IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
2.2.2.2. Rollentrennung (M2.5)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
Verfahrensverantwortlicher<br />
<strong>IT</strong>-Personal, <strong>IT</strong>-Anwender<br />
Für jedes <strong>IT</strong>-Verfahren bzw. jeden <strong>IT</strong>-Arbeitsprozess sind die Verantwortlichkeiten<br />
für alle Bereiche eindeutig fest<strong>zu</strong>legen. Normalerweise ist eine Rollentrennung von<br />
Verfahrensentwicklung/-pflege und Systemadministration sinnvoll. Jedem Mitarbeiter<br />
müssen die ihm übertragenen Verantwortlichkeiten und die ihn betreffenden<br />
Regelungen bekannt sein. Abgren<strong>zu</strong>ngen und Schnittflächen der verschiedenen<br />
Anwenderrollen müssen klar definiert sein.<br />
2.2.2.3. Benennung eines <strong>IT</strong>-Verantwortlichen (M2.225)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>Universität</strong>sleitung (CIO-Gremium)<br />
Bereichsleitung<br />
Den <strong>IT</strong>-Verantwortlichen der Organisationseinheiten kommt im Rahmen der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong> der teilnehmenden Institutionen eine zentrale Bedeutung <strong>zu</strong>,<br />
denn sie haben in ihrem Zuständigkeitsbereich die für den <strong>IT</strong>-Einsatz gebotenen<br />
technischen und organisatorischen Maßnahmen <strong>zu</strong>r <strong>IT</strong>-Sicherheit <strong>zu</strong> initiieren und<br />
<strong>zu</strong> koordinieren; sie führen die notwendigen Aufzeichnungen für die Organisationseinheit<br />
ihrer Zuständigkeit. Bei Fragen des <strong>IT</strong>-Einsatzes sind sie sowohl Ansprechpartner<br />
für die Mitarbeiter ihrer Organisationseinheit als auch für Dritte (außerhalb<br />
ihrer Organisationseinheit).<br />
Eine nähere Beschreibung von Rolle und Aufgaben des <strong>IT</strong>-Verantwortlichen ist in<br />
der <strong>IT</strong>-Organisationsrichtlinie enthalten.<br />
2.2.2.4. Dokumentation der <strong>IT</strong>-Verfahren bezüglich der <strong>IT</strong>-Sicherheit<br />
(M2.214 / M2.201 / DSVO)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Personal<br />
<strong>IT</strong>-Verfahren sind bezüglich der Sicherheit mindestens hinsichtlich der folgenden<br />
Punkte <strong>zu</strong> dokumentieren:<br />
Zweck des <strong>IT</strong>-Verfahrens, Zielset<strong>zu</strong>ng, Begründung und Beschreibung der<br />
Arbeitsabläufe<br />
Schutzbedarfsanalyse mit einer Bewertung auf Grundlage der in dieser<br />
Richtlinie dargestellten Bewertungstabelle<br />
Ggf. Risikoanalyse in Abhängigkeit vom Ergebnis der Schutzbedarfsanalyse<br />
Beschreibung der Rollen; ggf. in Form eines Berechtigungskonzepts<br />
Vertretungsregelungen, insbesondere im Administrationsbereich<br />
30 von 75