10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Größe: px

Ab Seite anzeigen:

Download "10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt."

Oskar Jaeger
vor 6 Jahren
Abrufe

1 10 IT-Gebote Burkhard Kirschenberger Tel: Fax: Version Okt

2 1. Gebot du sollst deine Daten schützen und den Datenschutz sicherstellen! 2 2

3 2. Gebot du sollst dir deiner Abhängigkeit von der eingesetzten Technik bewußt sein! 3 3

4 3. Gebot du sollst keine unautorisierten Zugriffe und Zutritte zulassen! 4 4

5 4. Gebot du sollst dich und deine Mitarbeiter ausreichend informieren und schulen! 5 5

6 5. Gebot du sollst deine Daten regelmäßig sichern (Backup) und fähig sein, diese Daten wiederherzustellen (Desaster Recovery)! 6 6

7 6.Gebot du sollst einen Notfallplan (BCM) erstellen und diesen mindestens 1 x jährlich testen! 7 7

8 7. Gebot du sollst deine Updates und Patches für Betriebssysteme und wichtige Programme regelmäßig nach vorherigem erfolgreichen Test zeitnah einspielen! 8 8

9 8. Gebot du sollst keine Mailanhänge von unbekannten Absendern öffnen! 9 9

10 9. Gebot du sollst aktuellen Virenschutz und eine zertifizierte Firewall einsetzen! 10 10

11 10. Gebot du sollst Produktions- und Testumgebung getrennt betreiben! (Change Management) 11 11

12 Teil 2 Erläuterungen Mindestanforderungen Verantwortlichkeiten 12 12

13 1. Gebot du sollst deine Daten schützen und den Datenschutz sicherstellen Geschäftsleitungs- / Inhaberthema Strategie und Konzept erstellen Regelwerke erstellen (*siehe spätere Folie) maximal 1 Jahr Laufzeit bis zur Wiedervorlage Datenschutzbeauftragten nach BDSG intern oder extern einsetzen und befähigen 13 13

14 2. Gebot du sollst dir deiner Abhängigkeit von der eingesetzten Technik bewußt werden Übersicht über alle Komponenten Übersicht über jegliche Software Bebauungsplan maximal 1 Jahr bis Wiedervorlage Abhängigkeiten intern und extern feststellen 14 14

15 3. Gebot du sollst keine unautorisierten Zugriffe und Zutritte zulassen Server und Netzwerkkomponenten in gesicherter Bereiche verlegen Zugangsregularien und Besucherregeln erstellen Benutzer Management einführen kein Benutzerrecht ohne schriftlichen Auftrag möglichste Benutzer- und Systemadmin s trennen 15 15

16 4. Gebot du sollst dich und deine Mitarbeiter ausreichend informieren und schulen Schulungen zu Gebot 1 regelmäßig halten neue Mitarbeiter sofort schulen Intranet einrichten alle Regeln für alle immer verfügbar halten externe CERT-Informationen nutzen Verpflichtungserklärungen einholen 16 16

17 5. Gebot du sollst deine Daten regelmäßig sichern (Backup) und fähig sein diese Daten wiederherzustellen (Desaster Recovery) Backup Konzept erstellen Desaster Recovery Konzept erstellen Wiederherstellungen wirklich testen Medien- und Softwarewechsel beachten Auslagerungen von Sicherungen klären ggf. externe Dienstleister rechtzeitig einbinden 17 17

18 6.Gebot du sollst einen Notfallplan (BCM) erstellen und diesen mindestens 1 x jährlich testen BCM Strategie und Konzept entwickeln BCM Scenarien erstellen überjährig Walkthrough und Echttest Verantwortung bleibt beim Datenowner externe Dienstleister in die Tests einbinden 18 18

19 7. Gebot du sollst deine Updates und Patches für Betriebssysteme und wichtige Programme regelmäßig nach vorherigem Test einspielen ständig neue Sicherheitslücken zeitnah schließen kein Einsatz in Produktion ohne Test vorab BCM und Backup / DR anpassen Verantwortung bleibt beim Anwendungsowner 19 19

20 8. Gebot du sollst keine Mailanhänge von unbekannten Absendern öffnen Virenschutz möglichst schon vor dem Mail- Server einbauen Weisung: keine unbekannten Anhänge öffnen Verantwortung bei jedem Mitarbeiter 20 20

21 9. Gebot du sollst aktuellen Virenschutz und eine zertifizierte Firewall einsetzen umfassender Virenschutz zentral gesteuert ohne Firewall kein Internet Alarm an Geschäftsführung und CIO umgehend 21 21

22 10. Gebot du sollst Produktions- und Testumgebung getrennt betreiben (Change Management) umfassende Tests in einer Testumgebung nach vorab definierten Kriterien Ohne Test kein Einsatz in Produktion, Rollout immer nur auf Teile des Equipments Verantwortung beim Application Owner ggf. Change Board Entscheidung 22 22

23 Notfallplan Updates Daten schützen Abhängigkeit Mailanhänge Zugriffe Virenschutz Change Schulungen sichern 23 23

24 Regelwerke minimum 00 - Leitbild und Strategie 01 - Regelwerk der Informationssicherheit 02 - Nutzung von Arbeitmitteln 03 - Regelungen für Führungskräfte 04 - Betrieb von IT-Systemen, Diensten und Verfahren 05 - Schutz firmenvertraulicher Informationen 24 24

25 Regelwerke minimum PKI 07 - Passwörter 08 - Zugangs- + Zugriffsschutz bei IT-Systemen 09 - Computerviren 10 - Datensicherung Backup 11 - Disaster Recovery Planning 25 25

26 Regelwerke erweitert 12 - Zusammenarbeit mit Geschäftspartnern 13 - Regelungen für Geschäftspartner 14 - mobile Sicherheit 15 - sichere Netzwerke 16 - DHCP 17 - Nutzung von Application Service Providern 26 26

Ähnliche Dokumente

Die drei Säulen der Informationssicherheit

Informationssicherheit für KMU Die drei Säulen der Informationssicherheit Oliver Hirschi Dozent & Leiter «ebanking aber sicher!» Hochschule Luzern Informatik 22. Juni 2017 first frame networkers ag IT-Security