Test GmbH Test Hamburg Hamburg

Transkript

1 Test GmbH Test Hamburg Hamburg

2 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test Hamburg Hamburg Internetadresse Tätigkeitsangaben In welche Betriebsart ist Ihr Unternehmen einzuordnen? Batterieherstellung Wie viele Mitarbeiter sind in Ihrem Unternehmen tätig? 250 bis 499 Wie viele Mitarbeiter sind in der IT Ihres Unternehmen tätig? 10 bis 19 Wie viele mobile Endgeräte setzen Sie ein? 50 bis 249 Wie wichtig ist die IT für den Erfolg Ihres Unternehmens? Wie hoch ist der hresumsatz Ihres Unternehmens in Mio. Euro? Welchen Anteil ihres Umsatzes erwirtschaften Sie im Ausland? groß 20 Mio. Euro bis unter 50 Mio. Euro über 50% Wie hoch ist die Kundenanzahl Ihres Unternehmens? 1500 Sind Teile Ihrer IT outgesourced? Wurde für Ihr Unternehmen ein Datenschutzbeauftragter bestellt? Bieten Sie selbst IT-Dienstleistungen an Dritte an? Gehört Ihr Unternehmen einem der kritischen Infrastruktursektoren der Bundesrepublik Deutschland an? Bieten Sie Ihren Kunden Zahlungen per E-Payment und/oder Kreditkartenkartenabrechnungen? Entwicklung Helpdesk Nein, wir wickeln die Zahlungen über einen Zahlungsanbieter ab Seite 2/5

3 Risikomatrix Die Fragen sind im Quick-Check für alle Unternehmen identisch. Alle Themenkomplexe, alle Kategorien mit den jeweils 3 Fragen werden untereinander gleich gewichtet. Wird eine Frage oder werden alle Fragen einer Kategorie als nicht relevant gekennzeichnet geht das Ergebnis nicht in die Berechnung der Kategorie oder des Themenkomplexes ein. Themenkomplex Kategorie Richtlinien Personal Zugänge der Informationssicherheit 0% 100% 33% 33% Mobile Geräte Software Netzwerke IT-Systeme 33% 67% 67% 33% Sicherheitsvorfälle Umgebung Datensicherung Ausfälle Management 67% 50% 67% 33% IT-Outsourcing und Cloud Computing 67% : Neben dem Bereich Personal werden die übergeordneten Management- und sthemen der Schulungsund Sensibilisierungsmaßnahmen, der Verantwortlichkeiten sowie der Richtlinien und Anweisungen betrachtet. In dem Abschnitt Sicherheitsprozesse werden die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit als Querschnitt anhand der gegebenen Antworten bewertet. : In Anlehnung an die Bausteine B2 bis B5 der IT-Grundschutz-Kataloge werden die Antworten zu den baulichtechnischen Gegebenheiten (Infrastruktur) am Hauptstandort des Unternehmens, den IT-Systemen, der Vernetzung der IT-Systeme sowie der Kommunikationsanwendung ausgewertet. : Bewertet werden die den übergeordneten Management- und sthemen zuzuordnenden, präventiven Sicherheitsmaßnahmen zum Datenerhalt durch Datensicherung, das Sicherheitsvorfall- und Notfallmanagement zur Erkennung und Umgang mit diesen Ausnahmesituationen sowie die Aktualität der Informationen in Bezug auf gegenwärtige und zukünftige Bedrohungsszenarien. Management: Die Aspekte der Identifikation der kritischen IT-Geschäftsprozesse sowie deren Risikobewertung in Verbindung mit der Bewertung der für die Unternehmen relevanten Gefahrenbereiche als Aufgaben für das Management werden ausgewertet. Zusätzlich erfolgt eine Betrachtung und Diskussion der Reifegrade der IT-Sicherheitsprozesse. Abschließend werden die Einschätzungen in Bezug auf neuartige, ggf. richtungsweisende IT-Themen bewertet (der rot unterlegte Teil ist nicht Bestandteil des Basisschutzes). Seite 3/5

4 Maßnahmenliste - Test GmbH Überblick über empfohlene Maßnahmen Themenbereich Management Empfohlene Maßnahme Regeln Sie die Verantwortlichkeiten in der Informationssicherheit eindeutig und nachvollziehbar. Stellen Sie die Funktionstrennung sicher und verteilen Sie die entsprechenden Aufgaben an verschiedene Personen. Erstellen Sie eine Informationssicherheitsleitlinie, die vom Topmanagement verabschiedet wird und kommunizieren Sie diese im Unternehmen. Stellen Sie sicher, dass alle internen und externen Mitarbeiter eine schriftlich Erklärung zur Vertraulichkeit abgegeben haben. Informieren Sie regelmäßige Ihre internen und externen Mitarbeiter zu Ihren Maßnahmen der Informationssicherheit. Stellen Sie sicher, dass administrative Zugänge ausschließlich Ihren Administratoren vorbehalten sind. Überprüfen Sie administrative Zugänge regelmäßig nach einem festgelegten Turnus auf deren Notwendigkeit. Regeln Sie den Umgang mit mobilen Geräten im Fall eines Verlust oder Diebstahles desselben. Erstellen Sie eine Richtlinie, in der der Umgang mit mobilen Geräten festgelegt ist. Erstellen Sie ein Inventar an eingesetzter und individuell für ihr Unternehmen entwickelter Software Führen Sie für besonders kritische IT-Netzwerke regelmäßig Risikoanalysen nach einem festgelegten Turnus durch. Führen Sie für besonders kritische IT-Systeme regelmäßig Risikoanalysen nach einem festgelegten Turnus durch. Erstellen Sie ein Inventar Ihrer IT-Systeme, das laufend aktualisiert wird.erstellen Sie ein Inventar Ihrer IT-Systeme, das laufend aktualisiert wird. Entwickeln Sie eine Richtlinie, welche den Umgang mit Sicherheitsvorfällen festgelegt ist. Sichern Sie Ihre wichtigen IT-Systeme, wie z.b. Server und Netzwerkverteiler, vor Brandschäden. Testen Sie Ihre Datensicherungen regelmäßig auf Umfang und Funktion. Bewahren Sie Wiederanlaufpläne und Ihren Übersichtsplan so auf, dass sie auch bei einem Notfall schnell verfügbar sind. Entwickeln Sie für Ihre kritischen Systeme Wiederanlaufpläne. Seite 4/5 Schließen Sie mit jedem Dienstleister für IT-Outsourcing bzw. Cloud Computing

5 Powered by TCPDF ( Haftungsausschluss Der Quick-Check für Cybersicherheit von VdS Schadenverhütung GmbH umfasst die automatisierte Auswertung von Antworten auf vorgegebene Fragen. Die als Ergebnis dargestellte Auswertung stellt lediglich eine erste Einschätzung zum Stand der Informationssicherheit für die jeweilige dar, die eine sachverständige Beratung zur Informationssicherheit nicht ersetzen kann. Hinweis zum Umgang mit organisations-/personenbezogenen Daten: VdS Schadenverhütung GmbH erhebt im Rahmen der Selbstauskunft in einem ersten Schritt einige Angaben zu ihrer (Name/Firmenname, Strasse/Hausnummer, Postleitzahl/Ort, Branche). Diese Angaben werden zusammen mit Ihren Antworten auf die gestellten Fragen zur Durchführung des Quick-Checks erhoben, verarbeitet und genutzt. Nach Durchführung des Quick-Checks wird der Gesamt-Datensatz ausschließlich zur Erfüllung von Aufbewahrungspflichten gespeichert. Für statistische Auswertungen verwendet VdS Schadenverhütung GmbH ausschließlich einen anonymisierten Teil des Datensatzes, bei dem die Angaben zu Ihrer (Name, Firmenname und Strasse/Hausnummer) entfernt worden sind. Normen und Richtlinien Diese Leitlinie enthält datierte und undatierte Verweise auf andere Regelwerke. Die Verweise erfolgen in den entsprechenden Abschnitten oder als separate Verweistabelle als Anlage zu dieser Leitlinie. Die Titel werden im Folgenden aufgeführt. Änderungen oder Ergänzungen datierter Regelwerke gelten nur, wenn sie durch Änderung dieser Leitlinie bekannt gegeben werden. Von undatierten Regelwerken gilt die jeweils letzte Fassung. DIN ISO/IEC Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Anforderungen (ISO/IEC DIS 27001:2013) DIN ISO/IEC Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits- Management (ISO/IEC FDIS 27002:2013) Studie zur Informationssicherheit in kleinen und mittleren Unternehmen vom Bundesamt für Sicherheit in der Informationstechnik BSI-Standard IT-Grundschutz- Vorgehensweise VdS Informationssicherheit in kleinen und mittleren Unternehmen (KMU) Impressum VdS Schadenverhütung GmbH Amsterdamer Str. 174 D Köln info@vds.de Telefon: +49 (0) Fax: +49 (0) Geschäftsführer: Robert Reinermann USt.-Id.-Nr.: DE Amtsgericht Köln, HRB Seite 5/5