Sicherheitsrichtlinie zur IT-Nutzung



Ähnliche Dokumente
Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie zur IT-Nutzung. Datenschutzrichtlinien has.to.be gmbh

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Sicherheitshinweise für IT-Benutzer. - Beispiel -

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Sicherheitsrichtlinie für die Internet- und -Nutzung

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Microsoft Office 365 Kalenderfreigabe

Checkliste zum Datenschutz in Kirchengemeinden

BSI Technische Richtlinie

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Satzung über den Anschluss der Grundstücke an die öffentliche Wasserversorgungsanlage und deren Benutzung in der Stadt Freiburg i. Br.

Informationssicherheit als Outsourcing Kandidat

GPP Projekte gemeinsam zum Erfolg führen

Vernichtung von Datenträgern mit personenbezogenen Daten

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

lññáåé=iáåé===pìééçêíáåñçêã~íáçå=

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Der Schutz von Patientendaten

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Weiterleitung einrichten für eine GMX- -Adresse

Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten

Bedienungsanleitung BITel WebMail

BSI Technische Richtlinie

Installationsanleitung CLX.PayMaker Home

Nutzung dieser Internetseite

SharePoint Demonstration

Installationsanleitung CLX.PayMaker Office

Anleitung WLAN BBZ Schüler

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

PC-Schulungen für f r Leute ab 40!

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Online Data Protection

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Blacktip-Software GmbH. FVS. Fahrschul-Verwaltungs-System. Umstieg von V3 auf V4

Internet/ Was darf der Arbeitnehmer, was darf der Arbeitgeber?

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

Übung - Datensicherung und Wiederherstellung in Windows 7

Verordnung. über den Einsatz von Informationstechnologie (IT) in der Evangelisch-Lutherischen Landeskirche Sachsens (IT-VO)

Rechtssichere -Archivierung

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitsaspekte der kommunalen Arbeit

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Registrierung am Elterninformationssysytem: ClaXss Infoline

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Dok.-Nr.: Seite 1 von 6

Schützen Sie sich vor Datenkriminalität mit der sicheren .

Benutzerverwaltung Business- & Company-Paket

Microsoft Office 365 Benutzerkonten anlegen

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Schutz vor und für Administratoren

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

HISPRO ein Service-Angebot von HIS

Kreissparkasse Heinsberg. versenden - aber sicher! Sichere . Anwendungsleitfaden für Kunden

Stellvertretenden Genehmiger verwalten. Tipps & Tricks

Urlaubsregel in David

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Die Umsetzung von IT-Sicherheit in KMU

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Netzwerkeinstellungen unter Mac OS X

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Installationsanleitung CLX.NetBanking

Internet- und -Überwachung in Unternehmen und Organisationen

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Das digitale Klassenund Notizbuch

Weiterleitung einrichten für eine 1&1- -Adresse

Schnelleinstieg WebMail Interface

SAP GUI 7.30 Installation und Einrichtung: Mac OSX

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Konto einrichten in 10 Minuten! Nach der Registrierung helfen Ihnen folgende 4 Schritte, absence.io schnell und einfach einzuführen.

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Transkript:

Sicherheitsrichtlinie zur IT-Nutzung - Beispiel - Stand: Juni 2004 1/7

INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 UMGANG MIT INFORMATIONEN... 3 4 RECHTSVORSCHRIFTEN... 3 5 ORGANISATION... 3 5.1 STELLEN... 3 5.2 SCHULUNG UND SENSIBILISIERUNG... 3 5.3 VERTRETUNGSREGELN... 4 6 VERWALTUNG UND NUTZUNG VON IT-DIENSTEN... 4 6.1 BESCHAFFUNG... 4 6.2 EINSATZ... 4 6.3 WARTUNG... 5 6.4 REVISION... 5 6.5 WEITERGABEREGELUNGEN... 5 6.6 ENTSORGUNG... 5 7 SICHERHEITSMAßNAHMEN... 5 7.1 ALLGEMEINES... 5 7.2 ZUTRITTS- UND ZUGANGSREGELUNGEN... 6 7.3 VERSCHLÜSSELUNG... 6 7.4 SCHADSOFTWARE... 6 7.5 DATENSICHERUNG/ ARCHIVIERUNG... 7 7.6 NOTFALLVORSORGE... 7 8 REGELUNGEN FÜR SPEZIFISCHE IT-DIENSTE... 7 8.1 KOMMUNIKATIONSSPEZIFISCHE REGELUNGEN... 7 8.2 FERNZUGRIFF AUF DAS INTERNE NETZ... 7 1 Einleitung In der Sicherheitsleitlinie wird die Bedeutung von IT-Sicherheit für unsere Institution dargelegt und die grundsätzliche IT-Sicherheitsstrategie beschrieben. Die "Sicherheitsrichtlinie zur IT-Nutzung" leitet aus den Vorgaben der Sicherheitsleitlinie konkrete organisatorische und technische Anforderungen, die unabhängig von konkreten Produkten für alle Projekte und Prozesse gelten, ab. Diese Anforderungen sind die Grundlage für IT- Sicherheitsmaßnahmen und legen das angestrebte Sicherheitsniveau fest. Diese Sicherheitsrichtlinie basiert auf dem IT-Grundschutzhandbuch des BSI. In der rechten Spalte befinden sich Verweise zu Hintergrundinformationen und zu Maßnahmenvorschlägen innerhalb des IT-Grundschutzhandbuchs. M x.xx Hinweis: Bemerkungen und Hinweise, an welchen Stellen sich eine individuelle Anpassung oder Ergänzung der Musterrichtlinie besonders empfiehlt, sowie Kommentare sind gelb hinterlegt. 2 Geltungsbereich Diese Richtlinie gilt verbindlich für alle Mitarbeiter ohne Ausnahme für die Nutzung dienstlicher IT. Verstöße gegen die Inhalte der Richtlinie können 2/7

zu arbeitsrechtlichen Konsequenzen führen. Auch beim Abschluss von Verträgen mit externen Dienstleistern ist darauf zu achten, dass die Vorgaben dieser Richtlinie beachtet werden. Für Anforderungen an Outsourcing-Verträge ist eine entsprechenden Sicherheitsrichtlinie (siehe Musterdokument vom BSI) zu verfassen. Für die Pflege und Weiterentwicklung der Richtlinie ist der IT- Sicherheitsbeauftragte zuständig. 3 Umgang mit Informationen Für Geschäftsprozesse, Informationen, Anwendungen und IT-Systeme werden Verantwortliche ( Eigentümer ) festgelegt. Alle Informationen müssen anhand ihres Schutzbedarfs klassifiziert werden. Die Schutzbedarfskategorien werden vom IT-Sicherheitsbeauftragten zusammen mit den Abteilungsleitern definiert und von der Leitung verabschiedet. Ziel ist es, Informationen entsprechend ihres Schutzbedarfs zu verarbeiten. Nur wenn IT-Benutzer und Verantwortliche wissen, welche Informationen besonders schutzbedürftig sind, können sie diese auch angemessen schützen. Aus dem Schutzbedarf der Informationen leitet sich letztendlich der Schutzbedarf der IT-Systeme ab, auf denen die Informationen verarbeitet werden. Die Verantwortlichen legen fest, wer unter welchen Bedingungen auf Informationen zugreifen bzw. Anwendungen und IT-Systeme nutzen darf. 4 Rechtsvorschriften Beim Einsatz der IT sind einschlägige Gesetze, Vorschriften und (interne) Regelungen einzuhalten. Beispiele: Datenschutz, Urhebergesetze, Arbeitnehmervertretungsregelungen, Brandschutzvorschriften, Organisationsanweisungen oder Verträge mit Kunden. 5 Organisation 5.1 Stellen Die organisationsweiten IT-Dienste sind durch die bestellten Administratoren zu administrieren und zu warten. Der IT-Sicherheitsbeauftragte ist zur Erreichung der IT-Sicherheitsziele in alle IT-Projekte frühzeitig einzubeziehen. Wenn Projektziele den Sicherheitsanforderungen entgegenstehen, obliegt der Leitung die Entscheidung, welche Anforderungen eine höhere Priorität haben. Um Sicherheitslücken zu schließen, haben sich der IT- Sicherheitsbeauftragte und die Administratoren regelmäßig zu informieren. Der IT-Sicherheitsbeauftragte und die Administratoren unterstützen und beraten die IT-Benutzer. Neue Mitarbeiter und Mitarbeiter, die in eine vertrauensvollere Position wechseln, sind auf ihre Vertrauenswürdigkeit und Qualifikation zu überprüfen. 5.2 Schulung und Sensibilisierung IT-Benutzer und Administratoren sind vor der erstmaligen Nutzung der jeweiligen IT-Dienste zu schulen. Schulungsinhalte sind: Handhabung der jeweilig verwendeten IT-Dienste 3/7 M 2.225 M 2.217 M 2.40, M 3.2 M 2.193 M 2.35 M 2.12 M 3.33 M 3.11 M 3.26 M 2.12, M 3.4

Inhalte der Sicherheitsleitlinie und der Sicherheitsrichtlinien zu verschiedenen Themen (Notfallvorsorge, Datensicherung etc.) sowie die umzusetzenden Sicherheitsmaßnahmen Sensibilisierungsmaßnahmen ( Warum ist IT-Sicherheit so wichtig für mich und meinen Arbeitgeber? ) rechtliche Rahmenbedingungen Wesentliche Inhalte des IT-Sicherheitskonzeptes und Verhaltensregeln sind für IT-Benutzer und Administratoren zielgruppengerecht in entsprechenden Sicherheitsrichtlinien zusammenzufassen. 5.3 Vertretungsregeln Für den Fall der Abwesenheit (Dienstreise, Urlaub, Krankheit) sind Vertreter zu benennen, die vom Stelleninhaber einzuweisen und zu informieren sind. 6 Verwaltung und Nutzung von IT-Diensten Hinweis: Besonders dieses Kapitel ist an individuelle Prozesse und Organisationsstrukturen anzupassen. 6.1 Beschaffung Für die Beschaffung von Soft- und Hardware ist als Grundlage ein Anforderungsprofil zu erstellen, das neben fachlichen und technischen Ausstattungsmerkmalen sowie ergonomischen Aspekten auch Anforderungen an die IT-Sicherheit beschreibt. Nach Möglichkeit sollten Arbeitsplätze standardisiert ausgestattet werden, um Verwaltung und Administration zu erleichtern. Es ist zu beachten, dass die Integration in die vorhandene oder geplante, informationstechnische Infrastruktur gewährleistet ist. Es sind die für den jeweiligen Bereich geltenden Normen (ISO, DIN) zu berücksichtigen. Es sind im Rahmen der Kommunikation und Archivierung bevorzugt Programme zu beschaffen, die eine Verschlüsselung ermöglichen. 6.2 Einsatz Vor dem Einsatz ist neue Soft- und Hardware zu testen. Dabei sollten nach Möglichkeit Testsystem und Produktivbetrieb getrennt werden. Es sind Test- und Freigabeverfahren innerhalb der IT-Abteilung und zwischen der IT-Abteilung und den Fachbereichen abzusprechen zu beachten. Nicht freigegebene Hard- und Software ist nicht einzusetzen. Softwareänderungen machen eine erneute Freigabe erforderlich. Die IT-Dienste sind nur für die festgelegten Aufgaben zu nutzen. Die Nutzung für private Zwecke ist nicht zulässig. Der Anschluss privater Hardware an dienstliche IT-Systeme und die Nutzung privater Software zu dienstlichen Zwecken ist nur mit Genehmigung durch den IT- Sicherheitsbeauftragten zulässig. Die Nutzung aller nicht ausdrücklich erlaubten Dienste ist technisch zu unterdrücken. Dienste und Berechtigungen, die nicht oder nicht mehr benötigt werden, sind durch den Administrator zu deaktivieren. Soft- und Hardware sind durch die Administratoren möglichst so zu konfigurieren, dass ohne weiteres Zutun der IT-Benutzer optimale Sicherheit erreicht werden kann. Default-Einstellungen sind zu überprüfen und Default-Passwörter zu ändern. Es sind angemessene Sicherheitsprodukte einzusetzen. 4/7 M 3.5 M 2.198 M 3.2 M 2.26 M 2.80 M 3.9 M 2.69 M 2.66, M 2.80 M 4.65 M 2.62, M 2.216 M 2.9 M 2.62 M 2.9 M 4.12, M 4.17 M 2.87, M 4.30, M 4.79 M 2.11 M 4.41

6.3 Wartung Die mit Pflege und Wartung verbundenen Maßnahmen sind nach Art, Inhalt und Zeitpunkt zu protokollieren. Der Zugriff auf Daten durch Wartungstechniker ist soweit wie möglich zu vermeiden. Die eingeräumten Zutritts-, Zugangs- und Zugriffsrechte sind auf das notwendige Minimum zu beschränken und nach den Arbeiten zu widerrufen bzw. zu löschen. Bei Arbeiten an organisationsweiten IT- Diensten mit sensiblen Informationen ist das Vier-Augen-Prinzip anzuwenden. Arbeiten am System sind gegenüber den betroffenen Mitarbeitern rechtzeitig anzukündigen. Im Anschluss an die Wartungs- oder Reparaturarbeiten ist die ordnungsgemäße Funktion der gewarteten IT-Systeme zu überprüfen. 6.4 Revision Alle Maßnahmen an IT-Diensten sind revisionssicher zu dokumentieren. Administratortätigkeiten sind zu protokollieren. Es ist eine regelmäßige Kontrolle der Funktionalität der IT-Dienste, der IT- Sicherheit und der Einhaltung der Richtlinien durchzuführen. Es sind sicherheitsrelevante Ereignisse und Zugriffe auf kritische Bereiche automatisch zu protokollieren und durch Administratoren regelmäßig zu überprüfen. Bei der Protokollierung sind Datenschutzaspekte zu beachten. Ermöglicht die Auswertung der Daten eine Verhaltens- und Leistungskontrolle, ist sie mitbestimmungspflichtig. 6.5 Weitergaberegelungen Bei der Weitergabe von Informationen ist ihr Schutzbedarf zu beachten und eine geeignete Versandart zu wählen. Vertrauliche Informationen oder Datenträger (Diskette, CD-ROM etc.) mit vertraulichen Informationen dürfen erst dann versendet werden, wenn die Vertraulichkeit beim Versand gewährleistet ist. Der Empfänger der Informationen ist zur vertraulichen Behandlung zu verpflichten. Wird Hardware außer Haus gegeben, sind sofern möglich alle vertraulichen Informationen, die sich in Datenspeichern befinden, vorher sicher zu löschen. Ist dies nicht möglich, so ist der Vertragspartner auf Geheimhaltung zu verpflichten. Die Übergabe bzw. der Transport ist sicher zu gestalten. 6.6 Entsorgung Belege und Druckausgaben, die vertrauliche Informationen beinhalten, müssen getrennt vom übrigen Abfall entsorgt werden. Elektronische Datenträger mit vertraulichen Informationen, die nicht weiter benötigt werden, sind vor der Entsorgung sicher zu löschen. Sofern keine sichere Entsorgung durchgeführt werden kann, ist mit der Entsorgung ein externes Unternehmen zu beauftragen. 7 Sicherheitsmaßnahmen 7.1 Allgemeines M 2.4, M 4.106 M 2.220 M 4.16 M 4.17 M 2.4 M 2.62 M 2.25, M 2.201 M 2.4 M 2.182 M 4.47, M 4.106 M 4.123, M 4.167 M 2.110 M 2.42 M 5.23 M 2.218 M 2.167 M 1.36, M 2.44 M 2.13 M 2.167 M 2.13 Durch wirksame Maßnahmen ist zu gewährleisten, dass die Sicherungsziele M 4.30, M 4.42 5/7

realisiert werden und ihre Einhaltung kontrolliert werden können. Alle IT-Systeme und Anwendungen sind sorgfältig zu konfigurieren und zu sichern. Wesentliche Punkte sind nachvollziehbar zu dokumentieren. Die Gebäude und Räume sind gegen fahrlässig, vorsätzlich oder durch höhere Gewalt herbeigeführte Störungen zu schützen (z. B. Brandschutz). Für Tele(heim)arbeit und mobile Arbeit sind Regelungen zu erstellen. 7.2 Zutritts- und Zugangsregelungen Der Zutritt zu den Räumlichkeiten bzw. der Zugang zu den IT-Diensten ist gegen Unbefugte zu schützen und zu kontrollieren. Hierbei sind verschiedene Rollen festzulegen. Für jeden Mitarbeiter sind Berechtigungen für den Zutritt zu Räumlichkeiten, den Zugang zu IT-Diensten und den Zugriff auf Informationen festzulegen. Alle Rechte sind restriktiv zu vergeben und zu dokumentieren. Hierbei sind die zwingenden dienstlichen Erfordernisse zugrunde zu legen. Die Authentisierung der Zugangsberechtigung ist durch Passwörter sicherzustellen. Es sind Passwortregeln zu erstellen. Diese werden allen Betroffenen durch Sicherheitshinweise für Benutzer mitgeteilt. Der Zugang der Administratoren ist speziell zu sichern. Die Passwörter der Administratoren sind sicher zu verwahren. Den Stellvertretern ist eine eigene Administratoren-Kennung zuzuteilen. Besucher, Handwerker und andere fremde Personen dürfen sich nicht frei und unkontrolliert im Gebäude bewegen. Bereiche, in denen hoch vertrauliche Informationen verarbeitet werden, sind besonders zu sichern. Nur berechtigte, namentlich benannte Personen haben Zutritt zu diesen Bereichen. IT-Systeme im Eingangs- und Empfangsbereich sind so zu sichern, dass Unbefugte keinen unbeobachteten Zugriff nehmen und Informationen nicht eingesehen werden können. 7.3 Verschlüsselung Vertrauliche und andere sicherheitsrelevante Daten sind verschlüsselt zu speichern. Sofern im Klartext gespeichert wird, ist beim Netzzugriff die Übertragung zu verschlüsseln. Zur Verschlüsselung ist IT-Benutzern auf Antrag ein Programm zur Verfügung zu stellen. Berechtigten IT-Benutzern sind ein öffentlicher und ein geheimer Schlüssel zur Verfügung zu stellen. 7.4 Schadsoftware Es ist ein Viren-Schutzprogramm zu installieren. Es sind regelmäßig Updates durchzuführen und die Viren-Signaturen zu aktualisieren. Hinweis: Für mittlere und größere Unternehmen und Behörden: Es ist ein Virenschutzkonzept zu erstellen. M 2.182, M 2.199 M 1.37f, M 5.32 M 1.8, M 1.48 M 2.213 M 1.17, M 2.6, M 2.7, M 4.2 M 2.220, M 2.30 M 2.8, M 2.31 M 4.16, M 4.17 M 4.1 M 2.11 M 4.21 M 2.22, M 4.21 M 4.72 M 2.46, M 2.164, M 5.36, M 5.63, M 5.68 M 4.3, M 2.159 M 2.154 6/7

7.5 Datensicherung/ Archivierung Es sind regelmäßig Datensicherungen durchzuführen. Die IT-Benutzer sind dabei zu unterstützen. Hinweis: Für mittlere und größere Unternehmen und Behörden: Es ist ein Datensicherungskonzept zu erstellen. Informationen sind einheitlich und dokumentiert aufzubewahren, so dass sie problemlos wieder aufgefunden werden können. Sicherungskopien sind in gesicherten Behältnissen in einem anderen Brandabschnitt aufzubewahren. Die Datenträger sind eindeutig zu kennzeichnen. Die Archivierung ist ein Teil des Dokumentenmanagement-Prozesses und dient der dauerhaften und unveränderbaren Speicherung von elektronischen Dokumenten und anderen Daten. Innerhalb eines Archivierungssystems aufbewahrte Daten sind konsistent so zu indizieren, dass sie eindeutig und schnell gefunden werden können. Die Speicherressourcen sind zu überwachen. Durch regelmäßig Funktions- und Recovery-Tests ist einem Datenverlust auf den Datenträgern entgegen zu wirken. Hinweis: Für mittlere und größere Unternehmen/Behörden: Es ist ein Archivierungskonzept zu erstellen. 7.6 Notfallvorsorge Alle Probleme, die IT-Dienste betreffen, müssen dem IT- Sicherheitsbeauftragten und den Administratoren gemeldet werden. Es sind Verhaltensregeln und Handlungsanweisungen für relevante Schadensereignisse zu definieren und den Mitarbeitern mitzuteilen. Für mittlere und größere Unternehmen/Behörden: Es ist ein Notfallvorsorgekonzept zu erstellen und Notfall-Übungen durchzuführen 8 Regelungen für spezifische IT-Dienste 8.1 Kommunikationsspezifische Regelungen Informationen, die elektronisch übermittelt werden (Fax, Telefonanlage, Internet etc.), sind zu schützen. Hierbei sind die technikspezifischen Sicherheitsprobleme zu berücksichtigen. Für eine sichere Internet-Anbindung ist eine "Sicherheitsrichtlinie für die Internetnutzung" zu erstellen. 8.2 Fernzugriff auf das interne Netz Generell ist der Zugriff vor Ort dem Fernzugriff vorzuziehen. Eine externe Anbindung an das interne Netz ist speziell zu regeln. Sofern möglich, ist der Fernzugriff auf ein isoliertes Netz zu beschränken. Der Fernzugriff ist sicher zu konfigurieren. Für besonders sensitive Bereiche ist entweder ein Fernzugriff auszuschließen oder auf Notfälle zu beschränken. Der Notfall und die Verfahrensweise während des Notfalls ist genau zu definieren. M 6.32 M 6.33 M 6.20 M 6.20, M 2.3 M 2.258 M 2.257 M 4.173 M 2.243 M 2.215 M 6.60, M 6.62 M 6.23 M 6.3 M 2.102 M 5.87, M 2.184, M 2.187, M 2.204, M 5.33 7/7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback