RiLi-Informationssicherheit KKU: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| Zeile 11: | Zeile 11: | ||
''Ein expliziter Nachweis einer Sicherheitsrichtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheitsrichtlinie einfließen zu lassen, so dass das Unternehmen zumindest über eine rudimentäre schriftliche Informationssicherheitsrichtlinie verfügt, in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheitsrichtlinie kann auch zur Vorbereitung einer Beratung oder unabhängig davon als mit vertretbarem Aufwand einfach umsetzbares internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.'' | ''Ein expliziter Nachweis einer Sicherheitsrichtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheitsrichtlinie einfließen zu lassen, so dass das Unternehmen zumindest über eine rudimentäre schriftliche Informationssicherheitsrichtlinie verfügt, in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheitsrichtlinie kann auch zur Vorbereitung einer Beratung oder unabhängig davon als mit vertretbarem Aufwand einfach umsetzbares internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.'' | ||
''Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation werden in dieser Richtlinie alle Belange in einem Dokument behandelt.'' | ''Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation werden in dieser Richtlinie alle wesentlichen Belange in einem Dokument behandelt.'' | ||
== Informationssicherheits-Richtlinie == | == Informationssicherheits-Richtlinie == | ||
| Zeile 33: | Zeile 33: | ||
== Einleitung == | == Einleitung == | ||
IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die ''<Organisation>'' stehen hier vor besonderen Herausforderungen. Die ''<Organisation''> nutzt als Grundlage für | IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die ''<Organisation>'' stehen hier vor besonderen Herausforderungen. Die ''<Organisation''> nutzt als Grundlage für die Erstellung dieser Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A. | ||
== Geltungsbereich == | == Geltungsbereich == | ||
| Zeile 43: | Zeile 43: | ||
Ziel dieses Sicherheits-Richtlinies der ''<Organisation>'' ist es: | Ziel dieses Sicherheits-Richtlinies der ''<Organisation>'' ist es: | ||
* Bewusstsein für Informationssicherheit | * '''Bewusstsein für Informationssicherheit fördern'''Das Sicherheitsbewusstsein aller Mitarbeitenden und Stakeholder soll gefördert werden, um Risiken für die <''Organisation''> zu minimieren und schnell und gezielt auf Sicherheitsvorfälle reagieren zu können. | ||
* Einhaltung von Gesetzen oder Vorschriften | * '''Einhaltung von Gesetzen oder Vorschriften'''Die <''Organisation''> muss alle relevanten gesetzlichen Bestimmungen und Vorschriften im Zusammenhang mit Datenschutz und Informationssicherheit einhalten. Dies kann Datenschutzgesetze, branchenspezifische Regelungen oder internationale Normen umfassen. | ||
* Einhaltung von Verträgen und Lieferzusagen | * '''Einhaltung von Verträgen und Lieferzusagen'''Die <''Organisation''> muss ihre vertraglichen Verpflichtungen und Zusagen gegenüber Kunden und Geschäftspartnern pünktlich und zuverlässig erfüllen können. | ||
* Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden | * '''Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden'''Hierbei geht es darum, die Privatsphäre und persönlichen Daten von Mitarbeitenden, Geschäftspartnern und Kunden zu schützen und sicherzustellen, dass diese Rechte respektiert werden. | ||
* Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse | * '''Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse'''Es muss sichergestellt sein, dass alle notwendigen Aufgaben und Prozesse in der <Organisation> korrekt, reibungslos und ohne Störungen ablaufen können. | ||
* Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen | * '''Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen'''Es muss sichergestellt werden, dass die IT-Systeme, Dienste und Informationen der Organisation kontinuierlich verfügbar sind und nicht durch Störungen oder Angriffe beeinträchtigt werden. | ||
* Vermeidung von Ansehensverlust bzw. Imageschaden der ''<Organisation>'' | * '''Vermeidung von Ansehensverlust bzw. Imageschaden der ''<Organisation>'''''Durch die Sicherstellung von Informationssicherheit trägt die Richtlinie dazu bei, den guten Ruf der <''Organisation''> zu schützen. Sicherheitsverletzungen können zu erheblichem Vertrauensverlust bei Kunden, Partnern und der Öffentlichkeit führen. | ||
== Gesetzliche Rahmenbedingungen == | == Gesetzliche Rahmenbedingungen == | ||
| Zeile 75: | Zeile 75: | ||
* ''Kundenbetreuung und Service'' | * ''Kundenbetreuung und Service'' | ||
* ''Forschung und Entwicklung'' | * ''Forschung und Entwicklung'' | ||
Beispiel: | |||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+ | ||
Kerngeschäftsprozesse der <''Organsiation''> | |||
!Prozess | !Prozess | ||
!Beschreibung | !Beschreibung | ||
!Verantwortlicher | !Verantwortlicher | ||
|- | |- | ||
| | |'''Produktion oder Fertigung''' | ||
| | |Herstellung von Produkten oder die Bereitstellung von Dienstleistungen. Hier werden Ressourcen, Materialien und Arbeitskräfte genutzt, um das Endprodukt oder die Dienstleistung gemäß den betrieblichen Standards und Anforderungen herzustellen. | ||
| | |N.N. | ||
(Produktionsleiter) | |||
|- | |- | ||
| | |'''Vertrieb und Marketing''' | ||
| | |Die Vermarktung und den Verkauf von Produkten oder Dienstleistungen. Dies beinhaltet die Entwicklung von Marketingstrategien, die Identifizierung potenzieller Kunden, die Werbung, den Verkauf und die Pflege von Vertriebskanälen, um Produkte oder Dienstleistungen erfolgreich auf dem Markt zu positionieren. | ||
| | |N.N. | ||
(Vertriebsleiterin) | |||
|- | |- | ||
| | |'''Kundenbetreuung und Service''' | ||
| | |Bestehende Kunden zufriedenzustellen und zu unterstützen. Der Prozess umfasst die Bearbeitung von Kundenanfragen, Beschwerden oder Problemen, um sicherzustellen, dass die Kunden einen qualitativ hochwertigen Service und Support erhalten. | ||
| | |N.N. | ||
(Leitung Kundebetreuung) | |||
|- | |||
|'''Forschung und Entwicklung''' | |||
|Die Erforschung neuer Ideen, Technologien oder Produkte sowie auf die kontinuierliche Verbesserung bestehender Angebote. Ziel ist es, Innovationen zu fördern und die Wettbewerbsfähigkeit des Unternehmens zu steigern. Dies beinhaltet die Planung, Umsetzung und Evaluierung von Forschungs- und Entwicklungsprojekten. | |||
|N.N. | |||
(Entwicklungsleitung) | |||
|} | |} | ||
Version vom 24. September 2023, 12:30 Uhr
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Mustervorlage: "Richtlinie zur Informationssicherheit nach DIN SPEC 27076"
Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen und stellt somit keine Grundlage für eine Sicherheitsrichtlinie oder gar ein ISMS dar. Sie definiert jedoch Anforderungen, die im Rahmen der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.
Ein expliziter Nachweis einer Sicherheitsrichtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheitsrichtlinie einfließen zu lassen, so dass das Unternehmen zumindest über eine rudimentäre schriftliche Informationssicherheitsrichtlinie verfügt, in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheitsrichtlinie kann auch zur Vorbereitung einer Beratung oder unabhängig davon als mit vertretbarem Aufwand einfach umsetzbares internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.
Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation werden in dieser Richtlinie alle wesentlichen Belange in einem Dokument behandelt.
Informationssicherheits-Richtlinie
Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“
Unternehmen
Name des Unternehmens: <Organisationsname>
Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>
Rechtsform des Unternehmens: <Rechtsform>
Handelsregister-Nummer: <(falls vorhanden)>
Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>
Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>
Tätigkeit des Unternehmens
Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen Tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.
Einleitung
IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für die Erstellung dieser Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.
Geltungsbereich
Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.
Zielsetzung
Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)
Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:
- Bewusstsein für Informationssicherheit fördernDas Sicherheitsbewusstsein aller Mitarbeitenden und Stakeholder soll gefördert werden, um Risiken für die <Organisation> zu minimieren und schnell und gezielt auf Sicherheitsvorfälle reagieren zu können.
- Einhaltung von Gesetzen oder VorschriftenDie <Organisation> muss alle relevanten gesetzlichen Bestimmungen und Vorschriften im Zusammenhang mit Datenschutz und Informationssicherheit einhalten. Dies kann Datenschutzgesetze, branchenspezifische Regelungen oder internationale Normen umfassen.
- Einhaltung von Verträgen und LieferzusagenDie <Organisation> muss ihre vertraglichen Verpflichtungen und Zusagen gegenüber Kunden und Geschäftspartnern pünktlich und zuverlässig erfüllen können.
- Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und KundenHierbei geht es darum, die Privatsphäre und persönlichen Daten von Mitarbeitenden, Geschäftspartnern und Kunden zu schützen und sicherzustellen, dass diese Rechte respektiert werden.
- Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der GeschäftsprozesseEs muss sichergestellt sein, dass alle notwendigen Aufgaben und Prozesse in der <Organisation> korrekt, reibungslos und ohne Störungen ablaufen können.
- Schutz der Verfügbarkeit von IT-Systemen, Diensten und InformationenEs muss sichergestellt werden, dass die IT-Systeme, Dienste und Informationen der Organisation kontinuierlich verfügbar sind und nicht durch Störungen oder Angriffe beeinträchtigt werden.
- Vermeidung von Ansehensverlust bzw. Imageschaden der <Organisation>Durch die Sicherstellung von Informationssicherheit trägt die Richtlinie dazu bei, den guten Ruf der <Organisation> zu schützen. Sicherheitsverletzungen können zu erheblichem Vertrauensverlust bei Kunden, Partnern und der Öffentlichkeit führen.
Gesetzliche Rahmenbedingungen
Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)
- Europäischen Datenschutz-Grundverordnung (DSVGO)
- Bundesdatenschutzgesetz (BDSG)
- Telekommunikationsgesetz (TKG)
- Telemediengesetz (TMG)
- ...
Geschäftsprozesse
Kurze Beschreibung der Kerngeschäftsprozesse der Organisation.
Kerngeschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und damit entscheidend für den Unternehmenserfolg sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.
Um die Kerngeschäftsprozesse zu identifizieren, nutze folgende Schritte:
- Geschäftsziele: Überlege, welche Ziele dein Unternehmen erreichen möchte. Das können Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätsverbesserung oder andere Ziele sein.
- Geschäftsprozesse: Erstelle eine Liste aller Prozesse, die in deinem Unternehmen ablaufen. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe, die notwendig sind, um die Geschäftsziele zu erreichen oder die Produkte deines Unternehmens herzustellen.
- Kerngeschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (dies sollten in der Regel nicht mehr als 3-5 Prozesse sein).
Einige Beispiele für Kerngeschäftsprozesse könnten sein:
- Produktion oder Fertigung
- Vertrieb und Marketing
- Kundenbetreuung und Service
- Forschung und Entwicklung
Beispiel:
| Prozess | Beschreibung | Verantwortlicher |
|---|---|---|
| Produktion oder Fertigung | Herstellung von Produkten oder die Bereitstellung von Dienstleistungen. Hier werden Ressourcen, Materialien und Arbeitskräfte genutzt, um das Endprodukt oder die Dienstleistung gemäß den betrieblichen Standards und Anforderungen herzustellen. | N.N.
(Produktionsleiter) |
| Vertrieb und Marketing | Die Vermarktung und den Verkauf von Produkten oder Dienstleistungen. Dies beinhaltet die Entwicklung von Marketingstrategien, die Identifizierung potenzieller Kunden, die Werbung, den Verkauf und die Pflege von Vertriebskanälen, um Produkte oder Dienstleistungen erfolgreich auf dem Markt zu positionieren. | N.N.
(Vertriebsleiterin) |
| Kundenbetreuung und Service | Bestehende Kunden zufriedenzustellen und zu unterstützen. Der Prozess umfasst die Bearbeitung von Kundenanfragen, Beschwerden oder Problemen, um sicherzustellen, dass die Kunden einen qualitativ hochwertigen Service und Support erhalten. | N.N.
(Leitung Kundebetreuung) |
| Forschung und Entwicklung | Die Erforschung neuer Ideen, Technologien oder Produkte sowie auf die kontinuierliche Verbesserung bestehender Angebote. Ziel ist es, Innovationen zu fördern und die Wettbewerbsfähigkeit des Unternehmens zu steigern. Dies beinhaltet die Planung, Umsetzung und Evaluierung von Forschungs- und Entwicklungsprojekten. | N.N.
(Entwicklungsleitung) |
Verantwortliche
Geschäftsführung (01)
Die Geschäftsführung ist verantwortlich für die Sicherstellung der Informationssicherheit. Dies beinhaltet die Entwicklung von Sicherheitsrichtlinien, die Bereitstellung von Ressourcen für Sicherheitsmaßnahmen, die Identifizierung und Minimierung von Risiken, die Einhaltung von Datenschutzbestimmungen, die Sensibilisierung der Mitarbeiter für Sicherheitsfragen und die Koordination mit der IT-Abteilung oder den IT-Dienstleistern. Sie muss auch auf Sicherheitsvorfälle angemessen reagieren, Lieferantenbewertungen durchführen und Sicherheitsmaßnahmen regelmäßig überprüfen.
Mitarbeitende
Die Mitarbeitenden tragen wesentlich zur Informationssicherheit bei, indem sie Sicherheitsrichtlinien befolgen, starke Passwörter verwenden, vor Phishing schützen, verdächtige Aktivitäten melden und regelmäßige Software-Updates durchführen. Sie sollten auch sichere Datenpraktiken pflegen, vertrauenswürdige Quellen für Downloads wählen und bei der Nutzung von Geräten und Netzwerken angemessene Vorsicht walten lassen.
Maßnahmen zur Informationssicherheit
Organisation & Sensibilisierung
Verantwortlichkeit für Informationssicherheit (02)
Die Geschäftsführung hat die Gesamtverantwortung für die Informationssicherheit der Organisation. Sie ist dafür verantwortlich, angemessene und wirksame Regelungen zum Schutz der Informationen der Organisation zu ergreifen. Dies umfasst unter anderem:
- Sicherheitsziele: Die Organisationsleitung legt messbare und erreichbare Sicherheitsziele für die Organisation fest, an denen sich alle Maßnahmen der Organisation orientieren.
- Risikomanagement: Die Organisationsleitung identifiziert die Risiken für die Informationssicherheit der Geschäftsprozesse der Organisation, bewertet diese und ergreift angemessene Maßnahmen, um diese zu minimieren.
- Strategie und Richtlinien: Die Organisationsleitung entwickelt eine umfassende Strategie für die Informationssicherheit, die Richtlinien, Verfahren und Standards enthält, um die Umsetzung der Strategie zu gewährleisten.
- Ressourcenmanagement: Die Organisationsleitung stellt ausreichende Ressourcen für die Umsetzung der Informationssicherheitsstrategie bereit, einschließlich finanzieller, personeller und technischer Ressourcen.
- Schulung und Sensibilisierung: Die Organisationsleitung stellt sicher, dass alle Mitarbeitenden über die Bedeutung der Informationssicherheit und die von ihnen zu ergreifenden Maßnahmen informiert sind und entsprechend geschult werden.
- Überwachung und Verbesserung: Die Organisationsleitung überwacht die Wirksamkeit der Informationssicherheitsmaßnahmen, um sicherzustellen, dass sie angemessen sind und den sich ändernden Bedrohungen und Risiken gerecht werden. Zudem veranlasst sie bei Bedarf Verbesserungen und Anpassungen, um die Informationssicherheit aufrechtzuerhalten und zu verbessern.
Beauftragter für Informationssicherheit
Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des Informationssicherheitsmanagements verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.
Seine Aufgaben sind u.a.:
- Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
- Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
- Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
- Begleitung und Auswertung von Sicherheitsvorfällen
- Begleitung der Einführung neuer Verfahren und Anwendungen
Die Geschäftsführung hat <Name des ISB> zum Informationssicherheitsbeauftragten (ISB) ernannt.
Der ISB ist zu <xx>% für die Bearbeitung von Themen der Informationssicherheit freigestellt.
Der ISB nimmt selbst regelmäßig an Fortbildungen zur Informationssicherheit teil und erhält dafür ein angemessenes Budget.
Er schult und sensibilisiert alle Mitarbeitenden regelmässig (mind. 2x / Jahr) zu Themen der Informationssicherheit.
Meldung von Sicherheitsvorfällen
Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.
Sicherheitsvorfälle können z.B. sein:
- ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
- vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails oder Anrufe,
- vermuteter oder erkannter Datenverlust oder Datendiebstahl,
- Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.
Externe Dienstleister
Externe Dienstleister..
Jeder externe Lieferant oder Dienstleister, der mit vertraulichen Informationen der Organisation in Kontakt kommt oder kommen kann, muss vor Vertragsabschluss eine Vertraulichkeitserklärung unterschreiben.
Umgang mit Informationen
Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.
In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.
Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.
Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:
| öffentlich nicht klassifiziert |
intern | vertraulich | |
|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Richtlinien, Konzepte, Raumpläne, Organigramme, Informationen zu Kunden, Vertragsdaten | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten |
| Kenntnis | jeder | nur Mitarbeitende ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Geschäftsführung oder Entwickler) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in besonders zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur europäische Cloudspeicher und zusätzlich Verschlüsselt |
| Mobile Speicher |
beliebig | nur zusätzlich verschlüsselt | nur auf vom ISB freigegebenen, verschlüsselten Datenträger |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B. Geschäftsführung, Entwicklung) |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 |
Richtlinie für mobiles Arbeiten
Für Mitarbeitende die mobil oder im Homeoffice arbeiten gilt die "Richtlinie für mobiles Arbeiten" (Anlage 1).
Die betroffenen Mitarbeitenden müssen mit Unterschrift erklären, dass sie die Richtlinie für mobiles Arbeiten befolgen und einhalten.
.
Identitäts- und Berechtigungsmanagement
Zutrittsregelung
Büroräume müssen in Abwesenheit abgeschlossen werden.
Externe und Besuchende dürfen Büroräume nur in Begleitung eines Mitarbeitenden betreten.
Zugriffsregelung
Passwortregelung
Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.
Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln müssen bei der Nutzung von Passworten grundsätzlich beachtet werden:
- Passwörter sind geheim zu halten!
- Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
- Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
- Passworte dürfen nicht per Telefon mitgeteilt werden,
- Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
- Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
- Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
- Zeichenwiederholungen,
- Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
- Trivialpassworte wie Namen, Begriffe des Berufs oder Alltags,
- Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
- Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
- Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.
Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden. Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:
- Die Mindestlänge des Passworts beträgt 8 Zeichen
- Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
- Großbuchstaben (ABCDEFG...)
- Kleinbuchstaben (abcdefg...)
- Ziffern (0123456789)
- Sonderzeichen (!#$%()*+,-./:;<=>)
- Das Passwort sollte mindestens einmal im Jahr geändert werden.
- Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
- Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
- Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.
Datensicherung
Häufigkeit der Datensicherung
Aufbewahrung
Funktionstest
Patch- und Änderungsmanagement
Schutz vor Schadprogrammen
IT-Systeme und Netzwerke
Firewall
Passwortschutz
Auf jedem Gerät muss ein Passwort geschützter Bildschirmschoner aktiviert sein. Bei Nichtnutzung muss das Gerät nach spätestens 10 Minuten gesperrt werden.
Bei verlassen des Arbeitsplatzes muss das Gerät sofort manuell gesperrt werden (Windows: [Windowstaste]+L) um Unbefugten (z.B: Servicepersonal) keinen Zugriff zu ermöglichen.
Mobiles Arbeiten
In der Organisation wird grundsätzlich der Ansatz des hybriden Arbeitens verfolgt. Alle Clients verfügen über eine Festplattenverschlüsselung und eine 2-Faktor-Authentisierung (2FA) für die Verbindung zum VPN. Mobiles Arbeiten kann sowohl in einem freien Büroraum am Standort, in Coworking Spaces, im Homeoffice des Mitarbeitenden, an einem beliebigen anderen Arbeitsplatz oder unterwegs erfolgen, sofern dies den Regelungen der Organisation zum mobilen Arbeiten entspricht. Für die unterschiedlichen Einsatzszenarien wurde entsprechende Leitfäden erstellt:
WLAN Nutzung
Private Nutzung
Die private Nutzung sowie die Nutzung des WLAN durch Externe (Servicepersonal, Kunden) ist zu regeln. z.B:
Die private Nutzung der organisationseigenen Infrastruktur (Notebooks, Netzwerk, Server) ist nicht erlaubt. Für die Nutzung eigener/privater Geräte sowie für Servicepersonal, Dienstleister und Kunden steht ein eigenes Gäste-WLAN (Name des WLAN/SSID) zur Verfügung. Das Gäste-WLAN bietet einen Internetzugang und ist vom organisationseigenen Netz getrennt.
Fernwartung
Elementarschäden
Der Schutz vor Elementarschäden bezieht sich auf Maßnahmen zum Schutz von Gebäuden, Anlagen und Ressourcen vor Naturkatastrophen und extremen Umwelteinflüssen (Sturm, Wasser, Hitze, Blitzschlag).
Es müssen alle für die Organisation relevanten Elementarschadensrisiken erfasst und entsprechende Schutzmaßnahmen beschrieben werden. So ist z.B. nicht überall mit Hochwasser zu rechnen, während bestimmte Gebiete besonders gefährdet sind. Bei angemieteten Gebäuden und Räumen ist auf einen ausreichenden Brandschutz zu achten, bei IT-Betriebsräumen ist z.B. zu beachten, dass ein Standard-ABC-Feuerlöscher zwar den Brand löscht, das darin enthaltene Löschpulver aber so aggressiv ist, dass auch nicht direkt vom Feuer betroffene IT-Komponenten durch das Löschpulver zerstört werden. Hier sollten technikschonende CO2-Löscher eingesetzt werden, die wiederum durch die Sauerstoffverdrängung ein Risiko für das Personal darstellen, so dass das Personal in der sicheren Handhabung unterwiesen werden sollte.
Kurze Bestandsaufnahme der relevanten Elementarschänden:
- Erdbeben: Kurze Beschreibung ob und für welche Standorte ein Erbebenrisiko besteht und welche Schutzmaßnahmen ergriffen werden (z.B. Ausweichstandort und Datenspiegelung).
- Hochwasser: Kurze Beschreibung ob und für welche Standorte ein Hochwasserrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
- Stürme und Wirbelstürme: Kurze Beschreibung ob und für welche Standorte ein Sturmrisiko besteht (z.B. Ausweichstandort und sturmsichere Gebäudeteile, Schutzkeller/Bunker).
- Erdrutsche: Kurze Beschreibung ob und für welche Standorte ein Erdrutschrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
- Trockenheit: Kurze Beschreibung ob und für welche Standorte ein Risiko aufgrund von Trockenheit besteht (z.B. Wasserknappheit, fehlendes Kühlwasser).
- Feuer: Alle Gebäude sind mit Rauchmeldern und Feuerlöschern ausgestattet. Die EDV-Räume sind mit CO2-Feuerlöschern ausgerüstet. Die Mitarbeitenden werden jährlich im Umgang mit den Feuerlöschern geschult.
- Blitzschlag/Überspannung: Alle Gebäudeteile sind mit einem Blitzschutz nach DIN EN 62305 (VDE 0185-305) ausgestattet, EDV-Betriebsräume und sensible Einrichtungen sind mit einer netzgetrennten USV oder einem Überspannungsschutz versehen.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum <01.01.2222> in Kraft.
Freigegeben durch: <Organisationsleitung>
Ort, 01.12.2220,
Unterschrift, Name der Leitung
