Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler



Ähnliche Dokumente
Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Digital signierte Rechnungen mit ProSaldo.net

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

ELBA-business Electronic banking fürs Büro. Digitale Signatur. ELBA-business 5.7.0

BSI Technische Richtlinie

BSV Software Support Mobile Portal (SMP) Stand

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Anleitung WLAN BBZ Schüler

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Kundeninformationen zur Sicheren

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

ecure usführliche Kundeninformation

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Datenschutz-Vereinbarung

sidoku - Quickstart Beschreibung des Vorgangs Einladung annehmen Release Stand

Hier finden Sie häufig gestellte Fragen und die Antworten darauf.

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

-Verschlüsselung mit Geschäftspartnern

GPP Projekte gemeinsam zum Erfolg führen

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

BSI Technische Richtlinie

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

10 W-Fragen im Umgang mit elektronischen Rechnungen (erechnung)

Vereinbarung über den elektronischen Datenaustausch (EDI)

A-CERT Certificate Policy

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

Datum Ausgabe 05/2009

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

ITIL & IT-Sicherheit. Michael Storz CN8

Secure Ausführliche Kundeninformation

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Maintenance & Re-Zertifizierung

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

Erstellen einer digitalen Signatur für Adobe-Formulare

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

Online-Zugang zum EOM. Anleitung

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

Secure Ausführliche Kundeninformation

Import des persönlichen Zertifikats in Outlook 2003

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Mail-Signierung und Verschlüsselung

Welche technischen Voraussetzungen sind für die Nutzung von Zertifikaten notwendig?

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Content Management System mit INTREXX 2002.

Aktivierung der digitalen Signatur in Outlook Express 6

Import, Export und Löschung von Zertifikaten mit dem Microsoft Internet Explorer

Installationsanweisung Gruppenzertifikat

Einrichten des Elektronischen Postfachs

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Adressen der BA Leipzig

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Einrichtung eines VPN-Zugangs

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Verschlüsselung

Dok.-Nr.: Seite 1 von 6

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Für die Einrichtung des elektronischen Postfachs melden Sie sich wie gewohnt in unserem Online-Banking auf an.

Lenkung der QM-Dokumentation

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung

Vereinbarung über den elektronischen Datenaustausch (EDI)

Anleitung für die Umstellung auf das plus Verfahren mit manueller und optischer Übertragung

PeDaS Personal Data Safe. - Bedienungsanleitung -

Import des persönlichen Zertifikats in Outlook Express

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Leitfaden. zur Registrierung und Beschaffung einer elektronischen Signatur für die IKK classic Ausschreibungsplattform.

EDI-Vereinbarung Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Ticketing mit JIRA Kurzanleitung

Rahmenvereinbarung über den elektronischen Datenaustausch (EDI)

Überprüfung der digital signierten E-Rechnung

Ust.-VA ab Release 1.0.0

Nutzung dieser Internetseite

A-CERT Certificate Policy

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

Dokumentation: Selbstregistrierung

Ihre Bewerbung per . Verschlüsselt und sicher

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Datenschutzvereinbarung

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Insight aus der Webseite!

Installationsanleitung CLX.PayMaker Home

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

1 Allgemeines Initialisierung Zertifikatserzeugung... 4

HDI-Gerling Industrie Versicherung AG

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Transkript:

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für Systementwickler Dokumenthistorie: Version Name Org.-Einheit Datum Bemerkung 1.0 Fröhlich, Hafner Audi I/GO, VW K-GOT 20.10.2006

Inhaltsverzeichnis: 1. Zweck...3 2. Kontext...3 3. Geltungsbereich...4 4. Einstufung und Kontrolle der Werte...4 5. Management der Kommunikation und des Betriebs...4 6. Zugangskontrolle...4 7. Systementwicklung und wartung...4 7.1. Sicherheitsanforderungen an IT-Systeme... 4 7.2. Sicherheit in IT-Systemen... 5 7.3. Kryptographische Maßnahmen... 5 7.3.1. Politik für den Einsatz kryptographischer Maßnahmen... 5 7.3.2. Verschlüsselung... 5 7.3.3. Digitale Signaturen... 6 7.3.4. Schlüsselmanagement... 6 7.4. Sicherheit von Systemdateien... 6 7.5. Sicherheit bei Entwicklungs- und Supportprozessen... 7 8. Einhaltung der Verpflichtungen...7 9. Verantwortlichkeit...7 Anhang:...8 Seite 2 von 8

1. Zweck Die für die Nutzung von Informationen und Kommunikationsgeräten (z. B. Personalcomputer, Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden IT- Sicherheitsregelungen für Systementwickler (Entwickler von IT-Systemen (siehe Anhang, Ziff. 1)) sind in diesen IT-Sicherheitshandlungsleitlinien zusammengefasst. Diese dienen dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie der Wahrung der Rechte und Interessen des Unternehmens und aller natürlichen und juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. für diese arbeiten. Die Basis für dieses Dokument stellt die IT-Sicherheitspolitik dar. Die Grundsätze der IT-Sicherheitspolitik werden für die Zielgruppe Systementwickler konkretisiert. Die Struktur dieses Dokumentes basiert auf dem internationalen Standard ISO/IEC 17799. Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2). Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen ausschließlich über das Intranet (siehe Anhang, Ziff. 2). 2. Kontext Folgende Übersicht zeigt die Einordnung der IT-Sicherheitshandlungsleitlinien in das IT- Sicherheitsregelwerk: IT-Sicherheitspolitik Definition der grundlegenden Ziele, Strategien und Verantwortlichkeiten zur Gewährleistung der IT-Sicherheit IT-Sicherheitshandlungsleitlinien Ausgestaltung der Politik in organisatorische Anweisungen für einzelne Benutzergruppen IT-Sicherheitsregelungen Spezifikation der organisatorischen Standards im technischen Umfeld und Beschreibung von technischen Funktionen und Prozessen Für alle Nur für eingeschränkten Nutzerkreis IT-Sicherheitsregelwerk Seite 3 von 8

3. Geltungsbereich Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch konkrete IT-Regelungen im Einzelfall auszugestalten. 4. Einstufung und Kontrolle der Werte Die Verantwortung für Informationen hat der jeweilige Informationseigentümer. Dies gilt auch dann, wenn die Informationen über IT-Systeme bereitgestellt werden. 5. Management der Kommunikation und des Betriebs Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der Planung zu definieren und zu dokumentieren. Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen. 6. Zugangskontrolle Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende Vorgaben zu erfüllen: Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten fehlerhaft war. Erfolglose Versuche sind aufzuzeichnen. Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das IT-System die Anmeldung abzubrechen. Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe IT- Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter ) durch entsprechende Systemumsetzungen zu unterstützen. Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren oder durch geeignete Maßnahmen zu schützen. 7. Systementwicklung und wartung 7.1. Sicherheitsanforderungen an IT-Systeme Vor Entwicklung und Einsatz von IT-Systemen sind die IT-Sicherheitsmaßnahmen zu identifizieren und zu vereinbaren. Dies gilt für die Infrastruktur, Standardanwendungen und für selbst entwickelte Anwendungen. IT-Sicherheitsanforderungen und -maßnahmen müssen gesetzliche Vorschriften, den Wert der betroffenen Informationen sowie den potentiellen Schaden für das Unternehmen, der durch einen Mangel an oder das Nichtvorhandensein von Sicherheit entstehen kann, berücksichtigen. Die Analyse von IT-Sicherheitsanforderungen und die Identifizierung von Maßnahmen zur Erfüllung dieser Anforderungen muss im Bedarfsfall durch ein Risikomanagement begleitet werden. Folgende grundsätzliche IT-Sicherheitsanforderungen sind abhängig von der Klassifizierung der Daten bei der Systementwicklung zu gewährleisten: Datenintegrität, d. h. Einrichtung von Verfahren, die sicherstellen, dass alle Daten exakt und vollständig verarbeitet und gespeichert werden. Seite 4 von 8

Systemintegrität, d.h. Einrichtung von Verfahren, die sicherstellen, dass die Systemverarbeitung vollständig, exakt und autorisiert durchgeführt wird. Verfügbarkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass die Daten und Systeme innerhalb eines vereinbarten Zeitraums bereitstehen. Vertraulichkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass nur berechtigte Personen auf schützenswerte Informationen bei der Verwendung, Übertragung, Speicherung oder Löschung Zugriff haben. Zugriffskontrolle, d. h. Einrichtung von Verfahren, die sicherstellen, dass der Zugriff auf schützenswerte Unternehmensinformationen auf die Personen beschränkt wird, die diese zur Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Authentisierung, d. h. Einrichtung von Verfahren, die sicherstellen, dass alle IT-Systeme nur von Berechtigten genutzt werden können. Autorisierung, d. h. Einrichtung von Zugangskontrollverfahren, die sicherstellen, dass alle IT- Systeme bzw. IT-Anwender nur die Daten und Dienste nutzen können, die ihnen explizit zugewiesen wurden. Unabstreitbarkeit, d. h. Einrichtung von Verfahren, die sicherstellen, dass die Authentisierung und Integrität der enthaltenen Informationen später verifiziert werden kann. 7.2. Sicherheit in IT-Systemen In IT-Systemen sind Schutzmaßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit (gegen Verlust, Änderung oder Missbrauch von Daten) vorzusehen. Dies sind Maßnahmen wie: Validierung der Eingabedaten Kontrolle der internen Verarbeitung z. B. bei der Verfolgung von Datenbanktransaktionen Nachrichtenauthentisierung Validierung der Ausgabedaten Beim Einsatz von Audit-/Aktivitätsprotokollen sind die notwendigen Genehmigungsverfahren einzuhalten (siehe Anhang, Ziff. 3). Für die Verarbeitung vertraulicher oder geheimer Daten durch IT-Systeme ist der Einsatz spezieller Sicherheitsmaßnahmen (z. B. Verschlüsselung, Signaturen) notwendig. Die Festlegung und Entscheidung für den Einsatz solcher Maßnahmen ist auf Grundlage von Risikoanalysen bezüglich der IT- Sicherheitsanforderungen des Geschäftsprozesses zu treffen. Die Sicherheit von IT-Systemen ist durch die Umsetzung der Maßnahmen, die der Systementwicklungsprozess (SEP) fordert, zu gewährleisten. Bezüglich der Beratung bei der Einführung von IT-Systemen gelten die Regelungen und Betriebsvereinbarungen der jeweiligen Konzerngesellschaft (siehe Anhang, Ziff. 4). 7.3. Kryptographische Maßnahmen 7.3.1. Politik für den Einsatz kryptographischer Maßnahmen Grundsatzentscheidungen über Strategie, Einsatz und Handhabung kryptographischer Maßnahmen sind durch die zuständigen Stellen (siehe Anhang, Ziff. 5) zu treffen. 7.3.2. Verschlüsselung Die Regelungen für das Schlüsselmanagement, um eine vertrauliche, integere und authentische Erzeugung, Verteilung und Installation von geeigneten Schlüsseln zu gewährleisten, sind durch die dafür zuständigen Stellen (siehe Anhang, Ziff. 6) festzulegen. Zum Schutz vertraulicher oder geheimer Daten sind von den zuständigen Stellen freigegebene Verschlüsselungsprodukte (siehe Anhang, Ziff. 7) einzusetzen. Im Falle der Freigabe und des Einsatzes anwendungsspezifischer Verschlüsselungssoftware müssen auch geeignete Tools zur Umschlüsselung bereitgestellt werden. Seite 5 von 8

7.3.3. Digitale Signaturen Zum Schutz der Authentizität und Integrität bei der Verteilung von geheimen Daten ist mindestens die fortgeschrittene elektronische Signatur einzusetzen. Eine elektronische Signatur ist eine Kontrollinformation (Mechanismus), die an eine Nachricht oder Datei angehängt wird und mit der folgende Eigenschaften verbunden sind: Anhand einer elektronischen Signatur ist eindeutig feststellbar, wer diese erzeugt hat. Durch die Signatur bestätigt der Unterzeichner sein Einverständnis mit dem Inhalt und der Versendung der Daten. Es ist authentisch überprüfbar, ob die Daten, welche mit der elektronischen Signatur übertragen worden sind, identisch sind mit den Daten, die tatsächlich signiert wurden. Die nationalen Gesetze zur rechtlichen Anerkennung der elektronischen Signatur sind zu beachten (siehe Anhang, Ziff. 8). Zertifikate haben eine zeitlich begrenzte Gültigkeit. Vor Ablauf der Gültigkeit eines Signaturzertifikats (Schlüsselverwendung content commitment bzw. non repudiation ) müssen damit signierte Daten mit einem länger gültigen Schlüssel übersigniert werden. 7.3.4. Schlüsselmanagement Die Schlüssel sind gegen Modifikation und Zerstörung zu schützen. Sofern Schlüssel Unbefugten bekannt geworden sind, sind sie auszutauschen. Der Kreis der Personen, die Zugriff auf die Schlüssel haben, ist möglichst klein zu halten und ist in einem Verzeichnis festzuhalten. Es ist sicherzustellen, dass benutzte Schlüssel mindestens so lange aufbewahrt werden, wie die mit ihrer Hilfe verschlüsselten oder signierten Dateien archiviert werden, soweit dies nicht durch ein zentrales Schlüsselmanagement (z. B. PKI) gewährleistet wird. 7.4. Sicherheit von Systemdateien Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt werden. Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- /Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 10) zu archivieren. Beim Zugriff auf Testdaten ist der Grundsatz Kenntnis, nur wenn nötig zu beachten. Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven IT-Systemen in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist, sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt für die Erfüllung ihrer vertragsgegenständlichen Arbeiten benötigen. Das Kopieren oder die Nutzung von Informationen aus laufenden IT-Systemen ist nur nach vorheriger Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen IT-Sicherheitsanforderungen wie die Original-Daten. Benutzte Informationen aus laufenden IT-Systemen sind nach Durchführung des Tests nicht wiederherstellbar zu löschen. Zugriffsberechtigungen, die für laufende IT-Systeme gelten, müssen auch für Testanwendungen beachtet werden. Seite 6 von 8

7.5. Sicherheit bei Entwicklungs- und Supportprozessen Alle Abläufe und Vorgänge, die IT-Systeme berühren, sind so zu gestalten, dass das jeweils angestrebte IT- Sicherheitsniveau ganzheitlich erreicht und beibehalten wird. Formale Änderungskontrollverfahren (Change Management) sind durchzuführen. Sie müssen sicherstellen, dass Sicherheit und Überwachungsverfahren der IT-Systeme nicht durch Änderungen kompromittiert werden. Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkun-gen auf bestehende Regelungen und Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies lizenzrechtlich und aufgrund der Wartungsverträge zulässig ist. 8. Einhaltung der Verpflichtungen Beim Einsatz von Verschlüsselung und/oder von elektronischen Signaturen (siehe Anhang, Ziff. 8) insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen für den Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten. Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 11) zu kontaktieren. 9. Verantwortlichkeit Diese Handlungsleitlinien sind von allen Systementwicklern anzuwenden und einzuhalten. Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen und gesetzlichen Vorschriften und Vereinbarungen geprüft und entsprechend geahndet. Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung mit den zuständigen Stellen (siehe Anhang, Ziff. 12) und nur zeitlich begrenzt zulässig. Seite 7 von 8

Anhang: Gültigkeit: Diese Regelungen sind bei der Entwicklung von neuen IT-Systemen mit der Veröffentlichung sofort bindend. Ziffer 1. Ein IT-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren Kommunikationsbeziehungen untereinander. 2. Die jeweils aktuellen Informationen werden im Audi mynet veröffentlicht. 3. Personenbezogene Protokollierung, die eine Verhaltenskontrolle ermöglicht, ist im Betriebsratsausschuss EDV-Systeme zu genehmigen. 4. IT-Systeme, die mitbestimmungspflichtige Tatbestände beinhalten, sind in den BR-EDV-Ausschüssen zu beraten. 5. Verantwortlichkeit: IT-Sicherheitsteam. 6. Verantwortlichkeit: I/FP-72. 7. Die freigegebenen Verschlüsselungsprodukte finden Sie im mynet unter Services/IT&O/Produkte & Leistungen/Architektur, Methoden & Standards/IT-Standards Die verbindliche Vorgabe im Konzern. 8. Nationale Gesetze zur Anerkennung der elektronischen Signatur: In der Bundesrepublik Deutschland gilt das Signaturgesetz SigG. Hier sind die nationalen gesetzlichen Rahmenbedingungen für den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom 13.12.1999 [ECRL99] angepasste Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften [SigG01] ist am 22.05.2001 in Kraft getreten und löst das Signaturgesetz von 1997 ab. Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. 9. Verantwortlichkeit: Systemadministratoren und Mitarbeiter mit administrativen Rechten. 10. Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 11. Verantwortlichkeit: Zentraler Rechtsservice. 12. Verantwortlichkeit: Informations- und Datenschutz. Seite 8 von 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback