalt 1 Allgemeines... 2 1.1 Zweck... 2 1.2 Geltungsbereich... 2 1.3 Begriffsbestimmungen... 2 2 Aufgabenbereiche...

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06. Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.2015) / / Öffentlich-rechtliche Vereinbarung über die Bereitstellung

Mehr

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 Dienstvereinbarung zur Einführung und Anwendung von helpline zwischen der Universität Oldenburg (Dienststelle) und dem Personalrat der Universität

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer 1. Gegenstand und Dauer des Auftrages Der Auftragnehmer übernimmt vom Auftraggeber

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Richtlinie Datenschutz und Informationssicherheit

Richtlinie Datenschutz und Informationssicherheit Richtlinie Datenschutz und Informationssicherheit für externe Partner Inhaltsverzeichnis 1 Einführung 3 1.1 Ziel und Zweck 1.2 Geltungsbereich 1.3 Referenzierte Dokumente 1.4 Begriffe 2 Datenschutz- und

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Basiswissen. Verschlüsselung und Bildschirmsperre

Basiswissen. Verschlüsselung und Bildschirmsperre Basiswissen Verschlüsselung und Bildschirmsperre Der Speicher des Smartphones/Tablets ist vor unbefugtem Zugriff zu schützen. Dies kann durch Verschlüsselung oder äquivalente Verfahren realisiert werden.

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Sichere digitale Dokumente in der Patientenaufnahme mit Kombi-Signatur

Sichere digitale Dokumente in der Patientenaufnahme mit Kombi-Signatur Sichere digitale Dokumente in der Patientenaufnahme mit Kombi-Signatur secrypt GmbH Stand: 2014 gmds Berliner Archivtage 2014 03.12.2014, Berlin Tatami Michalek, Geschäftsführer secrypt GmbH secrypt GmbH

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ZVO Energie GmbH und...

Mehr