IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Ausgangssituation<br />
III.<br />
Risikoanalyse in Abhängigkeit vom Ergebnis der Schutzbedarfsanalyse<br />
IV. Beschreibung der Rollen<br />
V. Angaben über die Anzahl und Art von technischen Einrichtungen und Geräten<br />
(Mengengerüst)<br />
VI. Angaben der Schnittstellen <strong>zu</strong> anderen <strong>IT</strong>-Verfahren, <strong>IT</strong>-Systemen und<br />
sonstigen Diensten<br />
VII. Angaben über die vom <strong>IT</strong>-Verfahren betroffenen Organisationseinheiten<br />
VIII. Aufstellungsort von Anlagen und Geräten, die wesentliche Funktionen innerhalb<br />
des Arbeitsprozesses bzw. <strong>IT</strong>-Verfahrens erfüllen; alle weiteren Anlagen<br />
und Geräte müssen lediglich zahlenmäßig erfasst und einer Unterorganisationseinheit<br />
<strong>zu</strong>gewiesen werden<br />
IX. Betriebskonzept mit allen für den Betrieb notwendigen Angaben über die<br />
im <strong>IT</strong>-Verfahren erfassten technischen Systeme<br />
X. Soweit personenbezogene Daten der Beschäftigten automatisiert verarbeitet<br />
werden: Angaben über den Umgang mit personenbezogenen Daten<br />
(Landesverordnung über die Sicherheit und Ordnungsmäßigkeit<br />
automatisierter Verarbeitung personenbezogener Daten<br />
(Datenschutzverordnung - DSVO -))<br />
Eine vollständige Auflistung möglicher Inhalte einer <strong>IT</strong>-Verfahrensbeschreibung stehen als<br />
Vorlagen des ULD für die Beschreibung von Verfahren <strong>zu</strong>r Verfügung<br />
Weitere Merkmale eines <strong>IT</strong>-Verfahrens sind der längerfristige Charakter der erfassten <strong>IT</strong>-gestützten<br />
Arbeitsabläufe. Ein <strong>IT</strong>-Verfahren wird üblicherweise über mehrere Jahre hinweg<br />
betrieben. Bei der Festlegung von <strong>IT</strong>-Arbeitsprozessen wie auch von <strong>IT</strong>-Verfahren soll der<br />
Grundsatz der Generalisierung bzw. der Zusammenfassung beachtet werden. Der <strong>IT</strong>-<br />
Arbeitsprozess bildet bei der Erfassung des <strong>IT</strong>-Einsatzes die kleinste Einheit und ist als eine<br />
sequenzielle und/oder parallele Abfolge von <strong>zu</strong>sammenhängenden <strong>IT</strong>-gestützten<br />
und/oder <strong>IT</strong>-unterstützenden Tätigkeiten definiert. Als Anhaltspunkt für eine Zusammenfassung<br />
oder eine Trennung von Arbeitsabläufen können u. a. folgende Kriterien dienen:<br />
Trennkriterien<br />
Zusammenfassungskriterien<br />
<br />
<br />
<br />
unterschiedlicher Schutzbedarf<br />
verschiedene Datenkategorien<br />
verschiedene „Datenbesitzer“<br />
<br />
<br />
<br />
Praktikabilität<br />
Arbeitsersparnis<br />
Zusammenhängende Aufgaben<br />
Ein oder mehrere Arbeitsprozesse können ein <strong>IT</strong>-Verfahren bilden, wobei die beteiligten<br />
Arbeitsprozesse ein gemeinsames Ziel verfolgen müssen. Die Differenzierung eines <strong>IT</strong>-<br />
Verfahrens in mehrere <strong>IT</strong>-Arbeitsprozesse ermöglicht, das auch relativ komplexe <strong>IT</strong>-<br />
Verfahren angemessen aus Sicht der <strong>IT</strong>-Sicherheit, des Datenschutzes und der Mitbestimmung<br />
behandelt und analysiert werden können. Außerdem werden damit die <strong>zu</strong>künftig<br />
13 von 75