Sicherheitsmanagement

Größe: px
Ab Seite anzeigen:

Download "Sicherheitsmanagement"

Transkript

1 Schicht Übergreifende Aspekte GR 1.0 GR 1.0 Sicherheitsmanagement Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. - Die Leitungsebene muss die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. - Die Leitungsebene muss eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekte der Sicherheitsstrategie beschreibt. - Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. - Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. - Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden und berichtet bei Bedarf direkt an die Leitungsebene. - Im Rahmen des Sicherheitsprozesses müssen für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. - Alle Sicherheitsmaßnahmen müssen systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. - Der Sicherheitsprozess und die Sicherheitskonzepte müssen die individuell geltenden Vorschriften und Regelungen berücksichtigen. Sie sollten auf anerkannten Standards basieren. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. - Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit müssen regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Sicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards und

2 Schicht Übergreifende Aspekte GR 1.1 GR 1.1 Organisation Viele Sicherheitsmaßnahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehören dazu die allgemeinen und übergreifenden Maßnahmen, die als organisatorische Standardmaßnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind. - Für alle Aufgaben im Sicherheitsprozess müssen sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein. Alle Mitarbeiter müssen auf ihre Verantwortung für die Informationssicherheit in ihrem Einflussbereich hingewiesen worden sein. - Für alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mit wem ausgetauscht werden dürfen und wie diese dabei zu schützen sind. - Es müssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheit festgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben. - Die Aufgabenverteilung und die hierfür erforderlichen Funktionen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung). - In allen Geschäftsprozessen muss es funktionierende Vertretungsregelungen geben. - Auf den verschiedenen Ebenen müssen angemessene und praktikable Berechtigungen vergeben werden (z. B. für den Zutritt zu Räumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen). Es sollten immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Es muss ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. - Die Betriebsmittel, die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, müssen in ausreichender Menge vorhanden sein. Es muss geeignete Prüfverfahren vor Einsatz der Betriebsmittel geben. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, sollte die zuverlässige Löschung oder Vernichtung von Betriebsmitteln geregelt sein. - Es sind Regelungen für Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen, um auf Störungen bei einer nicht funktionierenden Infrastruktur adäquat reagieren zu können. Bei bestehenden Wartungsverträgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln. - Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, müssen so entsorgt werden, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gezogen werden können. Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datenträgern vor einer Vernichtung umzugehen ist. Es sollte hierfür ein Handlungsleitfaden zur Verfügung stehen. - Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgen sollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion möglich. Die Sicherheitsempfehlungen zum Thema Organisation müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Organisation finden sich im Baustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

3 Schicht Übergreifende Aspekte GR 1.2 GR 1.2 Personal Informationssicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sind daher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe von Sicherheitsmaßnahmen erforderlich. - Zur geregelten Einarbeitung neuer Mitarbeiter müssen diese auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen werden. - Alle Mitarbeiter sollten umgehend über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden. - Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Außerdem sollten alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind, solange sie nicht anders gekennzeichnet sind. - Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationen und (soweit möglich) deren Vertrauenswürdigkeit verifiziert werden. Die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher müssen beispielsweise Administratoren sorgfältig ausgewählt werden. - Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert und gefördert werden. - Administrations- und Wartungspersonal muss detailliert über die von ihnen betreuten Systeme und deren Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung tragen. - Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, sobald dies von den Abläufen her gefordert wird. - Kommunikationsprobleme innerhalb der Institution, persönliche Probleme von Mitarbeitern, ein schlechtes Betriebsklima und andere Faktoren können zu Unzufriedenheit und damit zu Sicherheitsrisiken führen. Um hier rechtzeitig vorbeugen zu können, sollten geeignete Anlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden. - Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt überprüft werden. Nachfolger müssen eingearbeitet werden, Unterlagen sind zurückzugeben und erteilte Berechtigungen sind wieder zu entziehen. Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden. Die Sicherheitsempfehlungen zum Thema Personal müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit finden sich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.

4 Schicht Übergreifende Aspekte GR 1.3 GR 1.3 Notfallmanagement Der Notfallmanagement einer Behörde oder eines Unternehmens umfasst sowohl die Notfallvorsorge, als auch Aspekte zur Bewältigung eines Notfalls. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit Notfällen aller Art notwendig. - Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrer Verantwortung dafür bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird. - Es müssen die organisatorischen Voraussetzungen für das Notfallmanagement geschaffen werden, d. h. Rollen und Verantwortlichkeiten müssen definiert und von der Leitungsebene ein ausreichendes Budget zur Verfügung gestellt werden. Es muss ein Notfallbeauftragter benannt werden, der den Notfallmanagement-Prozess steuert und koordiniert. - Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und einer anschließenden Risikoanalyse müssen die Auswirkungen von Geschäftsunterbrechungen untersucht sowie die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen ermittelt werden. - Die kritischen Prozesse müssen definiert und analysiert werden, danach folgt die Auswahl einer angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseits nach dem Auftreten von Notfällen Ausfallzeiten verkürzen zu können. Diese werden in einem Notfallvorsorgekonzept dokumentiert. - Für eine rasche Notfallbewältigung ist ein Notfallhandbuch zu erstellen, in dem beschrieben wird, welche Maßnahmen bei einem Notfall durchgeführt und umgesetzt werden müssen. Das Notfallhandbuch sollte mindestens Alarmierungspläne, Meldewege, Notfall-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungspläne, sowie alle wichtigen Informationen und Aufgabenzuordungen der Mitglieder des Notfallteams enthalten. - Die entwickelten Maßnahmen und Verfahren zur Notfallbewältigung müssen regelmäßig durch Übungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-Übungen erleichtern es, sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeption erkennen zu können. - Um ein effizientes Notfallmanagement aufrecht zu erhalten, müssen nicht nur die Dokumente regelmäßig aktualisiert werden, sondern auch die Notfallvorsorgemaßnahmen überprüft und angepasst werden. - Alle Mitarbeiter der Institution müssen systematisch und zielgruppengerecht sensibilisiert und im Umgang mit Notfallsituationen geschult werden. So wird in der Institution eine Notfallmanagement-Kultur etabliert. Die Richtlinien und Vorgaben zum Thema Notfallmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Notfallmanagement finden sich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

5 Schicht Übergreifende Aspekte GR 1.4 GR 1.4 Datensicherungskonzept Computersysteme und Datenträger (z. B. Festplatten) können ausfallen oder manipuliert werden. Durch den Verlust oder die Veränderungen von gespeicherten geschäftsprozessrelevanten Daten können gravierende Schäden verursacht werden. Durch regelmäßige Datensicherungen können Schäden durch Ausfälle von Datenträgern, Schadsoftware oder Manipulationen an Datenbeständen zwar nicht verhindert, deren Auswirkungen aber minimiert werden. - Um zu gewährleisten, dass alle Datenbestände regelmäßig gesichert werden, müssen für alle IT- Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden. Datensicherungen sollten weitgehend automatisiert erfolgen. - Es muss festgelegt werden, wer für die Datensicherung der einzelnen IT-Systeme zuständig ist. - Neben dem Datum müssen Umfang, Art der Durchführung der Sicherung sowie gewählte Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden. Ebenso sollten die wichtigsten Informationen für eine spätere Datenrekonstruktion festgehalten werden. - Die eingesetzten Speichermedien sollten ausreichend Speicherkapazität haben und müssen eindeutig beschriftet sein. - Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys müssen regelmäßig gesichert werden. - Backup-Datenträger müssen einerseits im Bedarfsfall schnell verfügbar sein, andererseits sollten sie aber räumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie bei Notlagen wie z. B. Brand oder Hochwasser verfügbar sind. - Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen dürfen. Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden. - Es muss regelmäßig getestet werden, ob die Datensicherung auch wie gewünscht funktioniert, vor allem, ob gesicherte Daten problemlos zurückgespielt werden können. Die Sicherheitsempfehlungen zum Thema Datensicherung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich im Baustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

6 Schicht Übergreifende Aspekte GR 1.5 GR 1.5 Datenschutz Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung und den Umgang seiner personenbezogenen Daten in dem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht"). - Die Leitungsebene muss die Gesamtverantwortung für den Datenschutz in der Institution übernehmen. - Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in der Institution fördert und den ordnungsmäßigen Umgang mit personenbezogenen Daten steuert und kontrolliert. - Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er muss bei Bedarf direkt an die Leitungsebene berichten können. - Es sollte klare Regeln für den Umgang mit personenbezogenen Daten geben, die allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten bzw. darüber zu unterrichten. - Alle Datenschutzmaßnahmen müssen systematisch in einem Datenschutzkonzept dokumentiert und regelmäßig aktualisiert werden. - Der Datenschutzbeauftragte muss bei allen Änderungen in Geschäftsprozessen und neuen Projekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen für die Datenverarbeitung prüfen und geeignete Vorkehrungen ausarbeiten kann. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Datenschutzfragen sensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden. Die Richtlinien und Vorgaben zum Thema Datenschutz müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich im Baustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.

7 Schicht Übergreifende Aspekte GR 1.6 GR 1.6 Schutz vor Schadprogrammen Wenn IT-Systeme mit Schadsoftware (Viren, Würmer, Trojanische Pferde usw.) befallen werden, kann dies die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme und der darauf gespeicherten Daten gefährden. Für einen effizienten Computer-Virenschutz ist daher zu sorgen. - Es müssen zentrale Ansprechpartner mit der notwendigen Fachkunde für das Thema Schadsoftware benannt werden. - Innerhalb der vernetzten Strukturen einer Institution müssen Viren-Schutzprogramme so auf den IT-Systemen platziert werden, dass alle möglichen Infektionswege abgedeckt sind. Dabei muss sichergestellt werden, dass auch die mobilen Endgeräte ausreichend geschützt sin - Die Viren-Schutzprogramme müssen regelmäßig durch zeitnahes Einspielen von Updates und Patches auf den aktuellen Stand gebracht werden. - Schadprogramm-Signaturen müssen in möglichst kurzen Abständen, mindestens täglich, aktualisiert werden. - Auf allen IT-Systemen müssen für die Betriebssysteme sowie für alle installierten Treiber und Programme zeitnah die jeweils hierfür veröffentlichten sicherheitsrelevanten Updates und Patches eingespielt werden. Dies gilt besonders für Programme, mit denen auf Fremdnetze zugegriffen wird, beispielsweise Browser. - Die Mitarbeiter müssen darüber informiert sein, wie sie eine Infektion mit Schadsoftware verhindern können, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhalten haben. - Erkannte Infektionen mit Schadprogrammen müssen zeitnah an die zuständigen Fachkräfte gemeldet werden. Die Meldung sollte möglichst automatisch erfolgen. - Infizierte IT-Systeme müssen unverzüglich von allen Datennetzen getrennt werden und dürfen bis zur vollständigen Bereinigung nicht mehr produktiv genutzt werden. - Entdeckte Schadprogramme müssen zeitnah durch fachkundiges Personal entfernt werden. Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schutz vor Schadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

8 Schicht Übergreifende Aspekte GR 1.7 GR 1.7 Kryptokonzept Damit schützenswerte Informationen nicht manipuliert werden oder in falsche Hände geraten, sollten sie durch zuverlässige kryptographische Verfahren und Techniken geschützt werden. Dies betrifft sowohl die auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu übertragenen Daten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden. - Alle Informationen sollten in Punkto Vertraulichkeit und Integrität klassifiziert sein, damit jederzeit klar ist, welche Informationen wie verschlüsselt oder signiert werden müssen - Allen Mitarbeitern müssen geeignete kryptographische Produkte zur Verfügung stehen, um Informationen verschlüsseln, signieren oder anders schützen zu können. - Dafür müssen kryptographische Produkte ausgewählt werden, die alle für den jeweiligen Einsatzzweck erforderlichen Sicherheitsfunktionalitäten bieten. Solche Produkte können dabei aus Hardware, Software, Firmware oder aus einer diesbezüglichen Kombination bestehen. Sie müssen nach dem Stand der Technik sicher und zuverlässig arbeiten, einfach zu bedienen und wenig fehleranfällig sein, außerdem sollten sie bei möglichst vielen Geschäftsprozessen, IT-Systemen und Kommunikationspartnern einsetzbar sein. - Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. - Kryptographische Produkte müssen sicher betrieben werden. Dazu gehört, dass sie gegen unmittelbare Angriffe und Fremdeinwirkung geschützt werden müssen. Voreingestellte Schlüssel müssen bei der Installation geändert werden. - Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschult werden. Sie sollten darüber hinaus für den Nutzen der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe erhalten. - Kryptoprodukte können nur dann sicher betrieben werden, wenn geeignete Schlüssel vertraulich, integer und authentisch erzeugt, verteilt und installiert worden sind (Schlüsselmanagement). Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Schlüsselverteilung und Schlüsselaustausch müssen so abgesichert werden, dass unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel verhindert oder wenigstens erkannt werden können. Kryptographische Schlüssel müssen regelmäßig gewechselt werden. - Es muss geklärt werden, wie Datensicherungen der verschlüsselten Daten angefertigt werden. Ebenso muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Die Sicherheitsempfehlungen zum Thema Kryptokonzept müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich im Baustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

9 Schicht Übergreifende Aspekte GR 1.8 GR 1.8 Behandlung von Sicherheitsvorfällen Sicherheitsvorfälle können große Schäden nach sich ziehen, wenn deren professionelle Behandlung nicht konzipiert und eingeübt wurde. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung von Sicherheitsvorfällen zügig und effizient ablaufen. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit IT-Sicherheitsvorfällen aller Art notwendig. - Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben, sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfällen zu erstellen, abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhe bewahren und keine übereilten Maßnahmen ergreifen. - Es müssen organisatorische Voraussetzungen für den Umgang mit IT-Sicherheitsvorfällen geschaffen werden. Dafür müssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgaben und Verhaltensregeln) festgelegt und benannt werden. - Es sind Meldewege und Eskalationsstrategien für die verschiedenen Arten von Sicherheitsvorfällen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereits vorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten. - Um die Ursachen von Sicherheitsvorfällen und die entstandenen Schäden effizient und in einer sinnvollen Reihenfolge beheben zu können, ist es wichtig, die Prioritäten für die Problembeseitigung vorab festzulegen. Diese Prioritätensetzung muss regelmäßig aktualisiert werden. - Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, müssen Maßnahmen zu dessen Behebung ergriffen werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt und anschließend der "normale" Zustand wiederhergestellt werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen. - Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden, um aufgetretene Probleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugende Maßnahmen ausarbeiten zu können, damit ein einmal erkanntes Problem nicht wieder auftritt. Zur Dokumentation gehören sowohl alle durchgeführten Aktionen inklusive der Zeitpunkte, als auch die Protokolldateien der betroffenen IT-Systeme. - Es sind geeignete Beweissicherungsmaßnahmen zu etablieren, um für eine mögliche Strafverfolgung Beweise zu sammeln. Die zuständigen Mitarbeiter sind im Umgang mit Detektions- und Beweismittelwerkzeugen zu schulen. - Von einem Sicherheitsvorfall müssen alle betroffenen internen und externen Stellen informiert werden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge und in welcher Tiefe informiert wird. Auskünfte über Sicherheitsvorfälle dürfen ausschließlich durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die Pressestelle, gegeben werden. Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfällen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Behandlung von Sicherheitsvorfällen finden sich im Baustein B 1.8 Behandlung von Sicherheitsvorfällen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

10 Schicht Übergreifende Aspekte GR 1.9 GR 1.9 Hard- und Software-Management Für den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution müssen sowohl die einzelnen IT-Komponenten angemessen geschützt, als auch alle Abläufe und Vorgänge, die diese IT- Systeme berühren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht und beibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systems bzw. eines Produktes sein. Hierfür sind klare Regelungen erforderlich, um einen ordnungsgemäßen und sicheren IT-Betrieb sicherstellen zu können. - Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dass nur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationen haben, die aufgrund ihrer Aufgaben dazu berechtigt sind. - Die Verantwortung für die Administration von IT-Systemen und Anwendungen muss klar definiert werden. - Es sollten Standardarbeitsplätze und Standardsysteme definiert werden, die nur mit festgelegter Hardware und Software betrieben werden dürfen. Dadurch wird die Verwaltung von IT-Systemen effizienter und sicherer. - Es müssen Richtlinien für den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzern bekannt gemacht werden. Dazu gehören auch Richtlinien für die Informationssicherheit. - Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, müssen zum sicheren Umgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Für Fragen der Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestellt sein. - Systemkonfigurationen müssen ausreichend dokumentiert werden. Außerdem müssen Installationshinweise, Benutzerhandbücher und -Anleitungen vorhanden sein, um Probleme zu vermeiden und um den Betrieb nach Ausfällen wieder herzustellen. - Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen können, ist es wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisieren muss. Dazu sind Regelungen, z. B. für den Umgang mit Passwörtern und deren Gestaltung, zu definieren. Die Benutzer müssen über die Regelungen und deren Anwendung sowie deren Hintergründe informiert werden. - IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach außen geöffnet sind. Daher muss genau überlegt werden, welche Anwendungen und Dienste auf einem System (Internet, Fernzugriff,...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden. - Um IT-Systeme sicher betreiben zu können, ist eine regelmäßige Informationsbeschaffung zu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates und Patches müssen zeitnah auf allen Systemen installiert werden. - Der Hard- und Software-Bestand muss regelmäßig kontrolliert werden, nicht freigegebene Hardoder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oder Komponenten müssen sofort geeignete Maßnahmen ergriffen werden. Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Hardund Software-Management finden sich im Baustein B 1.9 Hard- und Software-Management und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

11 Schicht Übergreifende Aspekte GR 1.10 GR 1.10 Standardsoftware Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. über den Fachhandel erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wird und dass nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist. - Es sollte klare Regeln und Prozesse für den sicheren Umgang mit Standardsoftware gebe - Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden darf. - Die Nutzung nicht zugelassener Hard- und Software sollte möglichst technisch unterbunden werden. - Um geeignete Standardsoftware auszuwählen, sollte von den Fach- und den IT-Verantwortlichen gemeinsam ein Anforderungskatalog erstellt werden. - Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Außerdem muss die optimale Konfiguration festgelegt und dokumentiert werden. - Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und Konfigurationsanweisungen auf den dafür vorgesehenen IT-Systemen installiert werden. Es sollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen IT-Systemen installiert wird. - Die Mitarbeiter sollten angemessenen über die Anwendung der von ihnen genutzten Standardsoftware geschult sein. Dazu gehört auch die Aufklärung über eventuelle Sicherheitsrisiken und Sicherheitsfunktionalitäten der IT-Anwendungen. Die Sicherheitsempfehlungen zum Thema Standardsoftware müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Standardsoftware finden sich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

12 Schicht Übergreifende Aspekte GR 1.11 GR 1.11 Outsourcing Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer Webseite oder des Wachdienstes. - Vor der Entscheidung Geschäftsprozesse auszulagern, muss überlegt werden, ob und in welcher Form dies möglich ist. Hierbei müssen neben anderen Rahmenbedingungen auch die sicherheitsrelevanten Aspekte einbezogen werden. - Sobald die Entscheidung zum Outsourcing gefallen ist, müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese sind unter anderem die Basis für die Auswahl eines Outsourcing-Dienstleisters. - Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters müssen Qualifikationen der Mitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei können Zertifikate hilfreich sein. - Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters müssen möglichst detailliert die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit beschrieben werden. Im Vertrag müssen auch Auskunfts-, Mitwirkungs- und Revisionspflichten geregelt sein. - Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzept inklusive Notfallvorsorgekonzept abgestimmt werden. - Bei der Übertragung der Aufgaben müssen klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige Ansprechpartner benannt werden. Außerdem müssen ausreichende Tests geplant und durchgeführt werden, damit die Produktionseinführung reibungslos erfolgen kann. - Auch während des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeber regelmäßige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchführen (lassen). - Nichts dauert ewig. Daher müssen Eigentumsrechte an Hard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. Die Sicherheitsempfehlungen zum Thema Outsourcing müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich im Baustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

13 Schicht Übergreifende Aspekte GR 1.12 GR 1.12 Archivierung Bei nahezu allen Geschäftsprozessen entstehen Daten, die geeignet archiviert werden müssen, um sie später wiederfinden und verwenden zu können. Die dauerhafte und unveränderbare Speicherung von elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist an Regeln gebunden wie Unveränderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefähigkeit. Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umständen eine zeitlich unbegrenzte Verfügbarkeit gefordert sein. - Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einführung/Betrieb, Migration) eingeführt werden. Neben den Phasen "Planung" und "Einführung/Betrieb" muss eine Migrationsphase durchgeführt werden, da die eingesetzten Archivsysteme und -medien mit der Zeit technologisch und physikalisch veralten. - Vor dem Einsatz einer Archivierungslösung sind die Ziele festzulegen, die mit der Archivierung erreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungen müssen ermittelt werden. Die Ergebnisse müssen in einem Archivierungskonzept erfasst werden. - Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, die sicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und die festgelegten Rahmenbedingungen eingehalten werden. - Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems in geeigneter Weise einzuweisen. - Für Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sind geeignete Standorte, Gerätschaften, Software und Datenformate zu wählen. Der Aufstellungsort des Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderen Gefährdungen zu schützen. - Der Archivierungsprozess ist kontinuierlich zu überwachen und auf Korrektheit zu prüfen. - System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integrität und Verfügbarkeit durch geeignete Maßnahmen besonders zu schützen. Die Richtlinien und Vorgaben zum Thema Archivierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich im Baustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

14 Schicht Übergreifende Aspekte GR 1.13 GR 1.13 Sensibilisierung und Schulung zur Informationssicherheit Um Sicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in jeder Institution eine IT-Sicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Daher müssen alle Mitarbeiter in Hinblick auf die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendung geschult und sensibilisiert werden. Dafür müssen Schulungskonzepte für verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender, Wachpersonal) erstellt werden. - Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit muss aufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Maßnahmen bewirken eine Verhaltensänderung der Mitarbeiter hin zu einer sicheren Institution. - Die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen muss nachhaltig unterstützt werden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit aufmerksam gemacht wird. - Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Den Mitarbeitern soll eine Basis gegeben werden, um die Folgen und Auswirkungen ihrer Tätigkeit sowohl im beruflichen und als auch privaten Umfeld besser einschätzen können. - Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, müssen gründlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten in regelmäßigen Abständen ihr Wissen auffrischen und ergänzen. - Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. - Alle Mitarbeiter müssen die firmeninternen Abläufe kennen und wissen, an wen sie sich wenden können, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen. Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schulung und Sensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

15 Schicht Übergreifende Aspekte GR 1.14 GR 1.14 Patch- und Änderungsmanagement Sicherheitslücken und Störungen im IT-Betrieb sind häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen. Ein fehlendes oder vernachlässigtes Patch- oder Änderungsmanagement führt schnell zu Lücken in der Sicherheit der einzelnen Komponenten und damit zu möglichen Angriffspunkten. Ein Änderungsmanagement ist dafür zuständig, Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. - Jede Institution sollte ein funktionierendes Patch- und Änderungsmanagement haben. Alle Änderungen von Hard- und Softwareständen und Konfigurationen sollten über den Prozess des Patchund Änderungsmanagements gesteuert und kontrolliert werden. - Der Patch und Änderungsmanagementprozess muss in die Geschäftsprozesse integriert werden. - Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau während und nach dem Einspielen von Änderungen und Patches erhalten bleibt. - Die Freigabe und Durchführung von Änderungen sollten zwischen Fachbereichen und IT-Betrieb abgestimmt und die jeweiligen Ressourcen und Interessen berücksichtigt werden. - Die Integrität und Authentizität von Softwarepaketen muss während des gesamten Patch- und Änderungsmanagementprozesses sichergestellt sein. - Die Verantwortlichkeiten für die verschiedenen Aktivitäten beim Patch- und Änderungsmanagement sollten klar definiert sein. - Es sollte einen fest definierten Ablauf geben, wie Änderungsanforderungen eingereicht, koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mit fehlgeschlagenen Änderungen beinhalten. - Zeitweise oder permanent nicht erreichbare Geräte, wie zum Beispiel Laptops, müssen im Patchund Änderungsmanagement durch geeignete Mechanismen berücksichtigt werden. - Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Software muss geklärt werden und passend konfiguriert werden. - Alle Änderungen an IT-Systemen sollten dokumentiert werden. Die Sicherheitsempfehlungen zum Thema Patch- und Änderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Patchund Änderungsmanagement finden sich im Baustein B 1.14 Patch- und Änderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

16 Schicht Übergreifende Aspekte GR 1.15 GR 1.15 Löschen und Vernichten von Daten Damit Informationen nicht in falsche Hände geraten können, muss in einem Unternehmen oder einer Behörde die Vorgehensweise geregelt sein, wie Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten sind. Dabei müssen sowohl die schutzbedürftigen Informationen auf Papier oder anderen analogen Datenträgern wie Mikrofilm als auch solche, die auf digitalen Datenträgern (elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden. - Es muss klare und einfache Regeln zum Löschen und zur Entsorgung von Informationen und Datenträgern geben. - Den Mitarbeitern müssen geeignete Werkzeuge und Geräte zur Entsorgung von Informationen und Datenträgern zur Verfügung stehen. - Alle Mitarbeiter sollten über die vorhandenen Methoden zum Löschen von Informationen oder zur Vernichtung von Datenträgern informiert sein. - Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dies erleichtert es, alle zu löschenden oder zu vernichtenden Informationen zu identifizieren. - Alle Arten von Information und Datenträgern müssen sicher entsorgt werden. Hierzu gehören nicht nur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material dürfen nicht vergessen werden. - Vor der Weitergabe von Datenträgern müssen alle Restinformationen sorgfältig gelöscht werden. Die Richtlinien und Vorgaben zum Thema Löschen und Vernichten müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Löschen und Vernichten finden sich im Baustein B 1.15 Löschen und Vernichten von Daten und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

17 Schicht Übergreifende Aspekte GR 1.16 GR 1.16 Anforderungsmanagement In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben, die beachtet werden müssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen sicherzustellen, also "Compliance" zu gewährleisten. - Es müssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür müssen Verantwortliche benannt und deren Aufgaben in Bezug auf das Anforderungsmanagement festgelegt werden. - Es sollte eine strukturierte Übersicht über die Anforderungen geben, die für die Institution und deren Geschäftsprozesse relevant sind. Die Übersicht muss auf dem aktuellen Stand gehalten werden. - Es müssen geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. - Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten. - Es muss regelmäßig überprüft werden, ob die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmäßig überprüft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen noch aktuell sind. - Wenn Verstöße gegen relevante Anforderungen erkannt werden, müssen sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben. Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Anforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

18 Schicht Übergreifende Aspekte GR 1.17 GR 1.17 Cloud-Nutzung Die Nutzung von Cloud Services bietet die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwendungen (zum Beispiel Auftragssteuerung, Groupware) nach kundenspezifischen Bedürfnissen als Dienst über ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebers als auch in einer externen Betriebsstätte des Cloud-Diensteanbieters erbracht werden. Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstützt durch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer erfolgen kann. - Die Entscheidung Cloud Services zu nutzen,ist strategischer Natur. Daher sollten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. - Aus der Cloud-Nutzungs-Strategie ergeben sich konkrete Sicherheitsvorgaben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtlinie für die Cloud-Nutzung dokumentiert werden. - Die ermittelten Anforderungen der Institution hinsichtlich der Sicherheitsvorgaben, der relevanten Schnittstellen und des benötigten Service-Levels sollten die Grundlage für die Service-Definition des zu verwendenden Cloud-Dienstes bilden. - Voraussetzung für die anschließende Auswahl eines geeigneten Cloud-Diensteanbieters ist die Erstellung eines möglichst detaillierten Anforderungsprofils. In dieses Lastenheft sollten die Sicherheitsanforderungen sowie die Definition des Cloud-Dienstes vollständig einfließen. Das Lastenheft ist mit verfügbaren Angeboten von Cloud-Diensteanbietern abzugleichen. - Alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens sollten vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zu IT-Sicherheitsanforderungen und Kriterien zur Messung von Service-Qualität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten sowie zu einer möglichen Beendigung des Vertragsverhältnisses beinhalten. - Bevor ein Cloud Service genutzt wird, sollte dessen Einbindung in die IT der Institution geplant und umgesetzt werden. Hierbei sind insbesondere die Bandbreite der Netzanbindungen und die Sicherheitsanforderungen an die Sicherheitsgateways zu berücksichtigen. - Die Migration zu einem Cloud Service erfolgt auf Basis eines Migrationskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowie zu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind. - Um die Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten, sind Dokumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationen hierzu sind der Maßnahme M Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen. - Um ein Cloud-Nutzungs-Verhältnisses geordnet zu beenden, müssen Eigentumsrechte an Hardund Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. - Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung. In diesem sollten relevante organisatorische und technische Punkte thematisiert werden. Die Sicherheitsempfehlungen zum Thema Cloud-Nutzung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Cloud-Nutzung finden sich im Baustein B 1.17 Cloud-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

19 Schicht Infrastruktur GR 2.1 GR 2.1 Allgemeines Gebäude Ein Gebäude ermöglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betrieb der Geschäftsprozesse und der zugehörigen IT. Es bildet den äußeren Schutz der Informationen und Ressourcen und muss deshalb ausreichend geschützt werden. Dabei muss einerseits das Bauwerk (Wände, Decken, Böden, Dach, Fenster und Türen) betrachtet werden und andererseits alle gebäudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.. - Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle, die häufig von verschiedenen Personen betreut werden. Daher müssen aufbauend auf den Schutzzielen die verschiedenen Aufgaben und Sicherheitsmaßnahmen abgestimmt werden. - Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. - Für schutzbedürftige Gebäudeteile, Räume, Verteiler der Versorgungseinrichtungen (Strom, Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei sollten die betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert werden. Andere Personen sollten erst nach vorheriger Prüfung der Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden. - Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzuführende Wärmemenge zu bestimmen. Bei Änderungen der Raumnutzung oder der IT-Ausstattung sind die Elektroinstallation und die Kühlung zu prüfen und anzupassen, wenn nötig. - Es muss ein umfassendes Blitz- und Überspannungsschutzkonzept erstellt und realisiert werden. - Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind für die Anforderungen des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzept zu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden. Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden. - Der Brandschutzbeauftragte muss über alle Tätigkeiten an Rohr- und Kabeltrassen, die Wanddurchbrüche, sowie Flure, Flucht- und Rettungswege berühren, informiert sein, um die ordnungsgemäße Ausführung von Brandschutzmaßnahmen zu kontrollieren. - Für alle Schlösser des Gebäudes ist ein Schließplan zu erstellen, dabei ist die Verwaltung der Schlüssel zentral zu regeln. Es müssen Reserveschlüssel vorhanden sein und sicher, aber für Notfälle griffbereit aufbewahrt werden. - In unbenutzten Räumen sind Fenster und nach außen gehende Türen (Balkone, Terrassen) zu schließen. - Für Notfälle sind Alarmierungspläne zu erstellen. Diese sollten unter anderem die Maßnahmen enthalten, die bei einem Notfall zu ergreifen sind, welche Gebäudeteile zu räumen sind und wer zu informieren ist. Die Alarmierungspläne sind in regelmäßigen Abständen zu überprüfen und zu aktualisieren. Die Sicherheitsempfehlungen zum Thema Gebäude müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Gebäude finden sich im Baustein B 2.1 Allgemeines Gebäude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

20 Schicht Infrastruktur GR 2.2 GR 2.2 Elektrotechnische Verkabelung Die ordnungsgemäße und normgerechte Ausführung der elektrotechnischen Verkabelung ist Grundlage für einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von IT-Systemen und anderen Geräten alle Kabel und Verteilungen im Gebäude vom Einspeisepunkt des Verteilungsnetzbetreibers bis zu den Elektro-Anschlüssen der Verbraucher. - Die elektrotechnische Verkabelung muss für den Bedarf angemessen sein, eine Überlast ist zu vermeiden. - Für die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalisch-mechanischer Sicht auszuwählen, die dem jeweiligen Einsatzzweck gerecht werden. - Bei der Auswahl der Trassensysteme ist darauf zu achten, dass genügend Platz für alle über die Trasse geführten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B. maximale Biegeradien der Kabel, eingehalten werden. - Brandschutzbestimmungen müssen auf jeden Fall beachtet und elektrische Zündquellen, wie z. B. nicht überprüfte Steckdosenleisten oder ähnliches, vermieden werden. Der Brandschutzbeauftragte ist aus diesen Gründen frühzeitig mit einzubeziehen. - Es muss ein geeigneter Überspannungsschutz vorhanden sein, um mögliche Schäden an IT-Geräten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungen zu reduzieren. Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ersetzt werden, wenn dies erforderlich ist. - Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen das Kabel oder Verteiler zugänglich sind, sollte auf ein Mindestmaß reduziert werden. - Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewährleistet ist, da solche Fehlerströme zu schädlichen Ausgleichsströmen auf Schirmungen führen können. Die Fehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden. - Insofern Veränderungen an der elektrotechnischen Verkabelung vorgenommen werden oder Gebäude und Räume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zu dokumentieren, beispielsweise auf einem Gebäude- oder Raumplan. Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese für Befugte nachvollziehbar, aber ansonsten neutral ist. - Nicht benötigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von elektrischen Störungen, z. B. durch das Verschleppen von Überspannungen, reduziert. - Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermieden werden. Fehlende Steckdosen sollten nachgerüstet werden. Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Elektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Informationssicherheitsleitlinie

Informationssicherheitsleitlinie Stand: 08.12.2010 Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes.

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011 LEITLINIE ZUR INFORMATIONSSICHERHEIT Stand: 2011 Inhaltsverzeichnis Präambel... 3 Ziele und Adressatenkreis... 3 Leitsätze... 4 Organisationsstruktur... 4 Verantwortlichkeiten... 6 Abwehr von Gefährdungen...

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Sicherheitsrichtlinie zur IT-Nutzung

Sicherheitsrichtlinie zur IT-Nutzung Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG

Verfahrensverzeichnis für Jedermann. gem. 4g Abs. 2 Satz 2 BDSG Verfahrensverzeichnis für Jedermann Angaben zur verantwortlichen Stelle ( 4e Satz 1 Nr. 1-3 BDSG) 1. Name oder Firma der verantwortlichen Stelle ACI-EDV-Systemhaus GmbH Dresden 2.1. Leiter der verantwortlichen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Autor: Bundesamt für Sicherheit in der Informationstechnik (BSI) Stand: Dezember 2008 Seite 1 von 9 1 Einleitung Informationssicherheit

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Leitlinie Informationssicherheit an der Technischen Hochschule Wildau

Leitlinie Informationssicherheit an der Technischen Hochschule Wildau Amtliche Mitteilungen Nr. 24/2015 17.12.2015 Leitlinie Informationssicherheit an der Technischen Hochschule Wildau Herausgeber: Hochschulring 1 Der Präsident 15745 Wildau Technische Hochschule Wildau Tel.:

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Checkliste IT-Sicherheit

Checkliste IT-Sicherheit Ist die Administration organisatorisch angemessen aufgebaut? Wie werden die Bereiche Benutzerverwaltung, Rechteverwaltung, Protokollauswertung sowie Netzwerk- und Systemsicherheit abgedeckt? Sind die Bereiche

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Gedanken zur Informationssicherheit und zum Datenschutz

Gedanken zur Informationssicherheit und zum Datenschutz Gedanken zur Informationssicherheit und zum Datenschutz Lesen Sie die fünf folgenden Szenarien und spielen Sie diese im Geiste einmal für Ihr Unternehmen durch: Fragen Sie einen beliebigen Mitarbeiter,

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit

Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Ein Merkblatt der Industrie- und Handelskammer Hannover Technische Sicherheitsmaßnahmen allein reichen nicht aus. Obschon hier in den

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck

Mehr

IT-Sicherheitsleitlinie der Universität der Bundeswehr München

IT-Sicherheitsleitlinie der Universität der Bundeswehr München IT-Sicherheitsleitlinie der Universität der Bundeswehr München Arbeitskreis IT-Sicherheit an der UniBwM 06.12.2006 Datum Bemerkung 25.07.2006 Erstfassung 06.12.2006 Redaktionelle Überarbeitung Revision

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutz Schnellcheck. Referent Jürgen Vischer Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Leitlinien für Informationssicherheit. Düsseldorf, 12.11.2009

Leitlinien für Informationssicherheit. Düsseldorf, 12.11.2009 Leitlinien für Informationssicherheit Düsseldorf, 12.11.2009 Kurzer Überblick 47.000 Beschäftigte 50 Polizeibehörden 600 Standorte Einsatz Kriminalität Verkehr Verwaltung IT - Infrastruktur 30.000 PC 1.500

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der

Mehr

Verordnung. über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO)

Verordnung. über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO) InformationstechnologieVO 5.2.4 Verordnung über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO) Vom 9. August 2010 (ABl. 2010 S. A 169) Aufgrund

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr