IT-RICHTLINIE. (4) Auch externe Personen, die regelmäßig für unseren Verein tätig sind, sind verpflichtet, sich an diese Richtlinie zu halten.

Ähnliche Dokumente
Sicherheitshinweise für IT-Benutzer. - Beispiel -

Leitlinie zur Informationssicherheit

ICT-Sicherheitsleitlinie vom 11. August 2015

DE 098/2008. IT- Sicherheitsleitlinie

Übermittlung und Speicherung von Daten aus technischen Gründen und zu Zwecken von Statistik und Marktforschung

Remote Support Datenschutz-

Muster-Dienstvereinbarung über die Nutzung privater Smartphones und Tablets für dienstliche Zwecke

Diese Website und das Leistungsangebot von bome.net werden von der

Merkblatt über den Datenschutz für Ehrenamtliche

Grundsätze zur Informationssicherheit an der Universität Leipzig

ANHANG 17-A SCHUTZ- UND SICHERHEITSVERFAHREN

Datenschutzerklärung

AGB Newsletter. (Stand: )

SIBELCO DEUTSCHLAND GMBH Verantwortlich die Geschäftsführung: Michael Klaas Verantwortlich für den Inhalt der Seite gemäß 10 MDStV: Michael Klaas

Informationen zur Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsverfahrens

Datenschutzerklärung Forschung

Angaben gemäß 5 TMG: Baugeschäft Frank Gruber Alter Postweg 20. D Buxtehude. Telefon: / Telefon: /

MARMIND. Datenschutzbestimmungen

Datenschutzinformation Projekt VolksBot

Datenschutz Vereinsmitgliedschaft

Satzung des Bocholter Bogenschützen Clubs e.v. in der Fassung vom

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28/29 Datenschutzgrundverordnung (DSGVO)

Nutzungsordnung für IServ

Hinweise zum Datenschutz

Datenschutz-Richtlinie der SenVital

W101 Weisung: Benutzernamen und Passwörter (Passwort-Policy)

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß 291g Absatz 4 SGB V. zwischen

Impressum. Freiwillige Feuerwehr Edelsbach bei Feldbach Edelsbach 150d 8332 Edelsbach bei Feldbach.

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

Datenschutzerklärung Apps

Satzung des Fördervereins TSV Bitzfeld

Kontakt / Impressum Mittwoch, 10. Oktober 2007

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

Datenschutz ist für Casa d'óbidos Turismo Rural, Lda, vor CASA D'ÓBIDOS wichtig.

Impressum und Kontaktdaten

Informationen zur Verarbeitung personenbezogener Daten von Lieferanten gültig ab Mai 2018

Datenschutzerklärung Bewerbungsmanagement

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Allgemeine Informationen zur Umsetzung der datenschutzrechtlichen Vorgaben der Artikel 12 bis 14 der Datenschutz-Grundverordnung bei QMRW

Umsatzsteuer-Identifikationsnummer gemäß 27a Umsatzsteuergesetz:

Verordnung über die Informationssicherheit (ISV)

REGULATIV ÜBER DIE NUTZUNGSBEDINGUNGEN FÜR DEN INTERNETAUFTRITT

Richtlinien öffentlicher Organe zwischen Compliance and Ethic Codes

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Dienstvereinbarung über die Einrichtung und Anwendung eines digitalen Schließsystems in der Fassung vom

Satzung. 2 Zweck des Vereins

Information und Hinweise zur Datenverarbeitung von Bewerbungen

Datenschutzordnung Stand: Juni 2018

Allgemeine Geschäftsordnung. der DEGRO

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

als gemeinsam Verantwortliche (im Folgenden gemeinsam HAMBURG WASSER oder HW genannt).

Datenschutzerklärung / Haftungshinweis / Disclaimer:

Impressum. Aeroservice Donauwörth GmbH. Forstmahd Genderkingen. Tel.: 0906/5755. Fax: 0906/23655

Arbeitshilfe Datenschutz

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Umgang mit mobilen IT Geräten

Nachweis der DSGVO-Umsetzung im Verein (Checkliste)

Geplante Satzungsänderung (Mitgliederversammlung vom )

2. Datenbackups Recovery Verfügbarkeit Datenverfügbarkeit Stromversorgung... 3

Datenschutzerklärung. und

Informationen zur Verarbeitung personenbezogener Daten von Geschäftspartnern

Anmeldung. Anmeldung zum. Foto* Angaben des Kindes Name des Kindes: Geburtsort * : Geb.datum: Nationalität * :

Datenschutzerklärung für VEA-Online und VEA-Extranet

Anlage 3 zur Dienstanweisung über den Datenschutz und die Datensicherheit bei der Kreisverwaltung Recklinghausen

Impressum der

DATENSCHUTZERKLÄRUNG LIEFERANTEN (SUPPLIER RELATIONSHIP MANAGEMENT; SRM) vom 25. April 2018 PERSTORP GROUP

Datenschutzerklärung nach der Datenschutz-Grundverordnung EU Bundesdatenschutzgesetz 2018

Im Handels-, Genossenschafts- oder Vereinsregister eingetragener Name mit Rechtsform:

DATENSCHUTZHINWEISE nach DS-GVO

Allgemeine Geschäftsbedingungen

Datenschutzinformation für unsere Mitglieder

GESCHÄFTSORDNUNG FÜR DAS PRÄSIDIUM, DEN VORSTAND UND DIE GESCHÄFTSSTELLE DES DOSB

Informationssicherheit an der RWTH

BDS Förderverein. Satzung in der Fassung des Beschlusses vom Name, Sitz, Geschäftsjahr

Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Auftragsverarbeitungsvereinbarung gemäß Art 28 DSGVO

Merkblatt Datenschutz. Umgang mit dienstlichen s

D_09d Musterschulungsunterlage zum Datenschutz

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Verein für Sport und Gemeinschaftspflege von 1968 e.v. Stapelfeld. Geschäftsordnung

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Datenschutzordnung des Musikvereins 1913 Harheim e.v.

der backaldrin International The Kornspitz Company GmbH gemäß Art 13 und Art 14 DSGVO

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Graphisch Technische Datenverarbeitung

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

Was jetzt zu tun ist.

Datenschutzerklärung. missio Internationales Katholisches Missionswerk e.v. missio Internationales Katholisches Missionswerk e.v.

Impressum. Kontakt: Angaben gemäß 5 TMG: Werner Eiser Naturhuf Eiser Hauptstr Seelbach. Steuernummer: 02/036/51994.

Regulativ. über die Nutzungsbedingungen. für den Internetauftritt. der

Transkript:

IT-RICHTLINIE Der Vorstand der Deutschen Narkolepsie-Gesellschaft e.v. (DNG) verabschiedet hiermit folgende Richtlinie zur Informationssicherheit als Bestandteil ihres ehrenamtlichen Wirkens für den Verein: Einleitung (1) Als gemeinnütziger Verein verarbeiten wir eine Vielzahl von (insbesondere personenbezogenen) Daten, um unsere Aufgaben und Pflichten gegenüber unseren Vereinsmitgliedern, Behörden, Vertragspartnern, der Öffentlichkeit und sonstigen Dritten zu erfüllen. Dabei verarbeiten wir auch Daten, die einen hohen Schutzbedarf aufweisen und die vor der unberechtigten Kenntnisnahme durch Dritte besonders zu schützen sind. Die Sicherheit der Informationsverarbeitung spielt daher eine Schlüsselrolle für unsere Aufgabenerfüllung. (2) Diese IT-Richtlinie soll die vom Verein getroffenen Maßnahmen zum Schutz von Daten vor unbefugter Kenntnisnahme durch Dritte oder nichtberechtigte Mitglieder unterstützen und darüber hinaus eine grundlegende Information für alle Mitglieder im Hinblick auf den Umgang mit Daten sein. Geltungsbereich (3) Diese Richtlinie gilt für den gesamten Verein, insbesondere aber für die Geschäftsstelle, die Arbeitsumgebung der Vorsitzenden und des Kassenwarts, und aller für den Verein stellvertretend agierenden Vorstandsmitglieder und sonstigen ehrenamtlich Tätigen. (4) Auch externe Personen, die regelmäßig für unseren Verein tätig sind, sind verpflichtet, sich an diese Richtlinie zu halten. (5) Der Verein wird entsprechende Vorkehrungen treffen, damit diese Richtlinie auch für die externen Personen verbindlichen Charakter hat. Einhaltung von Rechtsvorschriften (6) Bei der Benutzung der IT-Systeme und Anwendungen, beim E-Mail-Verkehr und bei der redaktionellen wie technischen Administration der Webseite unseres Vereins sind von den Mitgliedern, allen voran vom Vorstand, die geltenden Rechtsvorschriften zu Datenschutz und Datensicherheit einzuhalten. Sollten Mitglieder unsicher sein, ob und inwieweit Rechtsvorschriften oder interne Regelungen einzuhalten sind, haben sie sich an den Vorstand zur Klärung zu wenden. Sicherheitsorganisation a. Personelle Maßnahmen (7) Zur Erreichung der Informationssicherheitsziele wird durch den Vorstand ein IT- Sicherheits- beauftragter benannt. Von der Benennung ausgeschlossen sind Mitglieder

des Vorstandes sowie der Datenschutzbeauftragte. Unterstützt wird dieser bei Bedarf durch Dritte, die bestenfalls ebenfalls Mitglied des Vereins und ehrenamtlich tätig sind. (8) Verantwortlich für die Sicherheitsorganisation ist der geschäftsführende Vorstand. Der IT-Sicherheitsbeauftragte berät diesen bei der Planung und Umsetzung der Informationssicherheit im Verein. Er berichtet in seiner Funktion anlassbezogen, mindestens jedoch einmal jährlich unmittelbar dem Vorstand. (9) Der IT-Sicherheitsbeauftragte hat die Pflicht, sich regelmäßig weiterzubilden und zu informieren. Sofern dafür finanzielle Ressourcen benötigt werden, entscheidet darüber der Vorstand. (10) Für die Betreuung und Beratung rund um IT-Themen kann der Vorstand einen technischen Administrator zu Rate ziehen. (11) Der Umfang der technischen Administration wird in der Geschäftsordnung nebst Anlagen, und falls notwendig einem gesonderten Vertrag näher definiert. b. Organisatorische Maßnahmen Arbeitsplatz (12) Beim Verlassen des Arbeitsplatzes muss der jeweilige Mitglied sich abmelden, so dass vor der erneuten Nutzung des IT-Systems oder der Anwendung eine Authentifizierung (Benutzername/Passwort) erforderlich wird. (13) In Bereichen mit Publikumsverkehr sind die IT-Systeme insbesondere die Bildschirme so auszurichten, dass das Risiko der Kenntnisnahme durch Besucher oder Dritte nach Möglichkeit ausgeschlossen wird. IT-Geräte (14) Auf den vom Verein bereitgestellten IT-Geräten ist nur die eigens dafür frei gegebene Software zu betreiben. Die Installation von zusätzlicher Software wie auch die Ablage von persönlichen Daten ist generell untersagt oder ist im Einzelfall durch den IT- Sicherheitsbeauftragten zu genehmigen. (15) Die Mitglieder, die zum Arbeit ihre private Hardware einsetzen, verpflichten sich, dass die vom Verein festgelegten Regelungen zum Datenschutz nach allen Kräften eingehalten werden. Schulung (16) Der Vorstand trägt Sorge dafür, dass die an der Vereinsarbeit mitwirkenden Mitglieder die erforderlichen Anweisungen erhalten, die für den jeweiligen Umgang mit den IT- Systemen und Anwendungen (in erster Linie E-Mail-Zugriff und Pflege der Webseite) erforderlich sind. (17) Die Instruktionen werden schriftlich festgehalten, damit sie jederzeit nachvollziehbar und für neue ermächtigte Mitwirkende verfügbar sind. 2

c. Technische Maßnahmen Passwort-Gebrauch (18) Soweit technisch möglich sind alle IT-Systeme und Anwendungen erst nach hinreichender Authentifizierung des Nutzers zu nutzen. Die Authentifizierung erfolgt in der Regel durch die Verwendung der Kombination Benutzername/Passwort. (19) Aufgrund der Vielzahl von privat genutzten IT-Geräten wird auf eine zentrale Vergabe und Verwaltung der Passwörter verzichtet. Jeder Nutzer ist verpflichtet für die IT-Geräte, auf denen Vereinsinformationen und insb. personenbezogene Daten der Mitglieder verarbeitet werden, einen Zugangsschutz mit Passwort gem. der Empfehlungen Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben und Zahlen/Zeichen mit Sonderzeichen) zu gestalten. bis Passwörter sollten regelmäßig gewechselt werden. Bereits genutzte Passwörter dürfen nicht noch einmal wieder verwendet werden. einzurichten. Bei Fragen hilft ihnen der IT- Sicherheitsbeauftragte. (20) Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben und Zahlen/Zeichen mit Sonderzeichen) zu gestalten. (21) Die Passwörter sind so zu wählen, das sie nicht durch Dritte leicht zu erraten sind. Vorund Familiennamen oder Geburtstage sowie Namen von Angehörigen sind nicht zur Passwortwahl geeignet. Gleiches gilt für trivial angeordnete Zahlenkombinationen (z.b. 12345). (22) Passwörter sollten regelmäßig gewechselt werden. Bereits genutzte Passwörter dürfen nicht noch einmal wieder verwendet werden. Schutz vor Schad-Inhalten (23) Zum Schutz vor Schad-Inhalten ist auf allen IT-Geräten, auf denen Vereinsinformationen und insb. personenbezogene Daten der Mitglieder verarbeitet werden, ein Virenschutzprogramm einzusetzen. (24) Die Postfächer der vom Verein eingerichteten zentralen E-Mail-Konten werden zentral geschützt. Insbesondere eingehende E-Mail-Kommunikation wird durch diese Vorrichtung überprüft. Dabei kann es im Einzelfall auch zur Löschung von E-Mails und Dateianhängen kommen. (25) Für den Fall, dass ein Mitglied eine E-Mail mit einem unbekannten bzw. verdächtigen Dateianhang erhält, ist dieses verpflichtet sich unverzüglich an den IT- Sicherheitsbeauftragten zu wenden. Der unbekannte bzw. verdächtige Dateianhang soll erst nach Freigabe durch den Beauftragten geöffnet werden. Schutz vor unverlangter Werbung ( Spam ) (26) Zum Schutz vor unverlangter Werbung durch E-Mail werden die vom Verein eingerichteten zentralen E-Mail-Konten mit so genannten Spam-Filter versehen. Dadurch kann es dazu kommen, dass im Einzelfall E-Mails unterdrückt oder gelöscht werden. Die Mitglieder sollen Sorge dafür tragen, dass zum Beispiel beim erwünschten Erhalt von E- Mail-Newsletter die entsprechenden Absender-Adressen in ihr E-Mail-Adressbuch gespeichert werden, um fehlerhafte Klassifizierungen als Spam zu vermeiden.

Nutzung von E-Mail (27) Für die Mitglieder des Vorstands, für die Leiter der Selbsthilfegruppen und für weitere funktionale Rollen werden zentrale E-Mail-Konten im einheitlichen Format und gleichlautend der Domain der Webseite des Vereins (www.dng-ev.de) eingerichtet. (28) Soweit nicht ausdrücklich eine Zustimmung des Vereins erfolgt ist, darf die Nutzung dieser E-Mail-Adressen nur für den Verein betreffende Kommunikation genutzt werden. (29) Die Kommunikation im Sinne des Vereins über die zentral eingerichteten Mail-Konten des Vereins ist der über persönliche, private Postfächer bei anderen Anbietern vorzuziehen. (30) Alle E-Mail-Konten sind passwortgeschützt und müssen entweder online auf dem E-Mail- Server über die Webmail-Schnittstelle eingesehen oder über ein verschlüsseltes Protokoll abgerufen werden, damit die enthaltenen Informationen bei Sicherheitsproblemen Unbefugten nicht zugänglich sind. Der Versand von E-Mails erfolgt zu diesem Verfahren analog. Die nötige Software und Konfiguration ist mit dem IT- Sicherheitsbeauftragten abzustimmen. (31) Die genauen Bezeichnungen E-Mail-Adressen und Einzelheiten zum Gebrauch regelt die Geschäftsordnung nebst Anlagen. Internetpräsenz/Webseite (32) Im Impressum der Website der DNG e.v. wird der offiziell Verantwortliche benannt mit einem Verweis auf 5 des Telemediengesetzes (TMG). Generell ist dies der 1. Vorsitzende, da dieser auch als verantwortlich im Vereinsregister eingetragen ist. Der Vorstand kann über eine Delegierung der Verantwortung entscheiden. (33) Die Website der DNG e.v. wird bezüglich ihres Inhaltes und Aufbaus/Layouts durch den Vorstand und den technischen Administrator bestimmt. (34) Die Betreuung der Website obliegt den Mitgliedern des Vorstandes. Der in Im Impressum der Website der DNG e.v. wird der offiziell Verantwortliche benannt mit einem Verweis auf 5 des Telemediengesetzes (TMG). Generell ist dies der 1. Vorsitzende, da dieser auch als verantwortlich im Vereinsregister eingetragen ist. genannte Verantwortliche kann mit der Mehrheit des Vorstandstimmen weitere Personen (z.b. die Leiter der Selbsthilfegruppen, die Redaktion der Vereinszeitung, die Landesverbände) in die Betreuung der Webseite einbinden. Für diese Personen gelten die gleichen Bedingungen dieser IT-Richtlinie. (35) Auf den technischen Administrator Für die Betreuung und Beratung rund um IT- Themen kann der Vorstand einen technischen Administrator zu Rate ziehen. ist eine Vollmacht auszustellen, Änderungen an der Webseite in Absprache mit dem Vorstand durchführen zu dürfen. Ehrenamtliche Tätigkeit wird bevorzugt vor einer bezahlten Tätigkeit durch Vereins-Externe. (36) Die Bearbeitung der Website ist über persönliche, mit Passwort geschützten Accounts möglich. Der Account wird spätestens gelöscht oder deaktiviert, wenn der Vorstand dem Beauftragten die Vollmacht zur Bearbeitung entzieht. 4

Verhalten bei Sicherheitsvorfällen (37) Sollte ein Mitglied merken, dass der Schutz oder die Sicherheit von Daten in irgendeiner Weise gefährdet sein könnte, hat dieses sich unverzüglich an den IT- Sicherheitsbeauftragten und den Vorstand zu wenden. Dies gilt insbesondere dann, wenn die Gefährdung sich auf personenbezogene Daten bezieht. Verbesserung der Sicherheit (38) Diese IT-Richtinie sowie das IT-Sicherheitskonzept werden regelmäßig auf ihre Aktualität und Wirksamkeit geprüft und angepasst. Der Vorstand unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Mitglieder des Vereins sind angehalten, mögliche Verbesserungen oder Schwachstellen an den IT- Sicherheitsbeauftragten weiterzugeben. Weisungen (39) Die mitwirkenden Mitglieder sind verpflichtet, den Weisungen des IT- Sicherheitsbeauftragten Folge zu leisten. Sofern Zweifel an der Richtigkeit oder der Sinnhaftigkeit von Weisungen des IT- Sicherheitsbeauftragten bestehen, kann der Vorstand eingebunden werden.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback