Office-Typen (Vorgaben für Räumlichkeiten bei Partneranbindungen)

Ähnliche Dokumente
Zusammenarbeit mit Partnern

Zusammenarbeit mit Partnern

BMW Partner Integration Services

Gemeinsame Verwendung von ViPNet VPN und Cisco IP-Telefonie. Anhang zum ViPNet VPN Benutzerhandbuch

Installationsanleitung. zum Anschluss an Telefonanlagen (Mehrplatzversion)

ViPNet VPN 4.4. Schnellstart

Vereinbarungserklärung zur Bereitstellung von virtuellen Windows Servern

Szenarien für den Aufbau eines ViPNet VPN Netzwerks. Anhang zum ViPNet VPN Benutzerhandbuch

NFON Technische und organisatorische Maßnahmen nach 9 BDSG der NFON AG

Nur für den internen Dienstgebrauch. Freie Universität Berlin. FU Directory and Identity Service FUDIS der ZEDAT. Fragenkatalog des Sicherheits-Audit

Richtlinie zur Datenbearbeitung

ADVANTER INTEGRATION

Antrag auf Anerkennung als Prüfstelle 1 / Zertifizierung als IT- Sicherheitsdienstleister 2

Servicebeschreibung Serverhousing physischer Kundensysteme in den zentralen Serverräumen des ZIM

IT-Sicherheitsleitlinie

Software as a Service

BMW Partner Integration Services

Grundlagen Virtualisierung Workshop für IT-Entscheider / IT-Administratoren

Vorgehensweise zur Implementierung von SAP Sicherheitskonzepten

Jugendschutzkonzept Hilpoltstein Pflicht- und Kürregeln

Verwalten der Notfall- Wiederherstellung

III.2.3) Technische und berufliche Leistungsfähigkeit

Kurzanleitung -System

Webhost Flex Windows. Kurzanleitung

COI-Software-as-a-Service COI-PharmaSuite SaaS. Business W hite Paper

Produktdokumentation. ProCall Enterprise. UCServer Web Services

Mac OS X Anleitung für den Endgerätenutzer

Ein weiteres an gleicher Stelle auffindbares Formular in Open Office Vorlage deckt den gesamten Bereich der Rechtshilfe ab.

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Bericht der unabhängigen CRB-Zertifizierungsstelle (ZS CRB)

Achtung: Führen Sie die Installation nicht aus, wenn die aufgeführten Voraussetzungen nicht erfüllt sind.

A1 Einrichtungspakete

Stelle Vorgelegt am Angenommen am Abgelehnt am Bund Land Salzburg Alle übrigen Länder

Webhost Compact Linux. Kurzanleitung

REMOTE BACKUP. Skyfillers Kundenhandbuch. Einrichtung Installation... 2 Anmelden... 3 Backup-Sets Datensicherung... 7

Webhost Compact Windows. Kurzanleitung

S Y S T E M V O R A U S S E T Z U N G E N

Aufschaltung von BMA nach dem Musterverfahren des Bundeskartellamtes - Informationen für Städte/Landkreise

BASEC- Einführung. Elektronische Einreichung von Forschungsprojekten. Nathalie Schwab CTU Bern Universität Bern

Eine Information des Ingenieurbüro Körner zur Baustellenverordnung

Fact Sheet 2 Personalkosten

Stand Seite 1 von Vertragsdauer. Anlage 2. Auftragsdatenverarbeitungsvereinbarung. 11 Sonstiges. Vereinbarung.

Kunden-Nr.: Kd-Nr. eintragen. Vertrags-Nr.: Vertrags-Nr. eintragen

ST!= HACKING oder Softwaretechnik ist mehr als nur Programmieren

HowTo: VPN mit PPTP und dem Windows VPN-Client Version 2007nx Release 3

Hinweise zu Lexware Updates

Application Sheet DHCP - Server

Produktspezifische Leistungsbeschreibung Connect Acceleration

Einführung in MindManager Server

Leistungsbeschreibung Infinigate Direct Support

Bearbeitungsreglement: KLuG Krankenversicherung

Schnellstart-Anleitung - Deutsch. ServerView Schnellstart-Anleitung

Gängige Szenarien der Administration von ViPNet VPN. Anhang zum Benutzerhandbuch

App Installationscheckliste Orchestration 2.6 für App Orchestration

Verpflichtende Energieaudits nach dem novellierten Energiedienstleistungsgesetz (EDL-G)

Hinweise zu Lexware Updates

Führungsgrundsätze der Real I.S.

Orientierungshilfe für den öffentlichen Bereich - Fernwartung

Systemvoraussetzungen für

Vertrag über freie Mitarbeit / Honorarvertrag

Checkliste für Gewinnspiele bei Facebook

App Orchestration 2.5

Auftrag gemäß 11 BDSG. Vereinbarung. zwischen dem / der. - nachstehend Auftraggeber genannt - und der. CYREN GmbH. - nachstehend CYREN genannt -

Microsoft Enterprise Mobility + Security

Aufbau und Funktion eines VPN- Netzwerkes

The Cable Guy: Dynamische DNS-Aktualisierung in Windows 2000

Fernwartung mit IPX/S Geräten Konfiguration mit Fritz!Box 7270

Manuelle Deinstallation von.net Framework 2.0 und anschließende Neuinstallation

Systemvoraussetzungen zu. Release

Klausur Advanced Programming Techniques

Leistungsbeschreibung für A1 Cloud Collaboration Service

DOKUMENTATION INSTALLATION, UPDATE DEINSTALLATION UND

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Verfahrensbeschreibung und Handlungsleitfaden für den Probe-/Echtbetrieb zum Stichprobenverfahren

Webhost Flex Linux. Kurzanleitung

Anlage 3 zum Lieferantenrahmenvertrag Vereinbarung über elektronischen Datenaustausch

Factsheet TOMAS -Schnittstelle

Service Level Agreement (SLA) für OS4X Suite der c-works GmbH

E-Book-Fernleihe. Hintergrund

Verbindungsinitialisierung, Trennen und Schließen einer Verbindung

Sie haben sich über die Betreuung Ihres Kindes bei einer Tagespflegeperson und die Möglichkeit einer Bezuschussung informiert.

Barmenia Versicherungen

OpenTouch Conversation Web

Elektronischer Spielbericht (ESB)

Sommerprüfung Ausbildungsberuf Fachinformatiker/in Systemintegration. Prüfungsbezirk Ludwigshafen. Herr Daniel Heumann. Identnummer: 40966

Prozess der Weiterentwicklung eines Studiengangs

Stand: Februar IT-Sicherheitsrichtlinie Externe Dienstleister

SERENA SCHULUNGEN 2015

ViPNet VPN 4.4. Benutzerhandbuch

Prozessmanagement im HR-Bereich. Insight 2012 Seite 1

Anlage 1 Leistungsbeschreibung zum Beratungsvertrag SEPA Umstellung GES ERP

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Rahmenordnung für Promotionen an der Julius-Maximilians-Universität Würzburg. Zweck der Rahmenordnung

Good Bye ISDN... Osnabrück,

1 Name, Sitz. SATZUNG der Bürger-Energiegenossenschaft Hersfeld eg. 2 Zweck und Gegenstand. Inhalt

Steuern von SMTP-Relaying mit Microsoft Exchange

Spezifikation Spezifikation Sicherheitsklassen im Portalverbund-System

Code of Conduct VAS/WAP Billing Dienste

Anforderungen an Qualitätsmanagement gemäß DIN EN ISO 9001:2008. Aufbau der Norm und Beratungspreise

Transkript:

Regelwerk der Infrmatinssicherheit Infrmatinssicherheitsregel Office-Typen (Vrgaben für Räumlichkeiten bei Partneranbindungen) Versin 4.0 Stand: 02.07.2010 Status: freigegeben Gültig ab: 12.07.2010 Ansprechpartner: Abgestimmt mit: W. Vgl, PA-15, R. Schauflinger, FZ-13 Hr. Prbst, FZ Hr. Weißhaar, PA-1 IT-BMK Netzwerk des Infrmatinsschutzes (DIS) Netzwerk der IT-Sicherheit (ITSBs) Seite 1 vn 14

1 GEGENSTAND UND GELTUNGSBEREICH 3 2 ÜBERBLICK ÜBER DIE OFFICE-TYPEN 4 3 ANFORDERUNGEN AN EIN PROJEKTBÜRO 5 4 ANFORDERUNGEN AN EIN SATELLITENBÜRO 8 5 ANFORDERUNGEN AN EIN SECURE-OFFICE 11 6 ANHANG 13 Seite 2 vn 14

1 Gegenstand und Geltungsbereich In dieser Infrmatinssicherheitsregel werden Vrgaben für Räumlichkeiten in der Zusammenarbeit vn BMW mit Partnerunternehmen beschrieben, die außerhalb des BMW Werksgeländes liegen und Anbindungen an das BMW Knzernnetz erfrdern. In welchen Fällen diese Anfrderungen erfüllt werden müssen, ist den Anweisungen zur Infrmatinssicherheit zu entnehmen. Die Regel gilt für die BMW AG und ihre verbundenen Unternehmen ( BMW Grup ). Rechtliche Einheiten der BMW Grup sind verpflichtet, diese Regel zu übernehmen und anzuwenden, sweit nicht gesetzliche Vrschriften dem entgegenstehen. Falls abweichende lkale Regelungen erfrderlich sind, sind diese mit den zuständigen Stellen der Infrmatinssicherheit abzustimmen. Seite 3 vn 14

2 Überblick über die Office-Typen Es wird zwischen flgenden Office-Typen unterschieden: - Prjektbür Ein Prjektbür bezeichnet ein Bür, das sich nicht auf BMW Gelände befindet und in dem ausschließlich Mitarbeiter eines Partnerunternehmens im Rahmen eines BMW Prjektes bzw. im Rahmen vn längerfristigen Betriebsder Wartungsaufgaben 1 arbeiten. Ein Prjektbür ist dann einzurichten, wenn die Kriterien für die Ntwendigkeit eines Prjektbürs gemäß den Anweisungen zur Infrmatinssicherheit erfüllt sind. - Satellitenbür Ein Satellitenbür bezeichnet ein Bür, das sich nicht auf BMW Gelände befindet und in dem swhl Mitarbeiter eines Partnerunternehmens als auch BMW Mitarbeiter im Rahmen vn Kperatinsprjekten arbeiten. Ein Satellitenbür ist dann einzurichten, wenn die Kriterien für die Ntwendigkeit eines Satellitenbürs gemäß den Anweisungen zur Infrmatinssicherheit erfüllt sind. - Secure-Office Ein Secure Office bezeichnet ein Bür, das sich nicht auf BMW Gelände befindet und zu dem ausschließlich BMW Mitarbeiter Zutrittserlaubnis haben. Ein Secure Office ist dann einzurichten, wenn eine transparente Anbindung an das BMW Knzernnetz benötigt wird. Die Anfrderungen zu den genannten Office-Typen sind in den nachflgenden Kapiteln im Detail beschrieben. 1 In den nachflgenden Kapiteln werden unter Prjekt auch diese längerfristigen Betriebs- der Wartungsaufgaben verstanden. Seite 4 vn 14

3 Anfrderungen an ein Prjektbür 3.1 Grundsätze - Die Anweisungen zur Infrmatinssicherheit sind einzuhalten. - Alle Prjekt-Mitarbeiter sind persönlich zur Geheimhaltung zu verpflichten. - In Prjekten, in denen umfangreiche Zugriffe auf Infrmatinen mit besnderem Schutzbedarf existieren (Geheime Prjekte, Innvatinen, Design-bzw. Knstruktinsdaten in der Knzeptphase der in der frühen Serienentwicklungsphase) wird eine Zertifizierung nach ISO/IEC 27001 vm Partner gefrdert. In allen anderen Fällen ist vm Partnerunternehmen auf Verlangen vn BMW das Ergebnis einer Selbstauditierung gemäß ISO/IEC 27001 vrzulegen. 3.2 Bautechnische Infrastruktur - Es ist ein eigener Raum mit ausreichendem Sicht-und Mithörschutz vrzusehen. - Die Hheit des Prjektraums liegt beim Partner (Hausrecht). - Das Zutrittskntrllsystem muss vm Partner installiert werden und mindestens eine Schlüssellösung umfassen (eigene Schließung, d.h. exklusiver Schlüssel für Prjektbür). - Der Partner-Gebäudebereich (in dem sich das Prjektbür befindet) muss mit einem Alarmsystem gesichert sein (Alarmverflgung). Hinweis: Ein Prjektbür muss nicht BMW-prjektspezifisch unterteilt werden ein Bür für alle BMW-Prjekte genügt. 3.3 Organisatrischer Schutz - Die Verantwrtlichkeiten sind zu regeln (Zutrittsschutz, allgemeines Infrmatinsschutzverhalten). - Die Zutrittsberechtigung wird durch den Partner erteilt, gepflegt und kntrlliert. - Auf Rechnern des Partners darf ein BMW-Mitarbeiter (z.b. bei Besuch) seine persönlichen BMW-Authentisierungsdaten nicht benutzen. Gleiches gilt auch für externe Mitarbeiter, die im Auftrag vn BMW tätig sind, sfern sie Rechte innehaben, die über das Prjekt hinausgehen. - Der Einsatz vn mbilen Speichermedien (auch Ntebk) ist vm Prjektleiter vr Ort genehmigen zu lassen. - Fax und Drucker müssen innerhalb des Bürs und ausschließlich für BMW- Prjekte zur Verfügung stehen (Alternative: Ausdrucke sind nur mittels Ausweisleser am Drucker möglich). 3.4 Lkales Netzwerk (LAN) - Es muss ein dediziertes Subnetz für das Prjektbür definiert werden. - Das Subnetz des Prjektbürs muss zwingend physikalisch der lgisch vm lkalen Netzwerk des Partners getrennt sein. Seite 5 vn 14

- Für das Subnetz sind entweder ffizielle IP-Adressen vm Partner zur Verfügung zu stellen der vn BMW vergebene private IP-Adressen zu verwenden. - Eine IP-Adressumsetzung (NAT) am Übergang zum Prjektbür darf nicht erflgen. - Die aktiven Netzwerkkmpnenten sind in einem abschließbaren EDV- Schrank aufzustellen Zugang ist nur für die Systemverantwrtlichen erlaubt. Hinweis: Wird eine lgische Trennung gewählt, muss eine Netzwerkabsicherung des Prjektbürs gegenüber dem lkalen Netzwerk des Partners vrhanden sein, z. B. durch eine Firewall. 3.5 Anbindung an das BMW Knzernnetz (Zuliefereranbindung; WAN) - Den externen Partnern steht nur ein selektiver Zugriff zu den BMW Systemen im Knzernnetz zur Verfügung. Zugriffe auf schützenswerte BMW Systeme müssen explizit freigegeben werden. - Sfern der WAN-Übergabepunkt nicht im Prjektbür liegt, muss die Kmmunikatin über das Partnernetzwerk verschlüsselt erflgen. 3.6 Anbindung an andere Netze - Der Zugriff vm Partnernetz der einem Netz außerhalb des Partnernetzes in das Prjektbür ist grundsätzlich verbten. Einzige Ausnahme ist die Remte Administratin der IT-Infrastruktur des Partners im Prjektbür und der Anschluss vn Telearbeitsplätzen für Partnermitarbeiter. Die Rahmenbedingungen hierzu müssen eingehalten werden, siehe Kapitel 6. - Der Netzwerkübergang zum Prjektbür ist zu dkumentieren und BMW auf Verlangen vrzulegen. - Die Anbindung eines Prjektbürs an ein anderes BMW Prjektbür ist zulässig, sfern die jeweils benötigten BMW Freischaltungen gleich sind. 3.7 Sftware und Applikatinen - Auf den Endgeräten (Desktp, Laptp, ) im Prjektbür darf nur die für den Prjektumfang ntwendige Sftware installiert sein. Ein BMW Grup Client (Standardinstallatin für interne BMW Clients) ist nicht erlaubt. - Sfern auch Applikatinen und Systeme des Partners genutzt werden, muss ein angemessener Schutz der BMW-relevanten Daten in diesen Applikatinen und Systemen sichergestellt sein (u. a. Datensegmentierung mindestens auf Ebene der beteiligten Partnerfirmen, sichere Authentisierung, Rechte und Rllen, gesicherte Datenhaltung und übertragung). 3.8 Hardware - Externen Partnern wird empfhlen, die Hardware nach dem BMW Blueprint Standard auszuwählen. 3.9 Systemadministratin - Die IT-Infrastruktur (Endgeräte, Server, Netzwerkkmpnenten) des Partners ist vm Partner zu betreuen. Seite 6 vn 14

- Es muss gewährleistet sein, dass ein aktueller Virenschutz installiert ist und sichere Betriebssystem-Release-Stände eingespielt sind. 3.10 Security-Audits Die Partnerfirma muss BMW ermöglichen, die Einhaltung der BMW Vrgaben vr Ort zu überprüfen. Seite 7 vn 14

4 Anfrderungen an ein Satellitenbür 4.1 Grundsätze - Die Anweisungen zur Infrmatinssicherheit sind einzuhalten. - Alle Prjekt-Mitarbeiter sind persönlich zur Geheimhaltung zu verpflichten. - In Prjekten, in denen umfangreiche Zugriffe auf Infrmatinen mit besnderem Schutzbedarf existieren (Geheime Prjekte, Innvatinen, Design-bzw. Knstruktinsdaten in der Knzeptphase der in der frühen Serienentwicklungsphase) wird eine Zertifizierung nach ISO/IEC 27001 vm Partner gefrdert. Beispiel: Kperatinsprjekte. In allen anderen Fällen ist vm Partnerunternehmen auf Verlangen vn BMW das Ergebnis einer Selbstauditierung gemäß ISO/IEC 27001 vrzulegen. 4.2 Bautechnische Infrastruktur - Es ist ein eigener Raum mit ausreichendem Sicht-und Mithörschutz vrzusehen. - Sfern BMW die Hheit über das Satellitenbür hat, ist das BMW-Standard- Zutrittskntrllsystem (Ausweisleser) zwingend. Falls der Partner die Hheit hat, muss er ein Zutrittskntrllsystem installieren, das vergleichbar mit dem BMW-Standard ist. - Das Bür muss alarmgesichert sein (entweder durch direkte Alarmsicherung des Bürs der durch Alarmsicherung der Partnerlkatin). 4.3 Organisatrischer Schutz - Die Verantwrtlichkeiten sind zu regeln (Zutrittsschutz, allgemeines Infrmatinsschutz-Verhalten). - Die Hheit für das Bür kann bei BMW der beim Partnerunternehmen liegen. - Sfern BMW im Satellitenbür die Hheit hat, wird die Zutrittsberechtigung durch die BMW Fachabteilung erteilt, gepflegt und kntrlliert. Sfern der Partner die Hheit hat, muss BMW zumindest eine Kntrllmöglichkeit (z.b. Begehung mit Überprüfung vr Ort) eingeräumt werden. - Auf Rechnern des Partners darf ein BMW-Mitarbeiter seine persönlichen BMW-Zugangsdaten (UserID/Passwrt) nicht benutzen. Gleiches gilt auch für externe Mitarbeiter, die im Auftrag vn BMW tätig sind, sfern sie Rechte innehaben, die über das Kperatinsprjekt hinausgehen. - Das sichtbare Tragen des Firmenausweises ist bligatrisch. - Der Einsatz vn mbilen Speichermedien (auch Ntebk) ist vm Prjektleiter vr Ort genehmigen zu lassen. - Fax und Drucker müssen innerhalb des Bürs stehen. Drucker dürfen vm BMW Knzernnetz aus nicht ansprechbar sein, sfern kein weiterer Schutz aktiviert ist (Alternative: Ausdrucke sind nur mittels Ausweisleser am Drucker möglich). 4.4 Lkales Netzwerk (LAN) - Es muss ein dediziertes Subnetz für das Satellitenbür definiert werden. - Das Subnetz des Satellitenbürs muss zwingend physikalisch der lgisch vm lkalen Netzwerk des Partners getrennt sein. Seite 8 vn 14

- Für das Subnetz sind entweder ffizielle IP-Adressen vm Partner zur Verfügung zu stellen der vn BMW vergebene private IP-Adressen zu verwenden. - Eine IP-Adressübersetzung (NAT) am Übergang zum Satellitenbür darf nicht erflgen. - Die aktiven Netzwerkkmpnenten sind in einem abschließbaren EDV- Schrank aufzustellen Zugang ist nur für die Systemverantwrtlichen erlaubt. Hinweis: - Wird eine lgische Trennung gewählt, muss eine Netzwerkabsicherung des Satellitenbürs gegenüber dem lkalen Netzwerk des Partners vrhanden sein, z. B. durch eine Firewall. 4.5 Anbindung an das BMW Knzernnetz (Zuliefereranbindung; WAN) - Den BMW Mitarbeitern muss ein transparenter Zugriff auf das BMW Knzernnetz (z.b. mittels VPN) ermöglicht werden. - Den externen Partnern steht nur ein selektiver Zugriff zu den BMW Systemen im BMW Knzernnetz zur Verfügung. - Sfern der WAN-Übergabepunkt nicht im Satellitenbür liegt, muss die Kmmunikatin über das Partnernetzwerk verschlüsselt erflgen. 4.6 Anbindung an andere Netze - Der Zugriff vm Partnernetz der einem Netz außerhalb des Partnernetzes in das Satellitenbür ist grundsätzlich verbten. Einzige Ausnahme ist die Remte Administratin der IT-Infrastruktur des Partners im Satellitenbür und der Anschluss vn Telearbeitsplätzen für Partnermitarbeiter. Die Rahmenbedingungen hierzu müssen eingehalten werden, siehe Kapitel 6. - Der Netzwerkübergang zum Satellitenbür ist zu dkumentieren und auf Verlangen BMW vrzulegen. - Die Anbindung eines Satellitenbürs an ein anderes Satellitenbür ist zulässig, sfern die jeweils benötigten BMW Freischaltungen gleich sind und insbesndere die physikalische bzw. lgische Trennung vm lkalen Netzwerk des Partners sicher gestellt ist. 4.7 Sftware und Applikatinen - Der Zugriff auf das BMW Knzernnetz bzw. auf BMW Applikatinen darf nur mittels freigegebener Sftware (Blueprint) vn BMW erflgen. - Sfern auch Applikatinen und Systeme des Partners genutzt werden, muss in diesen Applikatinen und Systemen ein angemessener Schutz der BMWrelevanten Daten sichergestellt sein (u. a. Datensegmentierung mindestens auf Ebene der beteiligten Partnerfirmen, sichere Authentisierung, Rechte und Rllen, gesicherte Datenhaltung und übertragung). 4.8 Hardware Externen Partnern wird empfhlen, die Hardware nach dem BMW Blueprint Standard auszuwählen. Seite 9 vn 14

4.9 Systemadministratin - Die BMW IT-Infrastruktur (Endgeräte, Server, Netzwerkkmpnenten) ist vn BMW zu betreuen. - Die Partner IT-Infrastruktur muss vm Partner betreut werden. - Es muss gewährleistet sein, dass ein aktueller Virenschutz installiert ist und sichere Betriebssystem-Release-Stände eingespielt sind. - Wird eine Firewall zwischen dem lkalen Netzwerk des Partners und dem Subnetz des Satellitenbürs eingesetzt, s muss die Knfiguratin und Administratin der Firewall entweder durch BMW erflgen der vertraglich geregelt werden. 4.10 Security-Audits Sfern die Verantwrtung für das Satellitenbür bei der Partnerfirma liegt, muss die Partnerfirma BMW ermöglichen, die Einhaltung der BMW Vrgaben vr Ort zu überprüfen. Seite 10 vn 14

5 Anfrderungen an ein Secure-Office 5.1 Grundsätze - Die Anweisungen zur Infrmatinssicherheit sind einzuhalten. 5.2 Bautechnische Infrastruktur - Es ist ein eigener Raum mit ausreichendem Sicht-und Mithörschutz vrzusehen. - Die Hheit über das Secure-Office muss auf BMW übertragen werden (z.b. Schlüsselübergabe, Versiegelung vn Türen, etc.). - Das BMW-Standard-Zutrittskntrllsystem ist zwingend (Ausweisleser der Schlüssellösung, falls die Anzahl der Zutrittsberechtigungen sehr gering ist). - Das Bür muss alarmgesichert und mit einer Alarmverflgung ausgestattet sein. 5.3 Organisatrischer Schutz - Die Verantwrtlichkeiten sind zu regeln (Zutrittsschutz, allgemeines Infrmatinsschutz-Verhalten). - Die Zutrittsberechtigung wird durch die BMW Fachabteilung erteilt, gepflegt und kntrlliert. - Das sichtbare Tragen des Firmenausweises ist bligatrisch. - Fax und Drucker müssen innerhalb des Bürs stehen. 5.4 Lkales Netzwerk (LAN) - Es muss ein dediziertes Subnetz für das Secure-Office definiert werden. - Das Subnetz muss zwingend physikalisch der lgisch vm lkalen Netzwerk des Partners getrennt sein. Für die lgische Trennung ist eine Netzwerkabsicherung (z.b. durch eine Firewall) zwingend. - Die IP-Adressen für das Subnetz sind vn BMW zur Verfügung zu stellen. - Alle aktiven Netzwerkkmpnenten müssen in einem abschließbaren EDV- Schrank innerhalb des Secure-Office stehen. 5.5 Anbindung an das BMW Knzernnetz (Zuliefereranbindung; WAN) - Der Zugriff aus dem Secure-Office in das BMW Knzernnetz ist s zu knfigurieren, dass er transparent ist. - Der WAN-Übergabepunkt muss entweder im Secure-Office liegen der es muss eine verschlüsselte Verbindung in das Secure-Office gewährleistet sein. 5.6 Sftware - Nur vn BMW durch das Blueprint-Verfahren zugelassene Sftware ist erlaubt. - Nur der BMW Grup Client ist erlaubt. 5.7 Hardware Der BMW-Standard ist bligatrisch. Seite 11 vn 14

5.8 Systemadministratin Die IT-Infrastruktur (Endgeräte, Server, Netzwerkkmpnenten) wird vn BMW betreut. 5.9 Security-Audits Die Auditierung der krrekten Umsetzung dieser Vrgaben liegt in der Verantwrtung der BMW Fachbereiche. Die Stellen der Sicherheit (Infrmatinsschutz, IT-Sicherheit) sind berechtigt, die Unterlagen einzusehen und die Maßnahmen zu überprüfen. Seite 12 vn 14

6 Anhang 6.1 Definitin der Benutzergruppen - BMW Mitarbeiter Zutritt zu allen vrgesehenen Bürflächen. Zugriff auf alle für seine Tätigkeiten benötigten prjektrelevanten Daten im Rahmen seines Arbeitsvertrags. Transparenter Zugriff auf das BMW Knzernnetz. - Externer Mitarbeiter / Fremdkraft Keine Zutrittsberechtigung zum BMW Secure-Office (Zutritt in Begleitung eines BMW Mitarbeiters ist aber möglich). Zugriff auf alle für seine Tätigkeiten benötigten prjektrelevanten Daten. 6.2 Rahmenbedingungen zur Remte Administratin der IT-Infrastruktur des Partners in Prjekt- der Satellitenbürs durch den Partner 6.2.1 Organisatrische Ebene - Der Zugang zur IT-Infrastruktur ist dediziert zu regeln. - Der autrisierte Remte Administratr muss eine Geheimhaltungsverpflichtung unterschreiben. - Es muss sichergestellt sein, dass nur die namentlich festgelegten Administratren auf die IT-Systeme zugreifen können. Die Namen der Systemadministratren müssen BMW auf Verlangen ffen gelegt werden. 6.2.2 Systemebene - Remte-Zugang zum Prjektbür ist nur temprär, überwacht und ausschließlich für Wartungs-und Administratinsarbeiten zulässig. - Für die Remte Administratin ist starke Authentisierung erfrderlich (besteht aus Wissen und Besitz, z.b. UserID/Passwrt und SecurID). - Die Remte Administratin muss mitprtklliert werden und das Prtkll auf Verlangen BMW zur Verfügung gestellt werden. 6.2.3 Netzwerkebene - Während der Administratin darf die Administratinsknsle nur mit dem Netzwerk des Prjekt- der Satellitenbürs verbunden sein. Eine verschlüsselte Verbindung zwischen der Administratinsknsle und dem Prjektbür ist ntwendig. Seite 13 vn 14

6.3 Snderregelung zur Anbindung vn Telearbeitsplätzen 6.3.1 Organisatrische Ebene Es muss sichergestellt werden, dass vn einem Telearbeitsplatz aus ausschließlich als Prjektmitarbeiter ausgewiesene Mitarbeiter des Partnerunternehmens, die überwiegend im Prjekt- der Satellitenbür arbeiten, auf das Prjekt- der Satellitenbür zugreifen können. 6.3.2 Netzwerk-/Systemebene - Sfern die Telearbeitsverbindung nicht direkt im Prjekt- der Satellitenbür terminiert, muss sichergestellt werden, dass die Kmmunikatin über das Partnernetzwerk verschlüsselt erflgt. - Der Zugriff vn Telearbeitsplätzen auf das Prjekt- der Satellitenbür muss durch eine starke Authentisierungslösung (besteht aus Wissen und Besitz, z.b. UserID/Passwrt und SecurID) abgesichert sein. - Die Lösung für Telearbeitsplätze des Partnerunternehmens muss bzgl. Sicherheit mit einer BMW Lösung vergleichbar sein (z.b. Vrhandensein einer Persnal Firewall, Nutzung sicherer Verschlüsselungsalgrithmen, Schutz vr s genanntem Split Tunneling). Seite 14 vn 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback