Leitlinien und Richtlinien

Größe: px
Ab Seite anzeigen:

Download "Leitlinien und Richtlinien"

Transkript

1 Leitlinien und Richtlinien Zur Nutzung des Verfahrens Antrag-Online der Deutschen Rentenversicherung bei den Gemeindebehörden und Versicherungsämtern

2 Autoren Dörthe Rückl Deutsche Rentenversicherung/Bund, Würzburg Tel.: +49(0)

3 Inhaltsverzeichnis PRÄAMBEL LEITLINIEN ZUR IT-SICHERHEIT FÜR DEN EINSATZ DES VERFAHRENS "ANTRAG-ONLINE" KERNSATZ ZIEL DER RICHTLINIEN GELTUNGSBEREICH GENEHMIGUNG UND ÄNDERUNG VERANTWORTLICHE FÜR DAS VERFAHREN ANTRAG-ONLINE BEI DEN GEMEINDEBEHÖRDEN/ VERSICHERUNGSÄMTERN HANDLUNGSANWEISUNGEN IT-SICHERHEITSKOORDINATOR WARTUNGS- UND REPARATURARBEITEN BENUTZER- UND ZUGANGSVERWALTUNG REAKTION AUF STÖRUNGEN, VERLETZUNGEN DER SICHERHEITSPOLITIK ODER ALARMIERUNGEN EINWEISUNG UND SCHULUNG ALLGEMEINE SICHERHEITSANWEISUNG VERTRETUNGSREGELN REGELUNGEN ZUM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS ORDNUNGSGEMÄßE ENTSORGUNG VON SCHÜTZENSWERTEN BETRIEBSMITTELN 11 ANHANG A: ALARMIERUNGSPLAN FÜR SICHERHEITSVORFÄLLE ANHANG B: RICHTLINIEN I. ORGANISATION DER LOKALE IT-SICHERHEITSKOORDINATOR BEI GEMEINDEBEHÖRDEN UND VERSICHERUNGSÄMTERN WARTUNGS- UND REPARATURARBEITEN IM HAUSE EXTERNE WARTUNGS- UND REPARATURARBEITEN EINRICHTUNG VON ACCOUNTS UMGANG MIT PASSWÖRTERN VERGABE VON ZUGRIFFSRECHTEN VORGEHEN BEI PROBLEMEN UND VERSTÖßEN II. PERSONAL EINARBEITUNG / EINWEISUNG NEUER MITARBEITER VERPFLICHTUNG DER MITARBEITER AUF EINHALTUNG EINSCHLÄGIGER GESETZE, VORSCHRIFTEN UND REGELUNGEN

4 10 VERTRETUNGSREGELUNGEN UMGANG MIT DEM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS III. BEHANDLUNG VON SICHERHEITSVORFÄLLEN SICHERHEITSVORFÄLLE ESKALATIONSSTUFEN REAKTION AUF STÖRUNGEN ODER ALARMIERUNGEN EVALUIERUNG DER ESKALATIONSSTRATEGIE ANLAGE: ERFORDERLICHE SICHERHEITSMAßNAHMEN FÜR HARDWARE UND BETRIEBSYSTEME GLOSSAR

5 Präambel Die Deutsche Rentenversicherung (DRV) bietet den Gemeinden / Versicherungsämtern (GuV) eine Softwarelösung zur computerunterstützten Antragserfassung (kurz "Antrag-Online") von Rentenanträgen an. Da die Speicherung, Verarbeitung und die Kommunikation personenbezogene Daten beinhalten, ist ein hoher Schutzbedarf im Hinblick auf Integrität und Vertraulichkeit gegeben. Um mögliche Gefahren zu erkennen, die den Schutz der Daten bedrohen, und Maßnahmen dagegen zu definieren, wurde auf der Grundlage des IT-Grundschutzhandbuchs (GSHB) ein Sicherheitskonzept erstellt. Dies entspricht auch den Anforderungen des 151 a SGB IV für eine Onlineanbindung im Verfahren Antrag- Online. Die erforderlichen Sicherheitsvorkehrungen beim Zugang zum Programm sowie für die Datenspeicherung und den Datentransport sind in der Applikation implementiert. Darüber hinaus wurde die "Datensenke", dazu gehören Server und Hosts bei der Deutschen Rentenversicherung, die die Daten empfangen, und der Datentransfer vom Client (GuV) zum Server (DRV) sicherheitsgeprüft. Weitere Sicherheitsmaßnahmen sind für die im Antrag-Online-Verfahren eingesetzten IT-Komponenten bei der Gemeindebehörde bzw. dem Versicherungsamt erforderlich. Da die IT-Strukturen in den am Verfahren beteiligten GuV sehr vielfältig sind, wurden zunächst alle möglichen Komponenten (Bausteine) ermittelt. Zu diesen Bausteinen sind lt. GSHB gewisse Gefährdungen und entsprechende Maßnahmen dagegen definiert. Diese sind im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) im Basissicherheitscheck zu den GuV festgelegt worden. Eine ausführliche Beschreibung dieser Maßnahmen befindet sich im IT-Grundschutzhandbuch (GSHB). Einige der Maßnahmen betreffen direkt den Umgang mit dem Programm Antrag- Online (Organisation, Personal, Behandlung von Sicherheitsvorfällen). Für diese Maßnahmen sind im Teil 2 in dem vorliegenden Dokument in knapper Form Handlungsanweisungen beschrieben, die in den Leit- und Richtlinien im Anhang B ausführlicher beschrieben werden. Der Bezug zum Basissicherheitscheck und GSHB wird hier mit Referenzen verdeutlicht. Zum anderen muss gewährleistet sein, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Dafür sind die Maßnahmen umzusetzen, die im Teil 3, "Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme", aufgelistet und im GSHB genauer beschrieben sind. Das BSI weist im GSHB besonders auf die Notwendigkeit hin, dass für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen ein IT-Sicherheitsma- 5

6 nagement notwendig sei, das die Planungs- und Lenkungsaufgaben wahrnimmt. Aufgaben zum IT-Sicherheitsmanagement, die speziell Antrag-Online betreffen, werden zentral von der Deutschen Rentenversicherung wahrgenommen. Dennoch werden die Maßnahmen zu diesem Baustein ebenfalls in Teil 3 unter Empfohlene Maßnahmen aufgelistet, da sie der Sicherheit der IT-Infrastruktur bei den GuV dienen, im Gegensatz zu den oben genannten Maßnahmen allerdings keinen direkten Einfluss auf die Sicherheit von Antrag-Online haben. Die Einhaltung der Handlungsanweisungen sowie der Maßnahmen für Hardware und Betriebssysteme ist eine Voraussetzung für die Teilnahme an dem Antrag-Online- Verfahren mit Datenabruf und Datenübermittlung von bzw. an die Rentenversicherung und liegt im Verantwortungsbereich der Gemeindebehörden und Versicherungsämter (siehe Verpflichtungserklärung, Teil 4). Teil 1: Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" Teil 2: Handlungsanweisungen Anhang A: Alarmierungsplan. Anhang B: Richtlinien gemäß GSHB Teil 3: Anlage: Erforderliche Basissicherheitsmaßnahmen für Hardware und Betriebsysteme Teil 4: Verpflichtungserklärung 6

7 1 Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" 1.1 Kernsatz 1 Alles, was nicht explizit erlaubt ist, ist verboten. 1.2 Ziel der Richtlinien 2 Die Richtlinien dienen der Erreichung und Aufrechterhaltung eines hohen Schutzbedarfs im Hinblick auf Integrität und Vertraulichkeit der Daten gemäß Empfehlungen des BSI Grundschutzhandbuchs. 1.3 Geltungsbereich 3 Der Geltungsbereich der Leitlinien und Richtlinien sowie der Basissicherheitsmaßnahmen erstreckt sich auf alle Daten, Systeme und Netzwerkkomponenten, die im Zusammenhang mit dem Programm "Antrag-Online" stehen. 4 Die Leitlinien und Richtlinien sind für alle Mitarbeiter der Gemeinden und der Versicherungsämter, die "Antrag-Online" bedienen, benutzen oder damit zu tun haben, bindend. 1.4 Genehmigung und Änderung 5 Die Leitlinien und die Richtlinien zur IT-Sicherheit des Programms "Antrag-Online" werden durch den IT-Sicherheitsbeauftragten der Deutschen Rentenversicherung in Absprache mit dem Datenschutzbeauftragten und mit dem Verantwortlichen für Antrag-Online im Einklang mit dem BSI-Grundschutzhandbuch verabschiedet bzw. geändert und in Kraft gesetzt. 6 Der IT-Sicherheitsbeauftragte ist für die Definition, Dokumentation, Freigabe und Kontrolle von Sicherheitsstandards für Antrag-Online gemäß dem IT-Grundschutzhandbuch verantwortlich. Er kann diese Aufgabe an den Verantwortlichen für Antrag-Online bei der Deutschen Rentenversicherung delegieren. 7 Der Verantwortliche für Antrag-Online ist der Ansprechpartner der Deutschen Rentenversicherung für Versicherungsämter und Ge- 7

8 meindebehörden in Fragen der Sicherheit, die Antrag-Online betreffen. 8 Alle Vereinbarungen mit den Teilnehmern am Antrag-Online- Verfahren bedürfen einer schriftlichen Form. 1.5 Verantwortliche für das Verfahren Antrag-Online bei den Gemeindebehörden/ Versicherungsämtern 9 Der Leiter der Gemeindebehörde bzw. des Versicherungsamtes ist der Verfahrensverantwortliche für Antrag-Online. Er sorgt für die Einhaltung der Sicherheitsvorschriften, die in den Richtlinien und in den erforderlichen Basissicherheitsmaßnahmen beschrieben sind. 8

9 2 Handlungsanweisungen Die Handlungsanweisungen stellen in knapper Form Maßnahmen dar, die in den Richtlinien im Anhang B an den in Klammern angegeben Stellen (R n, R = Richtlinie, n = Nummer) ausführlicher beschrieben werden. 1 IT-Sicherheitskoordinator Die am Verfahren Antrag-Online teilnehmenden Gemeindebehörden und Versicherungsämter (GuV) benennen den zuständigen Versicherungsträgern und der Deutschen Rentenversicherung einen IT-Sicherheitskoordinator und seinen Vertreter (R 1) 2 Wartungs- und Reparaturarbeiten Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. (R 2, 3) 3 Benutzer- und Zugangsverwaltung Die Anmeldung an die Anwendung erfolgt über Benutzerkennung und Passwort. Der Leiter der Organisation, der für die Nutzung des Verfahrens verantwortlich ist, und der lokale Administrator regeln die Vergabe von Zugriffsrechten grundsätzlich und dokumentieren diese. Dabei ist nur den Benutzern und Administratoren, die mit Antrag-Online arbeiten, Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Es ist darauf zu achten, dass die Rollentrennung von Administrator und Anwender, wie im Programm vorgesehen, eingehalten wird. Benutzer, die online Daten empfangen oder senden sollen, müssen zuvor vom Leiter der Organisation der Deutschen Rentenversicherung zur Freigabe gemeldet und zertifiziert werden. (R 4-6) (Kryptokonzept) 4 Reaktion auf Störungen, Verletzungen der Sicherheitspolitik oder Alarmierungen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan (Anhang A) festgelegte Schritte einzuhalten. (R 7 + R 13) 9

10 Nach einem eingetretenen Sicherheitsvorfall ab Eskalationsstufe 2 soll der IT-Sicherheitskoordinator die Durchführung der Maßnahmen einer abschließenden Bewertung unterziehen und die Ergebnisse dieser Bewertung allen beteiligten Stellen mitteilen. (R 16) 5 Einweisung und Schulung Die Benutzer und Administratoren, die mit Antrag-Online arbeiten, erhalten eine Unterweisung in der Anwendung des Programms. Der Administrator muss außerdem fundierte Kenntnisse über die eingesetzten IT-Komponenten bzw. Protokolle besitzen und auch entsprechend geschult werden. (R 8) 6 Allgemeine Sicherheitsanweisung Alle Mitarbeiter erhalten eine allgemeine Sicherheitsanweisung für die Nutzung der allgemeinen technischen Infrastruktur sowie der sicherheitsorganisatorischen Maßnahmen, die in einer Dienstanweisung zusammengefasst sind. Die Mitarbeiter sind auf die Einhaltung der einschlägigen Gesetze, Vorschriften und Regelungen zu verpflichten. (R 9) 7 Vertretungsregeln Es muss geregelt sein, wer den Administrator für Antrag-Online vertritt. Der Vertreter muss ausreichend geschult sein. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. (R 10) 8 Regelungen zum Passwort, Abmelden vom System Folgende Regelungen zum Passwort müssen eingehalten werden (R 11): Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und sollte nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Jeder Benutzer muss sich nach Aufgabenerfüllung am IT-System abmelden. 10

11 9 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters sind folgende Schritte durchzuführen (R 12): Es dürfen keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/von der Deutschen Rentenversicherung ist zu sperren. 10 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln Beim Entsorgen von Festplatten, auf denen Daten aus dem Verfahren Antrag-Online gespeichert sind, und von gedruckten Materialien, wie z.b. Formulare oder Unterschriftenblatt, ist darauf zu achten, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind. 11

12 Anhang A: Alarmierungsplan für Sicherheitsvorfälle Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden größeren Schäden handelt. Verantwortlichkeiten Der IT-Sicherheitskoordinator ist aus Sicht der Deutschen Rentenversicherung der Notfall-Verantwortliche. Er ist für die Bewertung von Sicherheitsvorfällen (Eskalationsstufen) und rechtzeitige Einleitung von Notfallmaßnahmen zuständig. Er sollte eine erste Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgeben. Weitere Ansprechpartner sind der Behördenleiter und der Datenschutzbeauftragte. Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Stufe 1 Was kennzeichnet Sicherheitsstufe 1: z.b.: - gehäufte Probleme bei der Benutzeranmeldung - gehäufte Probleme beim Versenden und Empfangen der Datensätze - gehäufte Probleme bei der Installation - gehäufte Probleme beim Anlegen/Sperren von Nutzern - gehäufte Probleme bei der Vergabe von Zertifikaten - Verlust von Daten Maßnahmen: - Mitarbeiter meldet den Vorfall dem Administrator - Administrator meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator sorgt für die Qualitätssicherung - IT-Sicherheitskoordinator informiert die Hotline der Versicherungsträger - Innerhalb von 2 Werktagen erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 12

13 Stufe 2 Was kennzeichnet Sicherheitsstufe 2: z.b.: - Verdacht auf Missbrauch von Daten - Verlust von Daten - Verdacht auf unautorisierte Änderung von Daten - Verdacht auf unerlaubte Änderung am Programm (Code und Konfiguration) - Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) - Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten - massenhaftes Auftreten von Computer-Viren Maßnahmen: - Mitarbeiter meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator veranlasst Sperrung der Benutzerschlüssel für die Onlineübertragung aller Antrag-Online-Nutzer des betroffenen Versicherungsamtes/der Gemeindebehörde und informiert den Behördenleiter - IT-Sicherheitskoordinator veranlasst Sperrung aller lokalen Nutzer-Accounts zum Programm Antrag-Online sowie zu den entsprechenden Verzeichnissen - IT-Sicherheitskoordinator informiert den Antrag-Online-Verantwortlichen der Deutschen Rentenversicherung - Die Unterstützung der Deutschen Rentenversicherung bei der Aufklärung des Sicherheitsvorfalls wird durch die lokal Verantwortlichen sichergestellt (Dokumentation, Sicherung von Beweismitteln, Erreichbarkeit der Verantwortlichen) - Der Verantwortliche für Antrag-Online definiert die Voraussetzungen für einen Wiederanlauf - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 13

14 Stufe 3 Was kennzeichnet Sicherheitsstufe 3: z.b.: - vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) - Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) - Missbrauch von Daten - unerlaubte Weitergabe von Daten - unautorisierte Änderung von Daten - unerlaubte Änderung am Programm (Code und Konfiguration) Maßnahmen: - IT-Sicherheitskoordinator informiert umgehend den Verantwortlichen für Antrag - Online der Deutschen Rentenversicherung und den Behördenleiter - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen - Prüfung durch den zuständigen Datenschutzbeauftragten des Versicherungsamtes - Information der Aufsichtsbehörden der Versicherungsämter 14

15 Anhang B: Richtlinien In dem Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter (GuV) sind Maßnehmen festgelegt, deren Umsetzung die Sicherheit des Verfahrens Antrag-Online gewährleisten. Diejenigen, die direkt den Umgang mit dem Programm Antrag-Online betreffen, sind hier auf der Grundlage des GSHB in verkürzter Form beschrieben. Sie sind folgenden Bausteinen zugeordnet: I. Organisation II. Personal III. Behandlung von Sicherheitsvorfällen Mit dem angegeben Paragrafen (R n) werden die Richtlinien im Basissicherheitscheck referenziert, andererseits wird zu jeder Richtlinie im Abschnitt Grundlage auf die entsprechende Maßnahme (M n.m) im GSHB bzw. Basissicherheitscheck hingewiesen: - n enthält die Nummer der Richtlinie - der Titel enthält eine Kurzbezeichnung der Richtlinie bzw. der Gruppe von Richtlinien - Grundlage beschreibt die Maßnahme im Grundschutzhandbuch I. Organisation Die folgende Grafik stellt eine rollenbasierte Darstellung der Sicherheitsorganisation im Rahmen des Antrag-Online dar: DRV GuV Anm.: Es handelt sich bei den Rollendefinitionen um Idealformen; so kann es sein, dass in kleinen GuV der Behördenleiter gleichzeitig auch IT-Sicherheitskoordinator ist. 15

16 1 Der lokale IT-Sicherheitskoordinator bei Gemeindebehörden und Versicherungsämtern Er trägt die Verantwortung für: die Umsetzung von Sicherheitsstandards für Installation, Konfiguration, Betrieb und Nutzung der Antrag-Online-Clients, die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen (Notfall- Verantwortlicher) bei Eintreten der unten definierten Sicherheitsvorfälle, die Entgegennahme von Meldungen über Sicherheitsvorfälle, die Untersuchung und Bewertung von Sicherheitsvorfällen, die Nachbearbeitung des Sicherheitsvorfalls und die Überprüfung der Einhaltung der Sicherheitsvorkehrungen. Grundlage: BSI Grundschutzhandbuch (M 2.1 (2)) Vorgaben aus der Definition des Datenschutzbeauftragten Notfall-Definition, Notfall-Verantwortlicher Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen 2 Wartungs- und Reparaturarbeiten im Hause Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen: Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern. Wartungstechniker müssen sich auf Verlangen ausweisen. Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden. Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu löschen. Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach "Eindringtiefe" des Wartungspersonals - Passwortänderungen erforderlich. 16

17 Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers). Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 3 Externe Wartungs- und Reparaturarbeiten Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 4 Einrichtung von Accounts Account-Namen müssen eindeutig gewählt werden. Aus der Wahl eines Account- Namens sollte der Verwendungszweck hervorgehen. Accounts dürfen grundsätzlich nur durch den Administrator eingerichtet werden. Accounts für den Administrator und seinen Vertreter müssen auf diese Mitarbeiter beschränkt sein. Wenn ein Mitarbeiter ausscheidet oder seine Tätigkeit wechselt, müssen alle ihm zugewiesenen Accounts unverzüglich gelöscht und alle ihm bekannten Passwörter geändert werden. Die vorübergehende Sperrung einer Zugangsberechtigung sollte bei länger währender Abwesenheit der berechtigten Person vorgenommen werden, um Missbräuche zu verhindern. Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzerkennungen ist zu dokumentieren. Jeder Arbeitsplatzrechner eines Mitarbeiters muss so konfiguriert werden, dass nach 5 Minuten ohne Benutzerrückmeldung der manuelle Zugriff auf den Rechner automatisch gesperrt wird, z. B. durch einen Bildschirmschoner mit Passwortschutz. 17

18 Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Organisation Vergabe von Zugangsberechtigungen Vergabe von Zugriffsberechtigungen 5 Umgang mit Passwörtern Passwörter dürfen grundsätzlich nicht weitergegeben werden. Bei Verlust eines Administrationspasswortes müssen zusätzliche Möglichkeiten existieren, um administrativen Zugang zum jeweiligen System zu erlangen. Bei Verdacht auf Kompromittierung von Accounts oder Passwörtern sind die Passwörter unverzüglich zu ändern. Es ist verboten, die Benutzer-Passwörter zu hinterlegen. Die Administrator- Passwörter müssen dagegen sicher deponiert werden (z.b. im Tresor). Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1) M 2.22(2)) Organisation Regelungen des Passwortgebrauchs Hinterlegen des Passwortes 6 Vergabe von Zugriffsrechten Die Festlegung und Veränderung von Zugriffsrechten ist vom Administrator oder IT-Sicherheitskoordinator für Antrag-Online zu veranlassen und zu dokumentieren. Nur den Benutzern und Administratoren, die mit dem Programm Antrag-Online arbeiten, ist Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Vergabe von Zugriffsrechten 18

19 7 Vorgehen bei Problemen und Verstößen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan festgelegten Schritte einzuhalten. Bei vorsätzlichem oder fahrlässigem Verstoß gegen die Leit- und Richtlinien durch die Mitarbeiter sind die gleichen Maßnahmen zu treffen wie bei Missachtung von Organisationsanweisungen. Nach Prüfung durch den Datenschutzbeauftragten der Deutschen Rentenversicherung sind in Abhängigkeit von der Schwerwiegendheit des Verstoßes die Aufsichtsbehörden der Versicherungsämter zu informieren. Grundlage: BSI Grundschutzhandbuch (M 2.39 (2)) Reaktion auf Verletzung der Sicherheitspolitik II. Personal 8 Einarbeitung / Einweisung neuer Mitarbeiter Neue eingestellte Mitarbeiter müssen vor Nutzung des Programms Antrag-Online eine Einweisung bekommen. Jedem Mitarbeiter sind die notwendigen Dokumentationen (Handbuch, Installationshandbuch) zur Verfügung zu stellen. Im Rahmen der Einweisung neuer Mitarbeiter müssen diesen die Handlungsanweisungen sowie der Leitfaden und die Richtlinien bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M 3.1 (1), M 3.4 (1), M 3.5 (1), M 3.6 (2) ) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Schulung zu IT-Sicherheitsmaßnahmen 19

20 9 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Bei der Einstellung von Mitarbeitern müssen diese verpflichtet werden, einschlägige Gesetze (z. B. 5 BDSG "Datengeheimnis"), Vorschriften und interne Regelungen einzuhalten. Damit sollen neue Mitarbeiter mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Die erforderlichen Exemplare der Vorschriften und Regelungen müssen ausgehändigt bzw. an zentraler Stelle zur Einsichtnahme vorgehalten werden. Die Verpflichtung muss von den Mitarbeitern gegengezeichnet werden. Grundlage: BSI Grundschutzhandbuch (M 3.5 (2)) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen 10 Vertretungsregelungen Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. Es muss geregelt sein, wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Der Vertreter muss ausreichend geschult sein, damit er die Aufgaben inhaltlich übernehmen kann. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. Grundlage: BSI Grundschutzhandbuch ( M 3.3 (1)) Vertretungsregelungen 11 Umgang mit dem Passwort, Abmelden vom System Jeder Antrag-Online Account muss bei der ersten Anmeldung geändert werden. Folgende Regelungen zum Passwort müssen eingehalten werden: 20

21 Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und darf nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen. Wird ein System von mehreren Benutzern genutzt und besitzen die einzelnen Benutzer unterschiedliche Zugriffsrechte, so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden, wenn jeder Benutzer sich nach Aufgabenerfüllung am IT- System abmeldet. Grundlage: BSI Grundschutzhandbuch (M 3.5(1)) (3.5(1)) Regelungen des Passwortgebrauchs (M 2.11) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung 12 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters ist zu gewährleisten, dass keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/ von der Deutschen Rentenversicherung ist zu sperren. Wenn der Mitarbeiter die Rolle des Administrators inne hatte, müssen die Passwörter aller Systeme geändert werden, zu denen der ausgeschiedene Mitarbeiter Zugang besaß. Grundlage: BSI Grundschutzhandbuch (M3.6 (2)) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern 21

22 III. Behandlung von Sicherheitsvorfällen 13 Sicherheitsvorfälle Als Sicherheitsvorfall wird ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen großen Schaden sowohl bezüglich Vertraulichkeit als auch Integrität der Daten hervorrufen können. Die Verfügbarkeit hat dabei keine Bedeutung. Sicherheitsvorfälle werden zum Beispiel erkennbar durch: Datensätze, die ohne erkennbaren Grund verloren gehen Ohne erkennbaren Grund gesperrte Kennungen Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten massenhaftes Auftreten von Computer-Viren vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) Grundlage: BSI Grundschutzhandbuch (M 6.58 (1)) Behandlung von Sicherheitsvorfällen 14 Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Für Antrag-Online werden folgende Eskalationsstufen unterschieden: Stufe 1 Stufe 2 Stufe 3 Qualitätssicherung als Vorstufe zur Eskalation Standard-Eskalation Krisen-Eskalation Die Qualitätssicherung sichert die Systemdaten und beschreibt die zur Klassifizierung und Bearbeitung nötigen Informationen für eintretende Sicherheitsvorfälle. Die Standard-Eskalation beschreibt die Vorgehensweise bei absehbaren bzw. eingetretenen Abweichungen der Standardnutzung. Die Krisen-Eskalation ist eine weitere Aktionsstufe innerhalb der Eskalationsprozedur, die bei Störungen mit hohem Schaden und hoher Tragweite zur Anwen- 22

23 dung kommt, sofern die Möglichkeiten der Standard-Eskalation für diese spezielle Situation nicht ausreichend sind. Grundlage: BSI Grundschutzhandbuch (M 6.61 (1)) Eskalationsstrategie für Sicherheitsvorfälle 15 Reaktion auf Störungen oder Alarmierungen Es muss untersucht werden, wie und wo die Verletzung der Leit- und Richtlinien entstanden ist. Anschließend müssen die angemessenen schadensbehebenden oder -mindernden Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art der Verletzung als auch vom Verursacher ab. Es muss geregelt sein, wer für Kontakte mit anderen Instanzen/Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl. mitbetroffene Stellen schnellstens informiert werden. Die Verantwortlichkeiten und Maßnahmen sind im Alarmierungsplan beschrieben. Der Alarmierungsplan muss - allen Notfallverantwortlichen in den GuV zur Verfügung gestellt werden, - an zentraler Stelle redundant gehalten werden, - allen Mitarbeitern bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M6.58 (1) M 6.65 (2)) ) Behandlung von Sicherheitsvorfällen 16 Evaluierung der Eskalationsstrategie Nach einem eingetretenen Sicherheitsvorfall ist die Durchführung der Maßnahmen zu auditieren und einer abschließenden Bewertung zu unterziehen. Die Ergebnisse dieser Bewertung sind allen beteiligten Stellen mitzuteilen, um eine transparente Optimierung der Sicherheitsmechanismen zu ermöglichen. Grundlage: BSI Grundschutzhandbuch (M6.66 (2)) Behandlung von Sicherheitsvorfällen 23

24 Anlage: Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme Wie in der Präambel erwähnt, wurde auf der Grundlage des IT-Grundschutzhandbuches ein Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter durchgeführt. Dabei wurden Maßnahmen für bestimmte IT-Komponenten (Bausteine) festgelegt, die gewährleisten sollen, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Im folgenden sind die Maßnahmen aus dem Basissicherheitscheck zusammengestellt, für die keine Handlungsanweisungen im vorliegenden Dokument abgeleitet wurden: 1. Maßnahmen für bestimmte IT-Komponenten Baustein Serverraum Maßnahme Beschreibung M 1.15 Geschlossene Fenster und Türen M 1.23 Abgeschlossene Türen M 1.58 Technische und organisatorische Vorgaben für Serverräume M 2.14 Schlüsselverwaltung M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen M 2.17 Zutrittsregelung und kontrolle M 2.18 Kontrollgänge (optional) Baustein 5.5 PC unter Windows NT Maßnahme Beschreibung M 2.4 Regelungen für Wartungs- und Reparaturarbeiten M 2.9 Nutzungsverbot nicht freigegebener Software M 2.10 Überprüfung des Software-Bestandes M 2.22 Hinterlegen des Passwortes 24

Leitlinie und Richtlinien zur IT- Sicherheit

Leitlinie und Richtlinien zur IT- Sicherheit Leitlinie und Richtlinien zur IT- Sicherheit bei Nutzung des Verfahrens eantrag der Deutschen Rentenversicherung in den Gemeindebehörden und Versicherungsämtern 001.00.01 Autoren Ilona Werner Deutsche

Mehr

Sicherheitsrichtlinie zur IT-Nutzung

Sicherheitsrichtlinie zur IT-Nutzung Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015 Landessynode Ev. Landeskirche Anhalts 7. Tagung - 23. Legislaturperiode 17. und 18. April 2015 in Köthen Die Landessynode hat beschlossen: Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom...

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Security VU WS2009 Protokoll Gruppe 5 Lab2

Security VU WS2009 Protokoll Gruppe 5 Lab2 Security VU WS2009 Protokoll Gruppe 5 Lab2 Harald Demel, Matr. Nr. 0728129 tuempl@gmail.com Richard Holzeis, Matr. Nr. 0726284 richard_holzeis@gmx.at Manuel Mausz, Matr. Nr. 0728348 manuel-tu@mausz.at

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 BSI-GRUNDSCHUTZTAG 2015 GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 Frank Rustemeyer 1 Was bisher geschah Client B 3.205 Client unter Windows NT B 3.206 Client unter Windows 95 B 3.207 Client unter Windows

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude

Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude zwischen dem / der und der Mitarbeitervertretung im Das und die Mitarbeitervertretung

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG)

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG) Datenschutzrechtliche Anforderungen an Kommunen Die Bestimmungen des ThürDSG gelten für die Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

Sicherheitsrichtlinie

Sicherheitsrichtlinie Sicherheitsrichtlinie Informationssicherheit und Datenschutz für IT-Fremddienstleister Herausgegeben von den Informationssicherheitsbeauftragten der MVV Gruppe MVV Gruppe Seite 1 von 7 Inhaltsverzeichnis

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte

Mehr

Datensicherheit beim Telefaxverkehr. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. www.ldi.nrw.

Datensicherheit beim Telefaxverkehr. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. www.ldi.nrw. Datensicherheit beim Telefaxverkehr Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen www.ldi.nrw.de Orientierungshilfe Datensicherheit beim Telefaxverkehr Beim Telefaxverfahren

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Universität Bielefeld

Universität Bielefeld Universität Bielefeld IT-Sicherheitsrichtlinie zur Handhabung von IT-Sicherheitsvorfällen Referenznummer Titel Zielgruppe IT-SEC RL010 IT-Sicherheitsrichtlinie zur Handhabung von IT- Sicherheitsvorfällen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung

Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung Sicherheitsrichtlinie für die Internet- und E-Mail-Nutzung - Beispiel - Stand: Juni 2004 1/6 INHALTSVERZEICHIS 1 EINLEITUNG...2 2 GELTUNGSBEREICH...2 3 ORGANISATION...3 3.1 STELLEN...3 3.2 GRUNDSÄTZLICHE

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Dienstvereinbarung. Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten der TU Dortmund

Dienstvereinbarung. Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten der TU Dortmund Dienstvereinbarung Fürdie Einführung und Nutzung des Zutrittskontrollsystems SIPORT in den Räumlichkeiten wird zwischen der Rektorin und dem Personalrat der wissenschaftlich und künstlerisch Beschäftigten

Mehr

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter.

BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT. Access Rights Management. Only much Smarter. BERECHTIGUNGS- ACCESS UND GOVERNANCE USERMANAGEMENT Access Rights Management. Only much Smarter. Die Firma: Protected Networks Die 2009 in Berlin gegründete Protected Networks GmbH entwickelt integrierte

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Nutzungsordnung für Angebote der LernManagementSysteme an der Hochschule Neubrandenburg Anlage E

Nutzungsordnung für Angebote der LernManagementSysteme an der Hochschule Neubrandenburg Anlage E Nutzungsordnung für Angebote der LernManagementSysteme an der Hochschule Neubrandenburg Anlage E Inhalt: 1 Anwendungsbereich... 1 2 Registrierung (Anmeldung) und Zugangskennung... 1 3 Ende der Nutzungsberechtigung...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG

Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG Gesamtverzeichnis für gemeinsame Verfahren nach 15 HDSG lfd. Nr. neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 15 Abs. 2 Satz 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Vermerk Vertraulichkeit: Offen Inhalt: Einleitung und Geltungsbereich...3 1. Ziele der Informationssicherheit...4 2. Grundsätze der Informationssicherheit...4

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

WLAN-AGB. 1. Gegenstand. 2. Nutzungsberechtigung. 3. Sicherheit

WLAN-AGB. 1. Gegenstand. 2. Nutzungsberechtigung. 3. Sicherheit Seite 1/5 WLAN-AGB 1. Gegenstand Die nachfolgenden WLAN-AGB regeln die Nutzung und den Zugang zum WLAN ( BVB WLAN ) der Borussia Dortmund GmbH und Co. KGaA ( BVB ). 2. Nutzungsberechtigung 2.1. Die Nutzung

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

IT-Sicherheit Police der Swiss Remarketing

IT-Sicherheit Police der Swiss Remarketing IT-Sicherheit Police der Swiss Remarketing Inhaltsübersicht 1 Information 1.1 Einleitung 1.2 Sicherheitsbewusstsein 2 Grundsatzaussage 2.1 Informationsklassifizierung und -kontrolle 2.1.1 Backup-Sicherung

Mehr

Handlungsempfehlung zum Aufbau eines Security-Incident Management

Handlungsempfehlung zum Aufbau eines Security-Incident Management Handlungsempfehlung zum Aufbau eines Security-Incident Management Arbeitskreis IT-Security des bvh was sind ein Security-Incident und ein Security-Incident Management Aufbau eines Security-Incident Management

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen

Landkreis Harburg. Warum ein IT-Sicherheitsbeauftragter? Beweggründe. Mike Wille Betriebsleiter IT. 11. Kommunales IuK-Forum Niedersachsen Landkreis Harburg Warum ein IT-Sicherheitsbeauftragter? Beweggründe Mike Wille Betriebsleiter IT Landkreis Harburg Vertraulichkeit Verfügbarkeit Informationssicherheit Integrität Landkreis Harburg die

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO

Mehr

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06. Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.2015) / / Öffentlich-rechtliche Vereinbarung über die Bereitstellung

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG Bemerkung: Betriebliche Datenschutzbeauftragte fragen nach wie vor an, wie das Verfahrensregister zu gestalten ist, was er nach 4g Abs. 2 resp. 4e Satz 1 BDSG zu führen und auszugsweise für jedermann zur

Mehr

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Checkliste I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Seite 02 1 Betriebskonzept 0. Allgemeines Der Gliederungspunkt «0 Allgemeines» soll nicht als Kapitel gestaltet

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Persona-SVS e-sync auf Windows Terminal Server

Persona-SVS e-sync auf Windows Terminal Server Persona-SVS e-sync auf Windows Terminal Server 2014 by Fraas Software Engineering GmbH Alle Rechte vorbehalten. Fraas Software Engineering GmbH Sauerlacher Straße 26 82515 Wolfratshausen Germany http://www.fraas.de

Mehr

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Autor: Bundesamt für Sicherheit in der Informationstechnik (BSI) Stand: Dezember 2008 Seite 1 von 9 1 Einleitung Informationssicherheit

Mehr

Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutz Arbeitnehmerdatenschutz Umsetzung im Unternehmen Klaus Foitzick Vorstand Activemind AG Technologie- und Managementberatung München, 26. November 2009 IHK- Informationsveranstaltung - Arbeitnehmerdatenschutz

Mehr

Ordnung zur Sicherstellung der Anforderungen an den Datenschutz in der Informationstechnik (IT) (IT-Sicherheitsordnung)

Ordnung zur Sicherstellung der Anforderungen an den Datenschutz in der Informationstechnik (IT) (IT-Sicherheitsordnung) Ordnung zur Sicherstellung der Anforderungen an den Datenschutz in der Informationstechnik (IT) (IT-Sicherheitsordnung) Vom 8. Juli 2013 (ABl. Anhalt 2013 Bd. 1, S 3); Zustimmung der Landessynode durch

Mehr

Administrative Tätigkeiten

Administrative Tätigkeiten Administrative Tätigkeiten Benutzer verwalten Mit der Benutzerverwaltung sind Sie in der Lage, Zuständigkeiten innerhalb eines Unternehmens gezielt abzubilden und den Zugang zu sensiblen Daten auf wenige

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr