Leitlinien und Richtlinien

Größe: px
Ab Seite anzeigen:

Download "Leitlinien und Richtlinien"

Transkript

1 Leitlinien und Richtlinien Zur Nutzung des Verfahrens Antrag-Online der Deutschen Rentenversicherung bei den Gemeindebehörden und Versicherungsämtern

2 Autoren Dörthe Rückl Deutsche Rentenversicherung/Bund, Würzburg Tel.: +49(0)

3 Inhaltsverzeichnis PRÄAMBEL LEITLINIEN ZUR IT-SICHERHEIT FÜR DEN EINSATZ DES VERFAHRENS "ANTRAG-ONLINE" KERNSATZ ZIEL DER RICHTLINIEN GELTUNGSBEREICH GENEHMIGUNG UND ÄNDERUNG VERANTWORTLICHE FÜR DAS VERFAHREN ANTRAG-ONLINE BEI DEN GEMEINDEBEHÖRDEN/ VERSICHERUNGSÄMTERN HANDLUNGSANWEISUNGEN IT-SICHERHEITSKOORDINATOR WARTUNGS- UND REPARATURARBEITEN BENUTZER- UND ZUGANGSVERWALTUNG REAKTION AUF STÖRUNGEN, VERLETZUNGEN DER SICHERHEITSPOLITIK ODER ALARMIERUNGEN EINWEISUNG UND SCHULUNG ALLGEMEINE SICHERHEITSANWEISUNG VERTRETUNGSREGELN REGELUNGEN ZUM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS ORDNUNGSGEMÄßE ENTSORGUNG VON SCHÜTZENSWERTEN BETRIEBSMITTELN 11 ANHANG A: ALARMIERUNGSPLAN FÜR SICHERHEITSVORFÄLLE ANHANG B: RICHTLINIEN I. ORGANISATION DER LOKALE IT-SICHERHEITSKOORDINATOR BEI GEMEINDEBEHÖRDEN UND VERSICHERUNGSÄMTERN WARTUNGS- UND REPARATURARBEITEN IM HAUSE EXTERNE WARTUNGS- UND REPARATURARBEITEN EINRICHTUNG VON ACCOUNTS UMGANG MIT PASSWÖRTERN VERGABE VON ZUGRIFFSRECHTEN VORGEHEN BEI PROBLEMEN UND VERSTÖßEN II. PERSONAL EINARBEITUNG / EINWEISUNG NEUER MITARBEITER VERPFLICHTUNG DER MITARBEITER AUF EINHALTUNG EINSCHLÄGIGER GESETZE, VORSCHRIFTEN UND REGELUNGEN

4 10 VERTRETUNGSREGELUNGEN UMGANG MIT DEM PASSWORT, ABMELDEN VOM SYSTEM AUSSCHEIDEN EINES MITARBEITERS III. BEHANDLUNG VON SICHERHEITSVORFÄLLEN SICHERHEITSVORFÄLLE ESKALATIONSSTUFEN REAKTION AUF STÖRUNGEN ODER ALARMIERUNGEN EVALUIERUNG DER ESKALATIONSSTRATEGIE ANLAGE: ERFORDERLICHE SICHERHEITSMAßNAHMEN FÜR HARDWARE UND BETRIEBSYSTEME GLOSSAR

5 Präambel Die Deutsche Rentenversicherung (DRV) bietet den Gemeinden / Versicherungsämtern (GuV) eine Softwarelösung zur computerunterstützten Antragserfassung (kurz "Antrag-Online") von Rentenanträgen an. Da die Speicherung, Verarbeitung und die Kommunikation personenbezogene Daten beinhalten, ist ein hoher Schutzbedarf im Hinblick auf Integrität und Vertraulichkeit gegeben. Um mögliche Gefahren zu erkennen, die den Schutz der Daten bedrohen, und Maßnahmen dagegen zu definieren, wurde auf der Grundlage des IT-Grundschutzhandbuchs (GSHB) ein Sicherheitskonzept erstellt. Dies entspricht auch den Anforderungen des 151 a SGB IV für eine Onlineanbindung im Verfahren Antrag- Online. Die erforderlichen Sicherheitsvorkehrungen beim Zugang zum Programm sowie für die Datenspeicherung und den Datentransport sind in der Applikation implementiert. Darüber hinaus wurde die "Datensenke", dazu gehören Server und Hosts bei der Deutschen Rentenversicherung, die die Daten empfangen, und der Datentransfer vom Client (GuV) zum Server (DRV) sicherheitsgeprüft. Weitere Sicherheitsmaßnahmen sind für die im Antrag-Online-Verfahren eingesetzten IT-Komponenten bei der Gemeindebehörde bzw. dem Versicherungsamt erforderlich. Da die IT-Strukturen in den am Verfahren beteiligten GuV sehr vielfältig sind, wurden zunächst alle möglichen Komponenten (Bausteine) ermittelt. Zu diesen Bausteinen sind lt. GSHB gewisse Gefährdungen und entsprechende Maßnahmen dagegen definiert. Diese sind im Einvernehmen mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) im Basissicherheitscheck zu den GuV festgelegt worden. Eine ausführliche Beschreibung dieser Maßnahmen befindet sich im IT-Grundschutzhandbuch (GSHB). Einige der Maßnahmen betreffen direkt den Umgang mit dem Programm Antrag- Online (Organisation, Personal, Behandlung von Sicherheitsvorfällen). Für diese Maßnahmen sind im Teil 2 in dem vorliegenden Dokument in knapper Form Handlungsanweisungen beschrieben, die in den Leit- und Richtlinien im Anhang B ausführlicher beschrieben werden. Der Bezug zum Basissicherheitscheck und GSHB wird hier mit Referenzen verdeutlicht. Zum anderen muss gewährleistet sein, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Dafür sind die Maßnahmen umzusetzen, die im Teil 3, "Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme", aufgelistet und im GSHB genauer beschrieben sind. Das BSI weist im GSHB besonders auf die Notwendigkeit hin, dass für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen ein IT-Sicherheitsma- 5

6 nagement notwendig sei, das die Planungs- und Lenkungsaufgaben wahrnimmt. Aufgaben zum IT-Sicherheitsmanagement, die speziell Antrag-Online betreffen, werden zentral von der Deutschen Rentenversicherung wahrgenommen. Dennoch werden die Maßnahmen zu diesem Baustein ebenfalls in Teil 3 unter Empfohlene Maßnahmen aufgelistet, da sie der Sicherheit der IT-Infrastruktur bei den GuV dienen, im Gegensatz zu den oben genannten Maßnahmen allerdings keinen direkten Einfluss auf die Sicherheit von Antrag-Online haben. Die Einhaltung der Handlungsanweisungen sowie der Maßnahmen für Hardware und Betriebssysteme ist eine Voraussetzung für die Teilnahme an dem Antrag-Online- Verfahren mit Datenabruf und Datenübermittlung von bzw. an die Rentenversicherung und liegt im Verantwortungsbereich der Gemeindebehörden und Versicherungsämter (siehe Verpflichtungserklärung, Teil 4). Teil 1: Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" Teil 2: Handlungsanweisungen Anhang A: Alarmierungsplan. Anhang B: Richtlinien gemäß GSHB Teil 3: Anlage: Erforderliche Basissicherheitsmaßnahmen für Hardware und Betriebsysteme Teil 4: Verpflichtungserklärung 6

7 1 Leitlinien zur IT-Sicherheit für den Einsatz des Verfahrens "Antrag-Online" 1.1 Kernsatz 1 Alles, was nicht explizit erlaubt ist, ist verboten. 1.2 Ziel der Richtlinien 2 Die Richtlinien dienen der Erreichung und Aufrechterhaltung eines hohen Schutzbedarfs im Hinblick auf Integrität und Vertraulichkeit der Daten gemäß Empfehlungen des BSI Grundschutzhandbuchs. 1.3 Geltungsbereich 3 Der Geltungsbereich der Leitlinien und Richtlinien sowie der Basissicherheitsmaßnahmen erstreckt sich auf alle Daten, Systeme und Netzwerkkomponenten, die im Zusammenhang mit dem Programm "Antrag-Online" stehen. 4 Die Leitlinien und Richtlinien sind für alle Mitarbeiter der Gemeinden und der Versicherungsämter, die "Antrag-Online" bedienen, benutzen oder damit zu tun haben, bindend. 1.4 Genehmigung und Änderung 5 Die Leitlinien und die Richtlinien zur IT-Sicherheit des Programms "Antrag-Online" werden durch den IT-Sicherheitsbeauftragten der Deutschen Rentenversicherung in Absprache mit dem Datenschutzbeauftragten und mit dem Verantwortlichen für Antrag-Online im Einklang mit dem BSI-Grundschutzhandbuch verabschiedet bzw. geändert und in Kraft gesetzt. 6 Der IT-Sicherheitsbeauftragte ist für die Definition, Dokumentation, Freigabe und Kontrolle von Sicherheitsstandards für Antrag-Online gemäß dem IT-Grundschutzhandbuch verantwortlich. Er kann diese Aufgabe an den Verantwortlichen für Antrag-Online bei der Deutschen Rentenversicherung delegieren. 7 Der Verantwortliche für Antrag-Online ist der Ansprechpartner der Deutschen Rentenversicherung für Versicherungsämter und Ge- 7

8 meindebehörden in Fragen der Sicherheit, die Antrag-Online betreffen. 8 Alle Vereinbarungen mit den Teilnehmern am Antrag-Online- Verfahren bedürfen einer schriftlichen Form. 1.5 Verantwortliche für das Verfahren Antrag-Online bei den Gemeindebehörden/ Versicherungsämtern 9 Der Leiter der Gemeindebehörde bzw. des Versicherungsamtes ist der Verfahrensverantwortliche für Antrag-Online. Er sorgt für die Einhaltung der Sicherheitsvorschriften, die in den Richtlinien und in den erforderlichen Basissicherheitsmaßnahmen beschrieben sind. 8

9 2 Handlungsanweisungen Die Handlungsanweisungen stellen in knapper Form Maßnahmen dar, die in den Richtlinien im Anhang B an den in Klammern angegeben Stellen (R n, R = Richtlinie, n = Nummer) ausführlicher beschrieben werden. 1 IT-Sicherheitskoordinator Die am Verfahren Antrag-Online teilnehmenden Gemeindebehörden und Versicherungsämter (GuV) benennen den zuständigen Versicherungsträgern und der Deutschen Rentenversicherung einen IT-Sicherheitskoordinator und seinen Vertreter (R 1) 2 Wartungs- und Reparaturarbeiten Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. (R 2, 3) 3 Benutzer- und Zugangsverwaltung Die Anmeldung an die Anwendung erfolgt über Benutzerkennung und Passwort. Der Leiter der Organisation, der für die Nutzung des Verfahrens verantwortlich ist, und der lokale Administrator regeln die Vergabe von Zugriffsrechten grundsätzlich und dokumentieren diese. Dabei ist nur den Benutzern und Administratoren, die mit Antrag-Online arbeiten, Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Es ist darauf zu achten, dass die Rollentrennung von Administrator und Anwender, wie im Programm vorgesehen, eingehalten wird. Benutzer, die online Daten empfangen oder senden sollen, müssen zuvor vom Leiter der Organisation der Deutschen Rentenversicherung zur Freigabe gemeldet und zertifiziert werden. (R 4-6) (Kryptokonzept) 4 Reaktion auf Störungen, Verletzungen der Sicherheitspolitik oder Alarmierungen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan (Anhang A) festgelegte Schritte einzuhalten. (R 7 + R 13) 9

10 Nach einem eingetretenen Sicherheitsvorfall ab Eskalationsstufe 2 soll der IT-Sicherheitskoordinator die Durchführung der Maßnahmen einer abschließenden Bewertung unterziehen und die Ergebnisse dieser Bewertung allen beteiligten Stellen mitteilen. (R 16) 5 Einweisung und Schulung Die Benutzer und Administratoren, die mit Antrag-Online arbeiten, erhalten eine Unterweisung in der Anwendung des Programms. Der Administrator muss außerdem fundierte Kenntnisse über die eingesetzten IT-Komponenten bzw. Protokolle besitzen und auch entsprechend geschult werden. (R 8) 6 Allgemeine Sicherheitsanweisung Alle Mitarbeiter erhalten eine allgemeine Sicherheitsanweisung für die Nutzung der allgemeinen technischen Infrastruktur sowie der sicherheitsorganisatorischen Maßnahmen, die in einer Dienstanweisung zusammengefasst sind. Die Mitarbeiter sind auf die Einhaltung der einschlägigen Gesetze, Vorschriften und Regelungen zu verpflichten. (R 9) 7 Vertretungsregeln Es muss geregelt sein, wer den Administrator für Antrag-Online vertritt. Der Vertreter muss ausreichend geschult sein. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. (R 10) 8 Regelungen zum Passwort, Abmelden vom System Folgende Regelungen zum Passwort müssen eingehalten werden (R 11): Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und sollte nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Jeder Benutzer muss sich nach Aufgabenerfüllung am IT-System abmelden. 10

11 9 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters sind folgende Schritte durchzuführen (R 12): Es dürfen keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/von der Deutschen Rentenversicherung ist zu sperren. 10 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln Beim Entsorgen von Festplatten, auf denen Daten aus dem Verfahren Antrag-Online gespeichert sind, und von gedruckten Materialien, wie z.b. Formulare oder Unterschriftenblatt, ist darauf zu achten, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind. 11

12 Anhang A: Alarmierungsplan für Sicherheitsvorfälle Nach Eingang einer Meldung über eine sicherheitsrelevante Unregelmäßigkeit muss zunächst entschieden werden, ob es sich um ein lokales Sicherheitsproblem oder um einen Sicherheitsvorfall mit ggf. zu erwartenden größeren Schäden handelt. Verantwortlichkeiten Der IT-Sicherheitskoordinator ist aus Sicht der Deutschen Rentenversicherung der Notfall-Verantwortliche. Er ist für die Bewertung von Sicherheitsvorfällen (Eskalationsstufen) und rechtzeitige Einleitung von Notfallmaßnahmen zuständig. Er sollte eine erste Einschätzung der möglichen Schadenshöhe, der Folgeschäden, der potentiell intern und extern Betroffenen und möglicher Konsequenzen abgeben. Weitere Ansprechpartner sind der Behördenleiter und der Datenschutzbeauftragte. Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Stufe 1 Was kennzeichnet Sicherheitsstufe 1: z.b.: - gehäufte Probleme bei der Benutzeranmeldung - gehäufte Probleme beim Versenden und Empfangen der Datensätze - gehäufte Probleme bei der Installation - gehäufte Probleme beim Anlegen/Sperren von Nutzern - gehäufte Probleme bei der Vergabe von Zertifikaten - Verlust von Daten Maßnahmen: - Mitarbeiter meldet den Vorfall dem Administrator - Administrator meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator sorgt für die Qualitätssicherung - IT-Sicherheitskoordinator informiert die Hotline der Versicherungsträger - Innerhalb von 2 Werktagen erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 12

13 Stufe 2 Was kennzeichnet Sicherheitsstufe 2: z.b.: - Verdacht auf Missbrauch von Daten - Verlust von Daten - Verdacht auf unautorisierte Änderung von Daten - Verdacht auf unerlaubte Änderung am Programm (Code und Konfiguration) - Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) - Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten - massenhaftes Auftreten von Computer-Viren Maßnahmen: - Mitarbeiter meldet den Vorfall dem IT-Sicherheitskoordinator - IT-Sicherheitskoordinator veranlasst Sperrung der Benutzerschlüssel für die Onlineübertragung aller Antrag-Online-Nutzer des betroffenen Versicherungsamtes/der Gemeindebehörde und informiert den Behördenleiter - IT-Sicherheitskoordinator veranlasst Sperrung aller lokalen Nutzer-Accounts zum Programm Antrag-Online sowie zu den entsprechenden Verzeichnissen - IT-Sicherheitskoordinator informiert den Antrag-Online-Verantwortlichen der Deutschen Rentenversicherung - Die Unterstützung der Deutschen Rentenversicherung bei der Aufklärung des Sicherheitsvorfalls wird durch die lokal Verantwortlichen sichergestellt (Dokumentation, Sicherung von Beweismitteln, Erreichbarkeit der Verantwortlichen) - Der Verantwortliche für Antrag-Online definiert die Voraussetzungen für einen Wiederanlauf - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen 13

14 Stufe 3 Was kennzeichnet Sicherheitsstufe 3: z.b.: - vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) - Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) - Missbrauch von Daten - unerlaubte Weitergabe von Daten - unautorisierte Änderung von Daten - unerlaubte Änderung am Programm (Code und Konfiguration) Maßnahmen: - IT-Sicherheitskoordinator informiert umgehend den Verantwortlichen für Antrag - Online der Deutschen Rentenversicherung und den Behördenleiter - Innerhalb von 1 Werktag erhält das Versicherungsamt eine Erklärung zum weiteren Vorgehen - Prüfung durch den zuständigen Datenschutzbeauftragten des Versicherungsamtes - Information der Aufsichtsbehörden der Versicherungsämter 14

15 Anhang B: Richtlinien In dem Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter (GuV) sind Maßnehmen festgelegt, deren Umsetzung die Sicherheit des Verfahrens Antrag-Online gewährleisten. Diejenigen, die direkt den Umgang mit dem Programm Antrag-Online betreffen, sind hier auf der Grundlage des GSHB in verkürzter Form beschrieben. Sie sind folgenden Bausteinen zugeordnet: I. Organisation II. Personal III. Behandlung von Sicherheitsvorfällen Mit dem angegeben Paragrafen (R n) werden die Richtlinien im Basissicherheitscheck referenziert, andererseits wird zu jeder Richtlinie im Abschnitt Grundlage auf die entsprechende Maßnahme (M n.m) im GSHB bzw. Basissicherheitscheck hingewiesen: - n enthält die Nummer der Richtlinie - der Titel enthält eine Kurzbezeichnung der Richtlinie bzw. der Gruppe von Richtlinien - Grundlage beschreibt die Maßnahme im Grundschutzhandbuch I. Organisation Die folgende Grafik stellt eine rollenbasierte Darstellung der Sicherheitsorganisation im Rahmen des Antrag-Online dar: DRV GuV Anm.: Es handelt sich bei den Rollendefinitionen um Idealformen; so kann es sein, dass in kleinen GuV der Behördenleiter gleichzeitig auch IT-Sicherheitskoordinator ist. 15

16 1 Der lokale IT-Sicherheitskoordinator bei Gemeindebehörden und Versicherungsämtern Er trägt die Verantwortung für: die Umsetzung von Sicherheitsstandards für Installation, Konfiguration, Betrieb und Nutzung der Antrag-Online-Clients, die autorisierte und rechtzeitige Einleitung von Notfallmaßnahmen (Notfall- Verantwortlicher) bei Eintreten der unten definierten Sicherheitsvorfälle, die Entgegennahme von Meldungen über Sicherheitsvorfälle, die Untersuchung und Bewertung von Sicherheitsvorfällen, die Nachbearbeitung des Sicherheitsvorfalls und die Überprüfung der Einhaltung der Sicherheitsvorkehrungen. Grundlage: BSI Grundschutzhandbuch (M 2.1 (2)) Vorgaben aus der Definition des Datenschutzbeauftragten Notfall-Definition, Notfall-Verantwortlicher Festlegung von Verantwortlichkeiten bei Sicherheitsvorfällen 2 Wartungs- und Reparaturarbeiten im Hause Um nicht autorisierte Handlungen zu vermeiden, sollten Wartungs- und Reparaturarbeiten, insbesondere wenn sie durch Externe durchgeführt werden, durch eine fachkundige Kraft beaufsichtigt werden. Als Maßnahmen vor und nach Wartungs- und Reparaturarbeiten sind einzuplanen: Ankündigung der Maßnahme gegenüber den betroffenen Mitarbeitern. Wartungstechniker müssen sich auf Verlangen ausweisen. Der Zugriff auf Daten durch den Wartungstechniker ist soweit wie möglich zu vermeiden. Die dem Wartungstechniker eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu löschen. Nach der Durchführung von Wartungs- oder Reparaturarbeiten sind - je nach "Eindringtiefe" des Wartungspersonals - Passwortänderungen erforderlich. 16

17 Die durchgeführten Wartungsarbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des Wartungstechnikers). Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 3 Externe Wartungs- und Reparaturarbeiten Bei Wartungen oder Reparaturen, die außer Haus durchgeführt werden müssen, ist das Programm Antrag-Online und die zugehörigen Datenbestände auf dem betroffenen System vorher physikalisch zu löschen. Grundlage: BSI Grundschutzhandbuch (M2.4 (2)) Regelungen für Wartungs- und Reparaturarbeiten 4 Einrichtung von Accounts Account-Namen müssen eindeutig gewählt werden. Aus der Wahl eines Account- Namens sollte der Verwendungszweck hervorgehen. Accounts dürfen grundsätzlich nur durch den Administrator eingerichtet werden. Accounts für den Administrator und seinen Vertreter müssen auf diese Mitarbeiter beschränkt sein. Wenn ein Mitarbeiter ausscheidet oder seine Tätigkeit wechselt, müssen alle ihm zugewiesenen Accounts unverzüglich gelöscht und alle ihm bekannten Passwörter geändert werden. Die vorübergehende Sperrung einer Zugangsberechtigung sollte bei länger währender Abwesenheit der berechtigten Person vorgenommen werden, um Missbräuche zu verhindern. Die Ausgabe bzw. der Einzug von Zugangsmitteln wie Benutzerkennungen ist zu dokumentieren. Jeder Arbeitsplatzrechner eines Mitarbeiters muss so konfiguriert werden, dass nach 5 Minuten ohne Benutzerrückmeldung der manuelle Zugriff auf den Rechner automatisch gesperrt wird, z. B. durch einen Bildschirmschoner mit Passwortschutz. 17

18 Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Organisation Vergabe von Zugangsberechtigungen Vergabe von Zugriffsberechtigungen 5 Umgang mit Passwörtern Passwörter dürfen grundsätzlich nicht weitergegeben werden. Bei Verlust eines Administrationspasswortes müssen zusätzliche Möglichkeiten existieren, um administrativen Zugang zum jeweiligen System zu erlangen. Bei Verdacht auf Kompromittierung von Accounts oder Passwörtern sind die Passwörter unverzüglich zu ändern. Es ist verboten, die Benutzer-Passwörter zu hinterlegen. Die Administrator- Passwörter müssen dagegen sicher deponiert werden (z.b. im Tresor). Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1) M 2.22(2)) Organisation Regelungen des Passwortgebrauchs Hinterlegen des Passwortes 6 Vergabe von Zugriffsrechten Die Festlegung und Veränderung von Zugriffsrechten ist vom Administrator oder IT-Sicherheitskoordinator für Antrag-Online zu veranlassen und zu dokumentieren. Nur den Benutzern und Administratoren, die mit dem Programm Antrag-Online arbeiten, ist Schreib-/Lesezugriff auf alle Installationsverzeichnisse der aktuellen Version zu gewähren. Grundlage: BSI Grundschutzhandbuch (M2.7 (1), M2.8 (1)) Vergabe von Zugriffsrechten 18

19 7 Vorgehen bei Problemen und Verstößen Bei Missbrauch bzw. Schadensverdacht sind die im Alarmierungsplan festgelegten Schritte einzuhalten. Bei vorsätzlichem oder fahrlässigem Verstoß gegen die Leit- und Richtlinien durch die Mitarbeiter sind die gleichen Maßnahmen zu treffen wie bei Missachtung von Organisationsanweisungen. Nach Prüfung durch den Datenschutzbeauftragten der Deutschen Rentenversicherung sind in Abhängigkeit von der Schwerwiegendheit des Verstoßes die Aufsichtsbehörden der Versicherungsämter zu informieren. Grundlage: BSI Grundschutzhandbuch (M 2.39 (2)) Reaktion auf Verletzung der Sicherheitspolitik II. Personal 8 Einarbeitung / Einweisung neuer Mitarbeiter Neue eingestellte Mitarbeiter müssen vor Nutzung des Programms Antrag-Online eine Einweisung bekommen. Jedem Mitarbeiter sind die notwendigen Dokumentationen (Handbuch, Installationshandbuch) zur Verfügung zu stellen. Im Rahmen der Einweisung neuer Mitarbeiter müssen diesen die Handlungsanweisungen sowie der Leitfaden und die Richtlinien bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M 3.1 (1), M 3.4 (1), M 3.5 (1), M 3.6 (2) ) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Schulung zu IT-Sicherheitsmaßnahmen 19

20 9 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen Bei der Einstellung von Mitarbeitern müssen diese verpflichtet werden, einschlägige Gesetze (z. B. 5 BDSG "Datengeheimnis"), Vorschriften und interne Regelungen einzuhalten. Damit sollen neue Mitarbeiter mit den bestehenden Vorschriften und Regelungen zur IT-Sicherheit bekannt gemacht und gleichzeitig zu deren Einhaltung motiviert werden. Die erforderlichen Exemplare der Vorschriften und Regelungen müssen ausgehändigt bzw. an zentraler Stelle zur Einsichtnahme vorgehalten werden. Die Verpflichtung muss von den Mitarbeitern gegengezeichnet werden. Grundlage: BSI Grundschutzhandbuch (M 3.5 (2)) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen 10 Vertretungsregelungen Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. Es muss geregelt sein, wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Der Vertreter muss ausreichend geschult sein, damit er die Aufgaben inhaltlich übernehmen kann. Standardnutzer dürfen sich nicht gegenseitig vertreten, d.h. Nutzerkennung und Passwort dürfen in keinem Fall weitergegeben werden. Grundlage: BSI Grundschutzhandbuch ( M 3.3 (1)) Vertretungsregelungen 11 Umgang mit dem Passwort, Abmelden vom System Jeder Antrag-Online Account muss bei der ersten Anmeldung geändert werden. Folgende Regelungen zum Passwort müssen eingehalten werden: 20

21 Das Passwort darf nicht leicht zu erraten sein. Das Passwort muss geheim gehalten werden und darf nur dem Benutzer persönlich bekannt sein. Ein Passwortwechsel ist durchzuführen, wenn das Passwort unautorisierten Personen bekannt geworden ist. Die im Programm implementierten Sicherheitsvorkehrungen bei der Passworteingabe und -verwaltung sind im Handbuch nachzulesen. Wird ein System von mehreren Benutzern genutzt und besitzen die einzelnen Benutzer unterschiedliche Zugriffsrechte, so kann der erforderliche Schutz mittels einer Zugriffskontrolle nur dann erreicht werden, wenn jeder Benutzer sich nach Aufgabenerfüllung am IT- System abmeldet. Grundlage: BSI Grundschutzhandbuch (M 3.5(1)) (3.5(1)) Regelungen des Passwortgebrauchs (M 2.11) Verpflichtung der Benutzer zum Abmelden nach Aufgabenerfüllung 12 Ausscheiden eines Mitarbeiters Beim Ausscheiden eines Mitarbeiters ist zu gewährleisten, dass keine Daten vernichtet oder entwendet werden. Der Account des Mitarbeiters ist zu sperren. Der Schlüssel des Mitarbeiters für die Datenübertragung zur/ von der Deutschen Rentenversicherung ist zu sperren. Wenn der Mitarbeiter die Rolle des Administrators inne hatte, müssen die Passwörter aller Systeme geändert werden, zu denen der ausgeschiedene Mitarbeiter Zugang besaß. Grundlage: BSI Grundschutzhandbuch (M3.6 (2)) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern 21

22 III. Behandlung von Sicherheitsvorfällen 13 Sicherheitsvorfälle Als Sicherheitsvorfall wird ein Ereignis bezeichnet, das Auswirkungen nach sich ziehen kann, die einen großen Schaden sowohl bezüglich Vertraulichkeit als auch Integrität der Daten hervorrufen können. Die Verfügbarkeit hat dabei keine Bedeutung. Sicherheitsvorfälle werden zum Beispiel erkennbar durch: Datensätze, die ohne erkennbaren Grund verloren gehen Ohne erkennbaren Grund gesperrte Kennungen Datensätze, die nicht mehr zugreifbar sind (z.b. durch Datenmanipulation) Fehlermeldungen des Systems, die auf einen Missbrauch hindeuten massenhaftes Auftreten von Computer-Viren vorsätzlicher Missbrauch der Anwendung (z.b. Screenshots) Abruf von Daten, die nicht für den Geschäftsablauf notwendig sind (Abruf zusätzlicher Versicherungskonten) Grundlage: BSI Grundschutzhandbuch (M 6.58 (1)) Behandlung von Sicherheitsvorfällen 14 Eskalationsstufen Die Eskalationsstufen beschreiben ein hierarchisches Modell zur Behandlung von Sicherheitsvorfällen, bei dem jede höhere Stufe die Maßnahmen der darunter liegenden beinhaltet. Für Antrag-Online werden folgende Eskalationsstufen unterschieden: Stufe 1 Stufe 2 Stufe 3 Qualitätssicherung als Vorstufe zur Eskalation Standard-Eskalation Krisen-Eskalation Die Qualitätssicherung sichert die Systemdaten und beschreibt die zur Klassifizierung und Bearbeitung nötigen Informationen für eintretende Sicherheitsvorfälle. Die Standard-Eskalation beschreibt die Vorgehensweise bei absehbaren bzw. eingetretenen Abweichungen der Standardnutzung. Die Krisen-Eskalation ist eine weitere Aktionsstufe innerhalb der Eskalationsprozedur, die bei Störungen mit hohem Schaden und hoher Tragweite zur Anwen- 22

23 dung kommt, sofern die Möglichkeiten der Standard-Eskalation für diese spezielle Situation nicht ausreichend sind. Grundlage: BSI Grundschutzhandbuch (M 6.61 (1)) Eskalationsstrategie für Sicherheitsvorfälle 15 Reaktion auf Störungen oder Alarmierungen Es muss untersucht werden, wie und wo die Verletzung der Leit- und Richtlinien entstanden ist. Anschließend müssen die angemessenen schadensbehebenden oder -mindernden Maßnahmen durchgeführt werden. Soweit erforderlich, müssen zusätzliche schadensvorbeugende Maßnahmen ergriffen werden. Die durchzuführenden Aktionen hängen sowohl von der Art der Verletzung als auch vom Verursacher ab. Es muss geregelt sein, wer für Kontakte mit anderen Instanzen/Organisationen verantwortlich ist, um Informationen über bekannte Sicherheitslücken einzuholen oder um Informationen über aufgetretene Sicherheitslücken weiterzugeben. Es muss dafür Sorge getragen werden, dass evtl. mitbetroffene Stellen schnellstens informiert werden. Die Verantwortlichkeiten und Maßnahmen sind im Alarmierungsplan beschrieben. Der Alarmierungsplan muss - allen Notfallverantwortlichen in den GuV zur Verfügung gestellt werden, - an zentraler Stelle redundant gehalten werden, - allen Mitarbeitern bekannt gemacht werden. Grundlage: BSI Grundschutzhandbuch (M6.58 (1) M 6.65 (2)) ) Behandlung von Sicherheitsvorfällen 16 Evaluierung der Eskalationsstrategie Nach einem eingetretenen Sicherheitsvorfall ist die Durchführung der Maßnahmen zu auditieren und einer abschließenden Bewertung zu unterziehen. Die Ergebnisse dieser Bewertung sind allen beteiligten Stellen mitzuteilen, um eine transparente Optimierung der Sicherheitsmechanismen zu ermöglichen. Grundlage: BSI Grundschutzhandbuch (M6.66 (2)) Behandlung von Sicherheitsvorfällen 23

24 Anlage: Erforderliche Sicherheitsmaßnahmen für Hardware und Betriebssysteme Wie in der Präambel erwähnt, wurde auf der Grundlage des IT-Grundschutzhandbuches ein Basissicherheitscheck für die Gemeindebehörden und Versicherungsämter durchgeführt. Dabei wurden Maßnahmen für bestimmte IT-Komponenten (Bausteine) festgelegt, die gewährleisten sollen, dass die für das Verfahren eingesetzte Hardware und Betriebssysteme sowie deren Handhabung den Sicherheitsanforderungen genügen. Im folgenden sind die Maßnahmen aus dem Basissicherheitscheck zusammengestellt, für die keine Handlungsanweisungen im vorliegenden Dokument abgeleitet wurden: 1. Maßnahmen für bestimmte IT-Komponenten Baustein Serverraum Maßnahme Beschreibung M 1.15 Geschlossene Fenster und Türen M 1.23 Abgeschlossene Türen M 1.58 Technische und organisatorische Vorgaben für Serverräume M 2.14 Schlüsselverwaltung M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen M 2.17 Zutrittsregelung und kontrolle M 2.18 Kontrollgänge (optional) Baustein 5.5 PC unter Windows NT Maßnahme Beschreibung M 2.4 Regelungen für Wartungs- und Reparaturarbeiten M 2.9 Nutzungsverbot nicht freigegebener Software M 2.10 Überprüfung des Software-Bestandes M 2.22 Hinterlegen des Passwortes 24

Leitlinie und Richtlinien zur IT- Sicherheit

Leitlinie und Richtlinien zur IT- Sicherheit Leitlinie und Richtlinien zur IT- Sicherheit bei Nutzung des Verfahrens eantrag der Deutschen Rentenversicherung in den Gemeindebehörden und Versicherungsämtern 001.00.01 Autoren Ilona Werner Deutsche

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Sicherheitsrichtlinie zur IT-Nutzung

Sicherheitsrichtlinie zur IT-Nutzung Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Dieses Beispiel führt eine einfache Prüfung gemäß der IT-Grundschutz-Kataloge durch.

Dieses Beispiel führt eine einfache Prüfung gemäß der IT-Grundschutz-Kataloge durch. Task: IT-Grundschutz Inhalt Prüfung IT-Grundschutz Übernahme der Ergebnisse in eine Tabellenkalkulation Übernahme der Ergebnisse in IT-Grundschutz Tools Ergebnis-Klassen der IT-Grundschutz Prüfung Unterstützte

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Behörde / öffentliche Stelle

Behörde / öffentliche Stelle Behörde / öffentliche Stelle Verfahrensverzeichnis des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr: Neues Verfahren: Änderung: Das Verzeichnis ist zur Einsichtnahme bestimmt ( 8 Abs. 2 Satz 1 DSG NRW)

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Empfehlungen für die Vergabe von Passwörtern

Empfehlungen für die Vergabe von Passwörtern Berliner Beauftragter für Datenschutz und Informationsfreiheit Ratgeber zum Datenschutz Nr. 3 Empfehlungen für die Vergabe von Passwörtern Voraussetzung dafür, dass die Vertraulichkeit, Integrität und

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL)

IT-Handbuch. für die Verwaltung der Freien und Hansestadt Hamburg. Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL) für die Verwaltung der Freien und Hansestadt Hamburg Passwort-RL Richtlinie zur Verwaltung von Passwörtern (Passwortrichtlinie - Passwort-RL) vom 10.10.2007 (MittVw Seite 96) 1. Geltungsbereich (1) Diese

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger.

Mobilkommunikation. Basisschutz leicht gemacht. 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik. www.bsi-fuer-buerger. Mobilkommunikation Basisschutz leicht gemacht 10 Tipps zum Umgang mit den Endgeräten mobiler Kommunikationstechnik www.bsi-fuer-buerger.de MOBILKOMMUNIKATION VORWORT Mobilkommunikation Basisschutz leicht

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Verordnung. über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO)

Verordnung. über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO) InformationstechnologieVO 5.2.4 Verordnung über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO) Vom 9. August 2010 (ABl. 2010 S. A 169) Aufgrund

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Sicherheitshinweise für IT-Benutzer. - Beispiel - Sicherheitshinweise für IT-Benutzer - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG...2 2 VERANTWORTUNG...2 3 ALLGEMEINE REGELUNGEN...2 4 ZUTRITT UND ZUGANG...3 4.1 ALLGEMEINE ZUTRITTS- UND

Mehr

Datensicherheit beim Telefaxverkehr. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. www.ldi.nrw.

Datensicherheit beim Telefaxverkehr. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. www.ldi.nrw. Datensicherheit beim Telefaxverkehr Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen www.ldi.nrw.de Orientierungshilfe Datensicherheit beim Telefaxverkehr Beim Telefaxverfahren

Mehr

visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation

visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation Copyright visionapp GmbH, 2002-2006. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen, Konzepte

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH)

Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH) Dienstanweisung für die Nutzung der Schulverwaltungsrechner im Landesnetz Bildung (LanBSH) 1. Grundsätzliches Diese Dienstanweisung bezieht sich auf die in der Schulverwaltung verwendeten PC, mit deren

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Orientierungshilfe. Erforderliche Maßnahmen der technischen und organisatorischen Sicherheit

Orientierungshilfe. Erforderliche Maßnahmen der technischen und organisatorischen Sicherheit Orientierungshilfe für Erforderliche Maßnahmen der technischen und organisatorischen Sicherheit Die nachfolgende Übersicht stellt die grundlegend notwendigen Maßnahmen dar, die zur Erreichung der technischen

Mehr

Leitfaden Datensicherung und Datenrücksicherung

Leitfaden Datensicherung und Datenrücksicherung Leitfaden Datensicherung und Datenrücksicherung Inhaltsverzeichnis 1. Einführung - Das Datenbankverzeichnis von Advolux... 2 2. Die Datensicherung... 2 2.1 Advolux im lokalen Modus... 2 2.1.1 Manuelles

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

Checkliste zum Datenschutz in Kirchengemeinden

Checkliste zum Datenschutz in Kirchengemeinden 1. Allgemeines Checkliste zum Datenschutz in Kirchengemeinden Umfeld Wie viele Personen arbeiten in der Kirchengemeinde? Wie viele PC-Arbeitsplätze gibt es? Sind Notebooks im Einsatz? Sind die PCs/Notebooks

Mehr

Data Security Sicherer Umgang mit Daten. Dr. Andrea Grubinger, LL.M. 7. Oktober 2010

Data Security Sicherer Umgang mit Daten. Dr. Andrea Grubinger, LL.M. 7. Oktober 2010 Data Security Sicherer Umgang mit Daten Dr. Andrea Grubinger, LL.M. 7. Oktober 2010 ÜBERSICHT Datenschutzrecht I. Datensicherheit II. Datengeheimnis IT-Sicherheitsmaßnahmen I. Grundsätze II. Risikoanalyse

Mehr

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015 Landessynode Ev. Landeskirche Anhalts 7. Tagung - 23. Legislaturperiode 17. und 18. April 2015 in Köthen Die Landessynode hat beschlossen: Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom...

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Dr. Martin Meints, ULD 29. August 2005

Dr. Martin Meints, ULD 29. August 2005 Infobörse 2 Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie, 29. August 2005 Agenda Datensicherheit / Datenschutz wo liegen die Unterschiede? Welche Bedeutung

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n

I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Checkliste I n h a l t s v e r z e i c h n i s B e t r i e b s d o k u m e n t a t i o n Seite 02 1 Betriebskonzept 0. Allgemeines Der Gliederungspunkt «0 Allgemeines» soll nicht als Kapitel gestaltet

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis nach 6 HDSG Verfahrensverzeichnis nach 6 HDSG 1 neues Verfahren Änderung Das Verzeichnis ist zur Einsichtnahme bestimmt ( 6 Abs. 2 HDSG) Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt Ausgenommen sind

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

Ordnung zur IT-Sicherheit in der Universität Hannover

Ordnung zur IT-Sicherheit in der Universität Hannover Ordnung zur IT-Sicherheit in der Universität Hannover (vom Senat beschlossen am 10.7.2002) Präambel Ein leistungsfähiger Universitätsbetrieb erfordert in zunehmendem Maß die Integration von Verfahren und

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten / Sozialdaten) Zwischen..,

Mehr

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX)

Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sicherheitsmaßnahmen bei modernen Multifunktionsgeräten (Drucker, Kopierer, Scanner, FAX) Sommerakademie 2008 Internet 2008 - Alles möglich, nichts privat? Die Situation Multifunktionsgeräte (Drucker,

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011 LEITLINIE ZUR INFORMATIONSSICHERHEIT Stand: 2011 Inhaltsverzeichnis Präambel... 3 Ziele und Adressatenkreis... 3 Leitsätze... 4 Organisationsstruktur... 4 Verantwortlichkeiten... 6 Abwehr von Gefährdungen...

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8

GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 BSI-GRUNDSCHUTZTAG 2015 GRUNDSCHUTZBAUSTEIN CLIENT UNTER WINDOWS 8 Frank Rustemeyer 1 Was bisher geschah Client B 3.205 Client unter Windows NT B 3.206 Client unter Windows 95 B 3.207 Client unter Windows

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink

IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink IT-Sicherheit Wie ist es um Ihre IT-Sicherheit bestellt? 04.06.2014 Daniel Onnebrink Aktuelle Meldungen zum Thema IT-Sicherheit 2 IT-Sicherheitsniveau in kleinen und mittleren Unternehmen (September 2012)

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Vorgehensweise Auftragsdatenverarbeitungsvertrag Vorgehensweise Auftragsdatenverarbeitungsvertrag Beiliegend finden Sie unseren Auftragsdatenverarbeitungsvertrag. Diesen benötigen Sie, sobald Sie personenbezogene Daten an einen Dienstleister weitergeben.

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude

Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude Dienstvereinbarung über das DV-Verfahren Zeiterfassung, Fehlzeitenüberwachung und Zugangsberechtigung zum Dienstgebäude zwischen dem / der und der Mitarbeitervertretung im Das und die Mitarbeitervertretung

Mehr