Sicherheitsmanagement

Größe: px
Ab Seite anzeigen:

Download "Sicherheitsmanagement"

Transkript

1 Schicht Übergreifende Aspekte GR 1.0 GR 1.0 Sicherheitsmanagement Mit (Informations-)Sicherheitsmanagement wird die Planungs- und Lenkungsaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. - Die Leitungsebene muss die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. - Die Leitungsebene muss eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele und die wichtigsten Aspekte der Sicherheitsstrategie beschreibt. - Die Sicherheitsleitlinie muss allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. - Die Leitungsebene muss einen IT-Sicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. - Der IT-Sicherheitsbeauftragte muss mit angemessenen Ressourcen ausgestattet werden und berichtet bei Bedarf direkt an die Leitungsebene. - Im Rahmen des Sicherheitsprozesses müssen für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. - Alle Sicherheitsmaßnahmen müssen systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. - Der Sicherheitsprozess und die Sicherheitskonzepte müssen die individuell geltenden Vorschriften und Regelungen berücksichtigen. Sie sollten auf anerkannten Standards basieren. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. - Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit müssen regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Die Sicherheitsempfehlungen zum Thema Sicherheitsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Sicherheitsmanagement finden sich im Baustein B 1.0 Sicherheitsmanagement der IT-Grundschutz-Kataloge sowie in den BSI-Standards und

2 Schicht Übergreifende Aspekte GR 1.1 GR 1.1 Organisation Viele Sicherheitsmaßnahmen sind auf organisatorischer Ebene zu ergreifen, insbesondere gehören dazu die allgemeinen und übergreifenden Maßnahmen, die als organisatorische Standardmaßnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind. - Für alle Aufgaben im Sicherheitsprozess müssen sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein. Alle Mitarbeiter müssen auf ihre Verantwortung für die Informationssicherheit in ihrem Einflussbereich hingewiesen worden sein. - Für alle Informationen, Anwendungen und IT-Komponenten sollte festgelegt werden, wer für diese und deren Sicherheit verantwortlich ist. Es muss auch klar geregelt sein, welche Informationen mit wem ausgetauscht werden dürfen und wie diese dabei zu schützen sind. - Es müssen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Informationssicherheit festgelegt werden. Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben. - Die Aufgabenverteilung und die hierfür erforderlichen Funktionen sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu verhindern (Funktionstrennung). - In allen Geschäftsprozessen muss es funktionierende Vertretungsregelungen geben. - Auf den verschiedenen Ebenen müssen angemessene und praktikable Berechtigungen vergeben werden (z. B. für den Zutritt zu Räumen, Zugang zu IT-Systemen, Zugriff auf Anwendungen). Es sollten immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Es muss ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. - Die Betriebsmittel, die zur Aufgabenerfüllung und zur Einhaltung der Sicherheitsanforderungen erforderlich sind, müssen in ausreichender Menge vorhanden sein. Es muss geeignete Prüfverfahren vor Einsatz der Betriebsmittel geben. Für die Bestandsführung müssen die Betriebsmittel in Bestandsverzeichnissen aufgelistet werden. Um den Missbrauch von Daten zu verhindern, sollte die zuverlässige Löschung oder Vernichtung von Betriebsmitteln geregelt sein. - Es sind Regelungen für Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten festzulegen, um auf Störungen bei einer nicht funktionierenden Infrastruktur adäquat reagieren zu können. Bei bestehenden Wartungsverträgen sind feste Wartungsintervalle und Wartungsdetails einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln. - Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, müssen so entsorgt werden, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gezogen werden können. Den Mitarbeitern sollte bekannt sein, wie mit ausgesonderten Datenträgern vor einer Vernichtung umzugehen ist. Es sollte hierfür ein Handlungsleitfaden zur Verfügung stehen. - Es muss geregelt sein, welche Reaktionen auf Verletzungen der Sicherheitsvorgaben erfolgen sollen. Nur so ist eine zielgerichtete und zeitnahe Reaktion möglich. Die Sicherheitsempfehlungen zum Thema Organisation müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Organisation finden sich im Baustein B 1.1 Organisation und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

3 Schicht Übergreifende Aspekte GR 1.2 GR 1.2 Personal Informationssicherheit ist nicht nur eine Frage der Technik, sondern hängt in erheblichem Maße von den organisatorischen und personellen Rahmenbedingungen ab. Im Personalbereich sind daher von der Einstellung bis zum Weggang von Mitarbeitern aus der Institution eine Reihe von Sicherheitsmaßnahmen erforderlich. - Zur geregelten Einarbeitung neuer Mitarbeiter müssen diese auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen werden. - Alle Mitarbeiter sollten umgehend über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden. - Alle Mitarbeiter sollten explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Außerdem sollten alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind, solange sie nicht anders gekennzeichnet sind. - Vor der Einstellung neuer Mitarbeiter sollten deren akademische und berufliche Qualifikationen und (soweit möglich) deren Vertrauenswürdigkeit verifiziert werden. Die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen ist besonders wichtig. Daher müssen beispielsweise Administratoren sorgfältig ausgewählt werden. - Die Mitarbeiter sollten dazu motiviert werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Dazu sollten sie durch geeignete Schulungen motiviert und gefördert werden. - Administrations- und Wartungspersonal muss detailliert über die von ihnen betreuten Systeme und deren Sicherheitseigenschaften ausgebildet werden, da diese aufgrund der weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung tragen. - Es muss Vertretungsregelungen in allen Bereichen geben. Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss insbesondere dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, sobald dies von den Abläufen her gefordert wird. - Kommunikationsprobleme innerhalb der Institution, persönliche Probleme von Mitarbeitern, ein schlechtes Betriebsklima und andere Faktoren können zu Unzufriedenheit und damit zu Sicherheitsrisiken führen. Um hier rechtzeitig vorbeugen zu können, sollten geeignete Anlaufstellen (z. B. Mitarbeitervertretungen) eingerichtet werden. - Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt überprüft werden. Nachfolger müssen eingearbeitet werden, Unterlagen sind zurückzugeben und erteilte Berechtigungen sind wieder zu entziehen. Vor der Verabschiedung sollte noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden. Die Sicherheitsempfehlungen zum Thema Personal müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema personelle Sicherheit finden sich im Baustein B 1.2 Personal und in weiteren Bereichen der IT-Grundschutz-Kataloge.

4 Schicht Übergreifende Aspekte GR 1.3 GR 1.3 Notfallmanagement Der Notfallmanagement einer Behörde oder eines Unternehmens umfasst sowohl die Notfallvorsorge, als auch Aspekte zur Bewältigung eines Notfalls. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit Notfällen aller Art notwendig. - Die Leitungsebene muss hinter den Zielen des Notfallmanagements stehen und sich ihrer Verantwortung dafür bewusst sein. Die Leitungsebene muss den Notfallmanagement-Prozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird. - Es müssen die organisatorischen Voraussetzungen für das Notfallmanagement geschaffen werden, d. h. Rollen und Verantwortlichkeiten müssen definiert und von der Leitungsebene ein ausreichendes Budget zur Verfügung gestellt werden. Es muss ein Notfallbeauftragter benannt werden, der den Notfallmanagement-Prozess steuert und koordiniert. - Auf Basis einer Schutzbedarfsanalyse oder einer Business Impact Analyse und einer anschließenden Risikoanalyse müssen die Auswirkungen von Geschäftsunterbrechungen untersucht sowie die Verfügbarkeitsanforderungen an die Geschäftsprozesse und deren benötigten Ressourcen ermittelt werden. - Die kritischen Prozesse müssen definiert und analysiert werden, danach folgt die Auswahl einer angemessenen Strategie, um einerseits Ausfallrisiken zu reduzieren und andererseits nach dem Auftreten von Notfällen Ausfallzeiten verkürzen zu können. Diese werden in einem Notfallvorsorgekonzept dokumentiert. - Für eine rasche Notfallbewältigung ist ein Notfallhandbuch zu erstellen, in dem beschrieben wird, welche Maßnahmen bei einem Notfall durchgeführt und umgesetzt werden müssen. Das Notfallhandbuch sollte mindestens Alarmierungspläne, Meldewege, Notfall-, Wiederanlauf-, Wiederherstellungs- und Geschäftsfortführungspläne, sowie alle wichtigen Informationen und Aufgabenzuordungen der Mitglieder des Notfallteams enthalten. - Die entwickelten Maßnahmen und Verfahren zur Notfallbewältigung müssen regelmäßig durch Übungen und Tests auf ihre Wirksamkeit untersucht werden. Notfall-Übungen erleichtern es, sich rechtzeitig im Vorfeld auf eine Notfallsituation einstellen und Fehler in der Notfallkonzeption erkennen zu können. - Um ein effizientes Notfallmanagement aufrecht zu erhalten, müssen nicht nur die Dokumente regelmäßig aktualisiert werden, sondern auch die Notfallvorsorgemaßnahmen überprüft und angepasst werden. - Alle Mitarbeiter der Institution müssen systematisch und zielgruppengerecht sensibilisiert und im Umgang mit Notfallsituationen geschult werden. So wird in der Institution eine Notfallmanagement-Kultur etabliert. Die Richtlinien und Vorgaben zum Thema Notfallmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Notfallmanagement finden sich im Baustein B 1.3 Notfallmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

5 Schicht Übergreifende Aspekte GR 1.4 GR 1.4 Datensicherungskonzept Computersysteme und Datenträger (z. B. Festplatten) können ausfallen oder manipuliert werden. Durch den Verlust oder die Veränderungen von gespeicherten geschäftsprozessrelevanten Daten können gravierende Schäden verursacht werden. Durch regelmäßige Datensicherungen können Schäden durch Ausfälle von Datenträgern, Schadsoftware oder Manipulationen an Datenbeständen zwar nicht verhindert, deren Auswirkungen aber minimiert werden. - Um zu gewährleisten, dass alle Datenbestände regelmäßig gesichert werden, müssen für alle IT- Systeme und Anwendungen geeignete Datensicherungsverfahren festgelegt werden. Datensicherungen sollten weitgehend automatisiert erfolgen. - Es muss festgelegt werden, wer für die Datensicherung der einzelnen IT-Systeme zuständig ist. - Neben dem Datum müssen Umfang, Art der Durchführung der Sicherung sowie gewählte Parameter und die eingesetzte Hard- und Software der Datensicherungen dokumentiert werden. Ebenso sollten die wichtigsten Informationen für eine spätere Datenrekonstruktion festgehalten werden. - Die eingesetzten Speichermedien sollten ausreichend Speicherkapazität haben und müssen eindeutig beschriftet sein. - Auch die Daten mobiler IT-Systeme wie Laptops, PDAs, Handys müssen regelmäßig gesichert werden. - Backup-Datenträger müssen einerseits im Bedarfsfall schnell verfügbar sein, andererseits sollten sie aber räumlich getrennt von den gesicherten IT-Systemen aufbewahrt werden, damit sie bei Notlagen wie z. B. Brand oder Hochwasser verfügbar sind. - Es sollten nur befugte Personen auf die Datensicherungsmedien zugreifen dürfen. Vertrauliche Daten sollten vor der Sicherung möglichst verschlüsselt werden. - Es muss regelmäßig getestet werden, ob die Datensicherung auch wie gewünscht funktioniert, vor allem, ob gesicherte Daten problemlos zurückgespielt werden können. Die Sicherheitsempfehlungen zum Thema Datensicherung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datensicherung finden sich im Baustein B 1.4 Datensicherungskonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

6 Schicht Übergreifende Aspekte GR 1.5 GR 1.5 Datenschutz Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung und den Umgang seiner personenbezogenen Daten in dem Recht beeinträchtigt wird, selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen ("informationelles Selbstbestimmungsrecht"). - Die Leitungsebene muss die Gesamtverantwortung für den Datenschutz in der Institution übernehmen. - Die Leitungsebene muss einen Datenschutzbeauftragten benennen, der den Datenschutz in der Institution fördert und den ordnungsmäßigen Umgang mit personenbezogenen Daten steuert und kontrolliert. - Der Datenschutzbeauftragte muss mit angemessenen Ressourcen ausgestattet werden. Er muss bei Bedarf direkt an die Leitungsebene berichten können. - Es sollte klare Regeln für den Umgang mit personenbezogenen Daten geben, die allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Alle Beschäftigten sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten bzw. darüber zu unterrichten. - Alle Datenschutzmaßnahmen müssen systematisch in einem Datenschutzkonzept dokumentiert und regelmäßig aktualisiert werden. - Der Datenschutzbeauftragte muss bei allen Änderungen in Geschäftsprozessen und neuen Projekten eingebunden werden, so dass er die rechtlichen Rahmenbedingungen für die Datenverarbeitung prüfen und geeignete Vorkehrungen ausarbeiten kann. - Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) müssen systematisch und zielgruppengerecht zu Datenschutzfragen sensibilisiert und zum Umgang mit personenbezogenen Daten geschult werden. Die Richtlinien und Vorgaben zum Thema Datenschutz müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Datenschutz finden sich im Baustein B 1.5 Datenschutz und in weiteren Bereichen der IT-Grundschutz-Kataloge.

7 Schicht Übergreifende Aspekte GR 1.6 GR 1.6 Schutz vor Schadprogrammen Wenn IT-Systeme mit Schadsoftware (Viren, Würmer, Trojanische Pferde usw.) befallen werden, kann dies die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme und der darauf gespeicherten Daten gefährden. Für einen effizienten Computer-Virenschutz ist daher zu sorgen. - Es müssen zentrale Ansprechpartner mit der notwendigen Fachkunde für das Thema Schadsoftware benannt werden. - Innerhalb der vernetzten Strukturen einer Institution müssen Viren-Schutzprogramme so auf den IT-Systemen platziert werden, dass alle möglichen Infektionswege abgedeckt sind. Dabei muss sichergestellt werden, dass auch die mobilen Endgeräte ausreichend geschützt sin - Die Viren-Schutzprogramme müssen regelmäßig durch zeitnahes Einspielen von Updates und Patches auf den aktuellen Stand gebracht werden. - Schadprogramm-Signaturen müssen in möglichst kurzen Abständen, mindestens täglich, aktualisiert werden. - Auf allen IT-Systemen müssen für die Betriebssysteme sowie für alle installierten Treiber und Programme zeitnah die jeweils hierfür veröffentlichten sicherheitsrelevanten Updates und Patches eingespielt werden. Dies gilt besonders für Programme, mit denen auf Fremdnetze zugegriffen wird, beispielsweise Browser. - Die Mitarbeiter müssen darüber informiert sein, wie sie eine Infektion mit Schadsoftware verhindern können, woran sie sie erkennen und wie sie sich in einem solchen Fall zu verhalten haben. - Erkannte Infektionen mit Schadprogrammen müssen zeitnah an die zuständigen Fachkräfte gemeldet werden. Die Meldung sollte möglichst automatisch erfolgen. - Infizierte IT-Systeme müssen unverzüglich von allen Datennetzen getrennt werden und dürfen bis zur vollständigen Bereinigung nicht mehr produktiv genutzt werden. - Entdeckte Schadprogramme müssen zeitnah durch fachkundiges Personal entfernt werden. Die Sicherheitsempfehlungen zum Thema Schutz vor Schadprogrammen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schutz vor Schadprogrammen finden sich im Baustein B 1.6 Schutz vor Schadprogrammen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

8 Schicht Übergreifende Aspekte GR 1.7 GR 1.7 Kryptokonzept Damit schützenswerte Informationen nicht manipuliert werden oder in falsche Hände geraten, sollten sie durch zuverlässige kryptographische Verfahren und Techniken geschützt werden. Dies betrifft sowohl die auf den verschiedensten IT-Systemen lokal gespeicherten Daten als auch die zu übertragenen Daten. Da beim Einsatz kryptographischer Verfahren sehr viele komplexe Einflussfaktoren zu betrachten sind, sollte hierfür ein Kryptokonzept erstellt werden. - Alle Informationen sollten in Punkto Vertraulichkeit und Integrität klassifiziert sein, damit jederzeit klar ist, welche Informationen wie verschlüsselt oder signiert werden müssen - Allen Mitarbeitern müssen geeignete kryptographische Produkte zur Verfügung stehen, um Informationen verschlüsseln, signieren oder anders schützen zu können. - Dafür müssen kryptographische Produkte ausgewählt werden, die alle für den jeweiligen Einsatzzweck erforderlichen Sicherheitsfunktionalitäten bieten. Solche Produkte können dabei aus Hardware, Software, Firmware oder aus einer diesbezüglichen Kombination bestehen. Sie müssen nach dem Stand der Technik sicher und zuverlässig arbeiten, einfach zu bedienen und wenig fehleranfällig sein, außerdem sollten sie bei möglichst vielen Geschäftsprozessen, IT-Systemen und Kommunikationspartnern einsetzbar sein. - Es sollte ein Kryptokonzept entwickelt werden, in dem alle Einflussgrößen und Entscheidungskriterien für die Wahl eines konkreten kryptographischen Verfahrens und der entsprechenden Produkte berücksichtigt werden und das gleichzeitig unter Kostengesichtspunkten wirtschaftlich vertretbar ist. - Kryptographische Produkte müssen sicher betrieben werden. Dazu gehört, dass sie gegen unmittelbare Angriffe und Fremdeinwirkung geschützt werden müssen. Voreingestellte Schlüssel müssen bei der Installation geändert werden. - Die Mitarbeiter sollten im Umgang mit den von ihnen zu bedienenden Kryptoprodukten geschult werden. Sie sollten darüber hinaus für den Nutzen der kryptographischen Verfahren sensibilisiert werden und einen Überblick über kryptographische Grundbegriffe erhalten. - Kryptoprodukte können nur dann sicher betrieben werden, wenn geeignete Schlüssel vertraulich, integer und authentisch erzeugt, verteilt und installiert worden sind (Schlüsselmanagement). Die Schlüsselerzeugung sollte in sicherer Umgebung und unter Einsatz geeigneter Schlüsselgeneratoren erfolgen. Schlüsselverteilung und Schlüsselaustausch müssen so abgesichert werden, dass unbefugte Kenntnisnahme bzw. Verfälschung der Schlüssel verhindert oder wenigstens erkannt werden können. Kryptographische Schlüssel müssen regelmäßig gewechselt werden. - Es muss geklärt werden, wie Datensicherungen der verschlüsselten Daten angefertigt werden. Ebenso muss auch überlegt werden, ob und wie die benutzten kryptographischen Schlüssel gespeichert werden sollen. Die Sicherheitsempfehlungen zum Thema Kryptokonzept müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Kryptokonzept finden sich im Baustein B 1.7 Kryptokonzept und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

9 Schicht Übergreifende Aspekte GR 1.8 GR 1.8 Behandlung von Sicherheitsvorfällen Sicherheitsvorfälle können große Schäden nach sich ziehen, wenn deren professionelle Behandlung nicht konzipiert und eingeübt wurde. Um Schäden zu verhüten bzw. zu begrenzen, sollte die Behandlung von Sicherheitsvorfällen zügig und effizient ablaufen. Dazu ist der Aufbau geeigneter Organisationsstrukturen und Regelungen für den Umgang mit IT-Sicherheitsvorfällen aller Art notwendig. - Um jedem Mitarbeiter das richtige Verhalten beim Auftreten eines Sicherheitsvorfalls vorzugeben, sind zielgruppengerechte Richtlinien zur Behandlung von Sicherheitsvorfällen zu erstellen, abzustimmen und bekannt zu geben. Oberste Regel ist dabei, dass alle Beteiligten Ruhe bewahren und keine übereilten Maßnahmen ergreifen. - Es müssen organisatorische Voraussetzungen für den Umgang mit IT-Sicherheitsvorfällen geschaffen werden. Dafür müssen Rollen und Verantwortlichkeiten (d. h. Kompetenzen, Aufgaben und Verhaltensregeln) festgelegt und benannt werden. - Es sind Meldewege und Eskalationsstrategien für die verschiedenen Arten von Sicherheitsvorfällen zu definieren. Hierbei sollte der IT-Support mit einbezogen werden, da bereits vorhandene Vorgehensweisen zur Fehlermeldung und -behebung integriert werden sollten. - Um die Ursachen von Sicherheitsvorfällen und die entstandenen Schäden effizient und in einer sinnvollen Reihenfolge beheben zu können, ist es wichtig, die Prioritäten für die Problembeseitigung vorab festzulegen. Diese Prioritätensetzung muss regelmäßig aktualisiert werden. - Sobald die Ursache eines Sicherheitsvorfalls identifiziert worden ist, müssen Maßnahmen zu dessen Behebung ergriffen werden. Dazu muss zunächst das Problem eingegrenzt und beseitigt und anschließend der "normale" Zustand wiederhergestellt werden. Häufig ist es notwendig, die betroffenen IT-Systeme oder Standorte zu isolieren, um die Auswirkung des Sicherheitsvorfalls einzudämmen. - Die Behebung von Sicherheitsvorfällen muss ausführlich dokumentiert werden, um aufgetretene Probleme nachvollziehbar zu machen und sie sowohl bereinigen als auch um vorbeugende Maßnahmen ausarbeiten zu können, damit ein einmal erkanntes Problem nicht wieder auftritt. Zur Dokumentation gehören sowohl alle durchgeführten Aktionen inklusive der Zeitpunkte, als auch die Protokolldateien der betroffenen IT-Systeme. - Es sind geeignete Beweissicherungsmaßnahmen zu etablieren, um für eine mögliche Strafverfolgung Beweise zu sammeln. Die zuständigen Mitarbeiter sind im Umgang mit Detektions- und Beweismittelwerkzeugen zu schulen. - Von einem Sicherheitsvorfall müssen alle betroffenen internen und externen Stellen informiert werden. Hierzu muss ein klares Konzept entwickelt werden, wer durch wen in welcher Reihenfolge und in welcher Tiefe informiert wird. Auskünfte über Sicherheitsvorfälle dürfen ausschließlich durch benannte Verantwortliche, wie zum Beispiel das Sicherheitsmanagement oder die Pressestelle, gegeben werden. Die Sicherheitsempfehlungen zum Thema Behandlung von Sicherheitsvorfällen müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Behandlung von Sicherheitsvorfällen finden sich im Baustein B 1.8 Behandlung von Sicherheitsvorfällen und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

10 Schicht Übergreifende Aspekte GR 1.9 GR 1.9 Hard- und Software-Management Für den sicheren Einsatz von IT-Systemen und IT-Anwendungen in einer Institution müssen sowohl die einzelnen IT-Komponenten angemessen geschützt, als auch alle Abläufe und Vorgänge, die diese IT- Systeme berühren, so gestaltet werden, dass das angestrebte IT-Sicherheitsniveau erreicht und beibehalten wird. Sicherheit sollte integrierter Bestandteil des gesamten Lebenszyklus eines IT-Systems bzw. eines Produktes sein. Hierfür sind klare Regelungen erforderlich, um einen ordnungsgemäßen und sicheren IT-Betrieb sicherstellen zu können. - Durch eine geeignete Benutzerkonten- und Rechteverwaltung muss sichergestellt werden, dass nur diejenigen Personen Zugang auf IT-Systeme und Zugriff auf Applikationen und Informationen haben, die aufgrund ihrer Aufgaben dazu berechtigt sind. - Die Verantwortung für die Administration von IT-Systemen und Anwendungen muss klar definiert werden. - Es sollten Standardarbeitsplätze und Standardsysteme definiert werden, die nur mit festgelegter Hardware und Software betrieben werden dürfen. Dadurch wird die Verwaltung von IT-Systemen effizienter und sicherer. - Es müssen Richtlinien für den IT-Betrieb und die IT-Nutzung definiert werden und den Benutzern bekannt gemacht werden. Dazu gehören auch Richtlinien für die Informationssicherheit. - Die Mitarbeiter sowie alle, die Zugang zu internen Informationen haben, müssen zum sicheren Umgang mit Informationstechnik und Informationen sensibilisiert und geschult werden. Für Fragen der Benutzer zur Informationssicherheit und zu IT-Themen sollte eine Betreuung sichergestellt sein. - Systemkonfigurationen müssen ausreichend dokumentiert werden. Außerdem müssen Installationshinweise, Benutzerhandbücher und -Anleitungen vorhanden sein, um Probleme zu vermeiden und um den Betrieb nach Ausfällen wieder herzustellen. - Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen können, ist es wichtig, dass sich jeder vor Nutzung von IT-Systemen und IT-Anwendungen authentisieren muss. Dazu sind Regelungen, z. B. für den Umgang mit Passwörtern und deren Gestaltung, zu definieren. Die Benutzer müssen über die Regelungen und deren Anwendung sowie deren Hintergründe informiert werden. - IT-Systeme sind weniger angreifbar, wenn sie nur minimal nach außen geöffnet sind. Daher muss genau überlegt werden, welche Anwendungen und Dienste auf einem System (Internet, Fernzugriff,...) sinnvoll sind. Nur diese sollten installiert oder aktiviert werden. - Um IT-Systeme sicher betreiben zu können, ist eine regelmäßige Informationsbeschaffung zu Schwachstellen und Schadsoftware notwendig. Aktuelle sicherheitsrelevante Updates und Patches müssen zeitnah auf allen Systemen installiert werden. - Der Hard- und Software-Bestand muss regelmäßig kontrolliert werden, nicht freigegebene Hardoder Software muss entfernt werden, bei Verlust oder Diebstahl von IT-Systemen oder Komponenten müssen sofort geeignete Maßnahmen ergriffen werden. Die Sicherheitsempfehlungen zum Thema Hard- und Software-Management müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Hardund Software-Management finden sich im Baustein B 1.9 Hard- und Software-Management und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

11 Schicht Übergreifende Aspekte GR 1.10 GR 1.10 Standardsoftware Als Standardsoftware wird Software bezeichnet, die als vorgefertigtes Produkt z. B. über den Fachhandel erworben werden kann. Sie zeichnet sich dadurch aus, dass sie vom Anwender selbst installiert wird und dass nur geringer Aufwand für die anwenderspezifische Anpassung notwendig ist. - Es sollte klare Regeln und Prozesse für den sicheren Umgang mit Standardsoftware gebe - Alle Mitarbeiter sollten wissen, dass nur explizit freigegebene Standardsoftware eingesetzt werden darf. - Die Nutzung nicht zugelassener Hard- und Software sollte möglichst technisch unterbunden werden. - Um geeignete Standardsoftware auszuwählen, sollte von den Fach- und den IT-Verantwortlichen gemeinsam ein Anforderungskatalog erstellt werden. - Bevor Standardsoftware zum Einsatz kommt, muss sie ausreichend getestet werden. Außerdem muss die optimale Konfiguration festgelegt und dokumentiert werden. - Standardsoftware muss entsprechend der bei den Tests festgelegten Installations- und Konfigurationsanweisungen auf den dafür vorgesehenen IT-Systemen installiert werden. Es sollte sichergestellt werden, dass Standardsoftware nicht in anderer Form oder auf anderen IT-Systemen installiert wird. - Die Mitarbeiter sollten angemessenen über die Anwendung der von ihnen genutzten Standardsoftware geschult sein. Dazu gehört auch die Aufklärung über eventuelle Sicherheitsrisiken und Sicherheitsfunktionalitäten der IT-Anwendungen. Die Sicherheitsempfehlungen zum Thema Standardsoftware müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Standardsoftware finden sich im Baustein B 1.10 Standardsoftware und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

12 Schicht Übergreifende Aspekte GR 1.11 GR 1.11 Outsourcing Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Organisation ganz oder teilweise zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistung in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht wird. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer Webseite oder des Wachdienstes. - Vor der Entscheidung Geschäftsprozesse auszulagern, muss überlegt werden, ob und in welcher Form dies möglich ist. Hierbei müssen neben anderen Rahmenbedingungen auch die sicherheitsrelevanten Aspekte einbezogen werden. - Sobald die Entscheidung zum Outsourcing gefallen ist, müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese sind unter anderem die Basis für die Auswahl eines Outsourcing-Dienstleisters. - Bei der Auswahl eines geeigneten Outsourcing-Dienstleisters müssen Qualifikationen der Mitarbeiter und Sicherheitsnachweise nachgefragt werden. Hierbei können Zertifikate hilfreich sein. - Bei der Vertragsgestaltung mit dem Outsourcing-Dienstleisters müssen möglichst detailliert die IT-Sicherheitsanforderungen und die Kriterien zur Messung von Servicequalität und Sicherheit beschrieben werden. Im Vertrag müssen auch Auskunfts-, Mitwirkungs- und Revisionspflichten geregelt sein. - Zwischen Auftraggeber und Outsourcing-Dienstleister muss ein detailliertes Sicherheitskonzept inklusive Notfallvorsorgekonzept abgestimmt werden. - Bei der Übertragung der Aufgaben müssen klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige Ansprechpartner benannt werden. Außerdem müssen ausreichende Tests geplant und durchgeführt werden, damit die Produktionseinführung reibungslos erfolgen kann. - Auch während des laufenden Betriebs eines Outsourcing-Vorhabens muss der Auftraggeber regelmäßige Kontrollen zur Aufrechterhaltung der IT-Sicherheit beim Dienstleister durchführen (lassen). - Nichts dauert ewig. Daher müssen Eigentumsrechte an Hard- und Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. Die Sicherheitsempfehlungen zum Thema Outsourcing müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Outsourcing finden sich im Baustein B 1.11 Outsourcing und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

13 Schicht Übergreifende Aspekte GR 1.12 GR 1.12 Archivierung Bei nahezu allen Geschäftsprozessen entstehen Daten, die geeignet archiviert werden müssen, um sie später wiederfinden und verwenden zu können. Die dauerhafte und unveränderbare Speicherung von elektronischen Dokumenten und anderen Daten wird als Archivierung bezeichnet. Diese ist an Regeln gebunden wie Unveränderbarkeit, langfristige Wiederauffindbarkeit und Wiedergabefähigkeit. Die Aufbewahrungsfrist muss zum Archivierungszeitpunkt festgelegt werden, es kann unter Umständen eine zeitlich unbegrenzte Verfügbarkeit gefordert sein. - Elektronische Archivierungssysteme sollten in einem dreigliedrigen Prozess (Planung, Einführung/Betrieb, Migration) eingeführt werden. Neben den Phasen "Planung" und "Einführung/Betrieb" muss eine Migrationsphase durchgeführt werden, da die eingesetzten Archivsysteme und -medien mit der Zeit technologisch und physikalisch veralten. - Vor dem Einsatz einer Archivierungslösung sind die Ziele festzulegen, die mit der Archivierung erreicht werden sollen. Die technischen, rechtlichen und organisatorischen Rahmenbedingungen müssen ermittelt werden. Die Ergebnisse müssen in einem Archivierungskonzept erfasst werden. - Es sind Richtlinien zur Administration und Benutzung des Archivsystems festzulegen, die sicherstellen, dass das Archivierungskonzept in vorgesehener Weise umgesetzt wird und die festgelegten Rahmenbedingungen eingehalten werden. - Benutzer und Administratoren sind in die Bedienung des verwendeten Archivsystems in geeigneter Weise einzuweisen. - Für Archivierungssysteme sowie die Lagerung der entstehenden Archivierungsmedien sind geeignete Standorte, Gerätschaften, Software und Datenformate zu wählen. Der Aufstellungsort des Systems sowie der Lagerungsort der Archivmedien sind vor unbefugtem Zutritt und anderen Gefährdungen zu schützen. - Der Archivierungsprozess ist kontinuierlich zu überwachen und auf Korrektheit zu prüfen. - System- und Archivdaten sowie Index-Datenbanken sind im Hinblick auf Integrität und Verfügbarkeit durch geeignete Maßnahmen besonders zu schützen. Die Richtlinien und Vorgaben zum Thema Archivierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Archivierung finden sich im Baustein B 1.12 Archivierung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

14 Schicht Übergreifende Aspekte GR 1.13 GR 1.13 Sensibilisierung und Schulung zur Informationssicherheit Um Sicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in jeder Institution eine IT-Sicherheitskultur aufgebaut und ein Sicherheitsbewusstsein gebildet werden. Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Daher müssen alle Mitarbeiter in Hinblick auf die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendung geschult und sensibilisiert werden. Dafür müssen Schulungskonzepte für verschiedene Zielgruppen (z. B. Administratoren, Manager, Anwender, Wachpersonal) erstellt werden. - Ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit muss aufgebaut und aufrechterhalten werden. Nur langfristige und kontinuierliche Maßnahmen bewirken eine Verhaltensänderung der Mitarbeiter hin zu einer sicheren Institution. - Die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen muss nachhaltig unterstützt werden. Daher ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit aufmerksam gemacht wird. - Den Mitarbeitern muss die notwendige Kompetenz zur Informationssicherheit vermittelt werden, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Den Mitarbeitern soll eine Basis gegeben werden, um die Folgen und Auswirkungen ihrer Tätigkeit sowohl im beruflichen und als auch privaten Umfeld besser einschätzen können. - Alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, müssen gründlich eingearbeitet und ausgebildet werden. Auch erfahrene IT-Benutzer sollten in regelmäßigen Abständen ihr Wissen auffrischen und ergänzen. - Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. - Alle Mitarbeiter müssen die firmeninternen Abläufe kennen und wissen, an wen sie sich wenden können, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen. Die Sicherheitsempfehlungen zum Thema Schulung und Sensibilisierung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Schulung und Sensibilisierung finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

15 Schicht Übergreifende Aspekte GR 1.14 GR 1.14 Patch- und Änderungsmanagement Sicherheitslücken und Störungen im IT-Betrieb sind häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen. Ein fehlendes oder vernachlässigtes Patch- oder Änderungsmanagement führt schnell zu Lücken in der Sicherheit der einzelnen Komponenten und damit zu möglichen Angriffspunkten. Ein Änderungsmanagement ist dafür zuständig, Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. - Jede Institution sollte ein funktionierendes Patch- und Änderungsmanagement haben. Alle Änderungen von Hard- und Softwareständen und Konfigurationen sollten über den Prozess des Patchund Änderungsmanagements gesteuert und kontrolliert werden. - Der Patch und Änderungsmanagementprozess muss in die Geschäftsprozesse integriert werden. - Es sollte sichergestellt werden, dass das angestrebte Sicherheitsniveau während und nach dem Einspielen von Änderungen und Patches erhalten bleibt. - Die Freigabe und Durchführung von Änderungen sollten zwischen Fachbereichen und IT-Betrieb abgestimmt und die jeweiligen Ressourcen und Interessen berücksichtigt werden. - Die Integrität und Authentizität von Softwarepaketen muss während des gesamten Patch- und Änderungsmanagementprozesses sichergestellt sein. - Die Verantwortlichkeiten für die verschiedenen Aktivitäten beim Patch- und Änderungsmanagement sollten klar definiert sein. - Es sollte einen fest definierten Ablauf geben, wie Änderungsanforderungen eingereicht, koordiniert, umgesetzt, evaluiert und abgeschlossen werden. Dieser sollte auch den Umgang mit fehlgeschlagenen Änderungen beinhalten. - Zeitweise oder permanent nicht erreichbare Geräte, wie zum Beispiel Laptops, müssen im Patchund Änderungsmanagement durch geeignete Mechanismen berücksichtigt werden. - Der Umgang mit automatischen Update-Mechanismen (Autoupdate) der verwendeten Software muss geklärt werden und passend konfiguriert werden. - Alle Änderungen an IT-Systemen sollten dokumentiert werden. Die Sicherheitsempfehlungen zum Thema Patch- und Änderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Patchund Änderungsmanagement finden sich im Baustein B 1.14 Patch- und Änderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

16 Schicht Übergreifende Aspekte GR 1.15 GR 1.15 Löschen und Vernichten von Daten Damit Informationen nicht in falsche Hände geraten können, muss in einem Unternehmen oder einer Behörde die Vorgehensweise geregelt sein, wie Daten und Datenträger vollständig und zuverlässig zu löschen oder zu vernichten sind. Dabei müssen sowohl die schutzbedürftigen Informationen auf Papier oder anderen analogen Datenträgern wie Mikrofilm als auch solche, die auf digitalen Datenträgern (elektronisch, magnetisch, optisch) gespeichert sind, betrachtet werden. - Es muss klare und einfache Regeln zum Löschen und zur Entsorgung von Informationen und Datenträgern geben. - Den Mitarbeitern müssen geeignete Werkzeuge und Geräte zur Entsorgung von Informationen und Datenträgern zur Verfügung stehen. - Alle Mitarbeiter sollten über die vorhandenen Methoden zum Löschen von Informationen oder zur Vernichtung von Datenträgern informiert sein. - Informationen sollten strukturiert gehalten und nach Schutzbedarf kategorisiert werden. Dies erleichtert es, alle zu löschenden oder zu vernichtenden Informationen zu identifizieren. - Alle Arten von Information und Datenträgern müssen sicher entsorgt werden. Hierzu gehören nicht nur Server-Festplatten, auch Mobiltelefone, USB-Sticks, Ausdrucke oder Fax-Material dürfen nicht vergessen werden. - Vor der Weitergabe von Datenträgern müssen alle Restinformationen sorgfältig gelöscht werden. Die Richtlinien und Vorgaben zum Thema Löschen und Vernichten müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Löschen und Vernichten finden sich im Baustein B 1.15 Löschen und Vernichten von Daten und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

17 Schicht Übergreifende Aspekte GR 1.16 GR 1.16 Anforderungsmanagement In jeder Institution gibt es eine Vielzahl gesetzlicher, vertraglicher und interner Richtlinien und Vorgaben, die beachtet werden müssen. Aufgabe der Leitungsebene einer Institution ist es, die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen sicherzustellen, also "Compliance" zu gewährleisten. - Es müssen geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür müssen Verantwortliche benannt und deren Aufgaben in Bezug auf das Anforderungsmanagement festgelegt werden. - Es sollte eine strukturierte Übersicht über die Anforderungen geben, die für die Institution und deren Geschäftsprozesse relevant sind. Die Übersicht muss auf dem aktuellen Stand gehalten werden. - Es müssen geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. - Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten. - Es muss regelmäßig überprüft werden, ob die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, eingehalten werden. Ebenso muss regelmäßig überprüft werden, ob die internen Regelungen und die rechtlichen Rahmenbedingungen noch aktuell sind. - Wenn Verstöße gegen relevante Anforderungen erkannt werden, müssen sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben. Die Richtlinien und Vorgaben zum Thema Anforderungsmanagement müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Anforderungsmanagement finden sich im Baustein B 1.16 Anforderungsmanagement und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

18 Schicht Übergreifende Aspekte GR 1.17 GR 1.17 Cloud-Nutzung Die Nutzung von Cloud Services bietet die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT-Plattformen (zum Beispiel Datenbanken, Applikations-Server) oder IT-Anwendungen (zum Beispiel Auftragssteuerung, Groupware) nach kundenspezifischen Bedürfnissen als Dienst über ein Netz zu beziehen. Dabei kann die Leistung sowohl in den Räumlichkeiten des Auftraggebers als auch in einer externen Betriebsstätte des Cloud-Diensteanbieters erbracht werden. Die so ermöglichte bedarfsgerechte, skalierbare und flexible Nutzung von IT-Diensten wird unterstützt durch neuartige Geschäftsmodelle, bei denen die Abrechnung je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer erfolgen kann. - Die Entscheidung Cloud Services zu nutzen,ist strategischer Natur. Daher sollten relevante wirtschaftliche, technische und organisatorische Randbedingungen sowie sicherheitsrelevante Aspekte betrachtet werden und in die Erstellung einer Cloud-Nutzungs-Strategie einfließen. - Aus der Cloud-Nutzungs-Strategie ergeben sich konkrete Sicherheitsvorgaben für die Umsetzung innerhalb der Institution. Diese sollten in ausreichend detaillierter Form in einer Sicherheitsrichtlinie für die Cloud-Nutzung dokumentiert werden. - Die ermittelten Anforderungen der Institution hinsichtlich der Sicherheitsvorgaben, der relevanten Schnittstellen und des benötigten Service-Levels sollten die Grundlage für die Service-Definition des zu verwendenden Cloud-Dienstes bilden. - Voraussetzung für die anschließende Auswahl eines geeigneten Cloud-Diensteanbieters ist die Erstellung eines möglichst detaillierten Anforderungsprofils. In dieses Lastenheft sollten die Sicherheitsanforderungen sowie die Definition des Cloud-Dienstes vollständig einfließen. Das Lastenheft ist mit verfügbaren Angeboten von Cloud-Diensteanbietern abzugleichen. - Alle relevanten Aspekte des Cloud-Nutzungs-Vorhabens sollten vertraglich festgehalten und geregelt werden. Der Vertrag sollte neben Aussagen zu IT-Sicherheitsanforderungen und Kriterien zur Messung von Service-Qualität und Sicherheit auch Regelungen zu Auskunfts-, Mitwirkungs- und Revisionspflichten sowie zu einer möglichen Beendigung des Vertragsverhältnisses beinhalten. - Bevor ein Cloud Service genutzt wird, sollte dessen Einbindung in die IT der Institution geplant und umgesetzt werden. Hierbei sind insbesondere die Bandbreite der Netzanbindungen und die Sicherheitsanforderungen an die Sicherheitsgateways zu berücksichtigen. - Die Migration zu einem Cloud Service erfolgt auf Basis eines Migrationskonzeptes, in dem Vorgaben zur geplanten Form der Migration (Testphase, Pilotphase etc.) sowie zu den technischen und organisatorischen Voraussetzungen für eine Migration festgeschrieben sind. - Um die Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb aufrechtzuerhalten, sind Dokumentationen und Richtlinien regelmäßig zu aktualisieren sowie regelmäßige Kontrollen, Abstimmungsrunden und die Planung und Durchführung von Übungen beziehungsweise Tests sicherzustellen. Weitere Informationen hierzu sind der Maßnahme M Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb zu entnehmen. - Um ein Cloud-Nutzungs-Verhältnisses geordnet zu beenden, müssen Eigentumsrechte an Hardund Software sowie die Rückgabe der Datenbestände vom Dienstleister geklärt sein. Außerdem müssen alle erforderlichen Informationen für die Weiterführung des Betriebs von IT-Systemen und IT-Anwendungen ausreichend dokumentiert sein. - Als wichtige Maßnahme zur Notfallvorsorge zählt die Erstellung eines IT-Notfallkonzeptes für die internen Prozesse bei Cloud-Nutzung. In diesem sollten relevante organisatorische und technische Punkte thematisiert werden. Die Sicherheitsempfehlungen zum Thema Cloud-Nutzung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Cloud-Nutzung finden sich im Baustein B 1.17 Cloud-Nutzung und in weiteren Bereichen der IT-Grundschutz-Kataloge.

19 Schicht Infrastruktur GR 2.1 GR 2.1 Allgemeines Gebäude Ein Gebäude ermöglicht einer Institution durch seine Infrastruktureinrichtungen erst den Betrieb der Geschäftsprozesse und der zugehörigen IT. Es bildet den äußeren Schutz der Informationen und Ressourcen und muss deshalb ausreichend geschützt werden. Dabei muss einerseits das Bauwerk (Wände, Decken, Böden, Dach, Fenster und Türen) betrachtet werden und andererseits alle gebäudeweiten Versorgungseinrichtungen wie Strom, Wasser, Gas, Heizung, Rohrpost etc.. - Bei einem Gebäude müssen viele verschiedene Sicherheitsaspekte beachtet werden, von Brandschutz über Elektrik bis hin zur Zutrittskontrolle, die häufig von verschiedenen Personen betreut werden. Daher müssen aufbauend auf den Schutzzielen die verschiedenen Aufgaben und Sicherheitsmaßnahmen abgestimmt werden. - Schützenswerte Räume oder Gebäudeteile sollten nicht in exponierten oder besonders gefährdeten Bereichen untergebracht sein. - Für schutzbedürftige Gebäudeteile, Räume, Verteiler der Versorgungseinrichtungen (Strom, Wasser, Gas, Telefon, etc.) ist eine Zutrittsregelung und -kontrolle festzulegen. Hierbei sollten die betroffenen Bereiche eindeutig bestimmt und die Zahl der zutrittsberechtigten Personen auf ein Mindestmaß reduziert werden. Andere Personen sollten erst nach vorheriger Prüfung der Notwendigkeit Zutritt erhalten. Alle erteilten Zutrittsberechtigungen sollten dokumentiert werden. - Bei der Raumplanung sind die zu erwartenden elektrischen Anschlusswerte und die abzuführende Wärmemenge zu bestimmen. Bei Änderungen der Raumnutzung oder der IT-Ausstattung sind die Elektroinstallation und die Kühlung zu prüfen und anzupassen, wenn nötig. - Es muss ein umfassendes Blitz- und Überspannungsschutzkonzept erstellt und realisiert werden. - Die aus der Bauordnung erwachsenden Vorschriften zum Brandschutz sind für die Anforderungen des Brandschutzes der IT nicht ausreichend. Daher ist ein IT-bezogenes Brandschutzkonzept zu erstellen und umzusetzen. Es muss ein Brandschutzbeauftragter benannt werden. Brandschutzbegehungen sollten ein- bis zweimal im Jahr stattfinden. - Der Brandschutzbeauftragte muss über alle Tätigkeiten an Rohr- und Kabeltrassen, die Wanddurchbrüche, sowie Flure, Flucht- und Rettungswege berühren, informiert sein, um die ordnungsgemäße Ausführung von Brandschutzmaßnahmen zu kontrollieren. - Für alle Schlösser des Gebäudes ist ein Schließplan zu erstellen, dabei ist die Verwaltung der Schlüssel zentral zu regeln. Es müssen Reserveschlüssel vorhanden sein und sicher, aber für Notfälle griffbereit aufbewahrt werden. - In unbenutzten Räumen sind Fenster und nach außen gehende Türen (Balkone, Terrassen) zu schließen. - Für Notfälle sind Alarmierungspläne zu erstellen. Diese sollten unter anderem die Maßnahmen enthalten, die bei einem Notfall zu ergreifen sind, welche Gebäudeteile zu räumen sind und wer zu informieren ist. Die Alarmierungspläne sind in regelmäßigen Abständen zu überprüfen und zu aktualisieren. Die Sicherheitsempfehlungen zum Thema Gebäude müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Gebäude finden sich im Baustein B 2.1 Allgemeines Gebäude und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

20 Schicht Infrastruktur GR 2.2 GR 2.2 Elektrotechnische Verkabelung Die ordnungsgemäße und normgerechte Ausführung der elektrotechnischen Verkabelung ist Grundlage für einen sicheren IT-Betrieb. Dabei umfasst die elektrotechnische Verkabelung von IT-Systemen und anderen Geräten alle Kabel und Verteilungen im Gebäude vom Einspeisepunkt des Verteilungsnetzbetreibers bis zu den Elektro-Anschlüssen der Verbraucher. - Die elektrotechnische Verkabelung muss für den Bedarf angemessen sein, eine Überlast ist zu vermeiden. - Für die elektrotechnische Verkabelung sind geeignete Kabeltypen unter physikalisch-mechanischer Sicht auszuwählen, die dem jeweiligen Einsatzzweck gerecht werden. - Bei der Auswahl der Trassensysteme ist darauf zu achten, dass genügend Platz für alle über die Trasse geführten Kabel vorhanden ist und dass Normen beim Verlegen der Kabel, wie z. B. maximale Biegeradien der Kabel, eingehalten werden. - Brandschutzbestimmungen müssen auf jeden Fall beachtet und elektrische Zündquellen, wie z. B. nicht überprüfte Steckdosenleisten oder ähnliches, vermieden werden. Der Brandschutzbeauftragte ist aus diesen Gründen frühzeitig mit einzubeziehen. - Es muss ein geeigneter Überspannungsschutz vorhanden sein, um mögliche Schäden an IT-Geräten in Netzen durch direkten Blitzeinschlag, Einkopplung und Schalthandlungen zu reduzieren. Überspannungsschutzeinrichtungen sollten periodisch und nach bekannten Ereignissen geprüft und ersetzt werden, wenn dies erforderlich ist. - Leitungen und Verteiler sind gegen unbefugte Zugriffe zu sichern. Die Zahl der Stellen, an denen das Kabel oder Verteiler zugänglich sind, sollte auf ein Mindestmaß reduziert werden. - Die elektrotechnische Verkabelung ist so zu gestalten, dass Fehlerstromfreiheit gewährleistet ist, da solche Fehlerströme zu schädlichen Ausgleichsströmen auf Schirmungen führen können. Die Fehlerstromfreiheit muss im laufenden Betrieb aufrechterhalten werden. - Insofern Veränderungen an der elektrotechnischen Verkabelung vorgenommen werden oder Gebäude und Räume neu verkabelt werden, ist die elektrotechnische Verkabelung genau zu dokumentieren, beispielsweise auf einem Gebäude- oder Raumplan. Bei der Dokumentation an den Kabeln ist darauf zu achten, dass diese für Befugte nachvollziehbar, aber ansonsten neutral ist. - Nicht benötigte Kabel sind zu entfernen. Damit werden Brandlasten und die Gefahr von elektrischen Störungen, z. B. durch das Verschleppen von Überspannungen, reduziert. - Die Verwendung von Mehrfachsteckdosen sollte wegen der Brandgefahr konsequent vermieden werden. Fehlende Steckdosen sollten nachgerüstet werden. Die Sicherheitsempfehlungen zum Thema Elektrotechnische Verkabelung müssen zielgruppengerecht aufbereitet und institutionsweit veröffentlicht werden. Weitere Informationen zum Thema Elektrotechnische Verkabelung finden sich im Baustein B 2.2 Elektrotechnische Verkabelung und in den weiteren Bereichen der IT-Grundschutz-Kataloge.

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Sicherheitsrichtlinie zur IT-Nutzung

Sicherheitsrichtlinie zur IT-Nutzung Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION...

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit

Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Zielgruppengerechte Vermittlung von Themen der Informationssicherheit Autor: Bundesamt für Sicherheit in der Informationstechnik (BSI) Stand: Dezember 2008 Seite 1 von 9 1 Einleitung Informationssicherheit

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Checkliste IT-Sicherheit

Checkliste IT-Sicherheit Ist die Administration organisatorisch angemessen aufgebaut? Wie werden die Bereiche Benutzerverwaltung, Rechteverwaltung, Protokollauswertung sowie Netzwerk- und Systemsicherheit abgedeckt? Sind die Bereiche

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

IT-Sicherheitsleitlinie der Universität der Bundeswehr München

IT-Sicherheitsleitlinie der Universität der Bundeswehr München IT-Sicherheitsleitlinie der Universität der Bundeswehr München Arbeitskreis IT-Sicherheit an der UniBwM 06.12.2006 Datum Bemerkung 25.07.2006 Erstfassung 06.12.2006 Redaktionelle Überarbeitung Revision

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014

Vorstellung des Bausteins 5.25 Cloud-Nutzung. IT-Grundschutz-Tag 26. Juni 2014 Vorstellung des Bausteins 5.25 Cloud-Nutzung IT-Grundschutz-Tag 26. Juni 2014 AGENDA Baustein 5.25 - Projektübersicht Was Sie in den nächsten 45 Minuten erwartet Motivation der Bausteinerstellung Wesentliche

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Definition - Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-Informationen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Vermerk Vertraulichkeit: Offen Inhalt: Einleitung und Geltungsbereich...3 1. Ziele der Informationssicherheit...4 2. Grundsätze der Informationssicherheit...4

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

MUSTER-IT-SICHERHEITSKONZEPT FÜR KLEINE EINRICHTUNGEN

MUSTER-IT-SICHERHEITSKONZEPT FÜR KLEINE EINRICHTUNGEN MUSTER-IT-SICHERHEITSKONZEPT FÜR KLEINE EINRICHTUNGEN INHALTSVERZEICHNIS 1 EINLEITUNG 3 A. SENSIBILISIERUNG DER MITARBEITENDEN 4 B. DATENSICHERUNGSKONZEPT 4 C. SCHUTZ VOR SCHADPROGRAMMEN 4 D. REGELUNGEN

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben.

Abrechnungsrelevante Informationen werden entsprechend der gesetzlichen Aufbewahrungsfristen aufgehoben. Ihr Datenschutz ist unser Anliegen Wir freuen uns über Ihr Interesse an unserem Unternehmen und unseren Produkten bzw. Dienstleistungen und möchten, dass Sie sich beim Besuch unserer Internetseiten auch

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Ihr Laptop mit Sicherheit?

Ihr Laptop mit Sicherheit? Ihr Laptop mit Sicherheit? Agenda Was bedroht Sie und Ihren Laptop? Legen Sie Ihren Laptop an die Kette Ihr Laptop mit Sicherheit! 2 Was bedroht Sie und Ihren Laptop? Was bedroht Sie und Ihren Laptop?

Mehr

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67

05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 05.06.2008 Amtliche Mitteilungen / 27. Jahrgang 2/2008 67 Dienstvereinbarung zur Einführung und Anwendung von helpline zwischen der Universität Oldenburg (Dienststelle) und dem Personalrat der Universität

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich

Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Möglichkeiten der E-Mail- Archivierung für Exchange Server 2010 im Vergleich Seit Microsoft Exchange Server 2010 bieten sich für Unternehmen gleich zwei mögliche Szenarien an, um eine rechtskonforme Archivierung

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Berufsakademie Gera Themen für die Projektarbeit

Berufsakademie Gera Themen für die Projektarbeit Berufsakademie Gera Themen für die Projektarbeit Themenvorschlag 1: Passen Sie die vom BSI vorgegebenen Definitionen der Schutzbedarfskategorien an Ihre Behörde/Ihr Unternehmen an. Beschreiben Sie Ihre

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH

Notfallmanagement & Business Continuity Management. SILA Consulting GmbH Notfallmanagement & Business Continuity Management SILA Consulting GmbH Notfallvorsorge Alle Menschen sind klug, die einen vorher, die anderen nachher. Eine alltägliche Situation Sie befinden sich auf

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06. Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.2015) / / Öffentlich-rechtliche Vereinbarung über die Bereitstellung

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

Sicheres Cloud Computing

Sicheres Cloud Computing Sicheres Cloud Computing für die öffentliche Verwaltung mit der Private Cloud praktische Erfahrungen BSI Grundschutztag am 26.6.2014 IT-Dienstleistungszentrum Berlin Dipl.-Ing. Karsten Pirschel Moderne

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Beschreibung. Schicht Übergreifende Aspekte B 1.17

Beschreibung. Schicht Übergreifende Aspekte B 1.17 Schicht Übergreifende Aspekte B 1.17 B 1.17 Cloud-Nutzung Beschreibung Mit Cloud Services nutzen Institutionen die Möglichkeit, IT-Infrastrukturen (zum Beispiel Rechenleistung, Speicherkapazitäten), IT-Plattformen

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731

Datenschutz. by Gabriele Schuster, Würzburg, 0171-2646731. by Gabriele Schuster, Würzburg, 0171-2646731 Datenschutz 1 Die Hintergründe des BDSG 2 Ziel des Datenschutzes: Die Vermeidung von erfahrungsfreiem Wissen (Informationelle Selbstbestimmung) Jeder Mensch sollte wissen, wer was mit seinen Daten macht

Mehr

Informationssicherheit bei TechniData IT Service

Informationssicherheit bei TechniData IT Service Informationssicherheit bei 1. Informationssicherheit und Informationsverarbeitung Die Informationsverarbeitung nimmt in den meisten Unternehmen eine Schlüsselposition zur Erreichung der Geschäftsziele

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015

Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom... April 2015 Landessynode Ev. Landeskirche Anhalts 7. Tagung - 23. Legislaturperiode 17. und 18. April 2015 in Köthen Die Landessynode hat beschlossen: Erstes Kirchengesetz zur Änderung der IT-Sicherheitsordnung vom...

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Auditierungs- und Zertifizierungskonzept (AZ-Konzept)

Auditierungs- und Zertifizierungskonzept (AZ-Konzept) Auditierungs- und Zertifizierungskonzept (AZ-Konzept) Inhalt 1. Grundlage... 2 2. Versionsverwaltung... 2 3. Zertifizierungsstelle... 2 4. Auditor... 3 5. Ethik und Unabhängigkeit der Auditoren... 3 6.

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz

Zuordnungstabelle ISO 27001 sowie ISO 27002 und IT-Grundschutz Zuordnungstabelle ISO 27001 sowie ISO 27002 und beschreibt mit Hilfe der BSI-Standards 100-1, 100-2 und 100-3 eine Vorgehensweise zum Aufbau und zur Aufrechterhaltung eines Managementsystems für Informationssicherheit

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr