IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
deren Wert <strong>zu</strong> legen. (Zum Beispiel wäre es sinnvoll, nur Anbieter mit Zertifikaten<br />
des BSI in Betracht <strong>zu</strong> ziehen.)<br />
2.2.2.10. Allgemeine Notfallvorsorge (M6.111 / M6.114)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher<br />
<strong>IT</strong>-Personal<br />
Bei der Einführung neuer <strong>IT</strong>-Verfahren bzw. neuer <strong>IT</strong>-Arbeitsprozesse werden im<br />
Rahmen der Dokumentationspflichten Analysen <strong>zu</strong>r Ermittlung des Schutzbedarfs<br />
und ggf. <strong>zu</strong>r Identifizierung und Begegnung spezifischer Risiken vorgenommen.<br />
Basierend auf den Ergebnissen dieser Analysen sollte ein Notfallplan erstellt werden,<br />
in dem festgelegt wird, wie auf Notfallsituationen adäquat reagiert wird. „Notfall“<br />
bezeichnet eine Situation, in der durch eine Betriebsstörung die Verfügbarkeit,<br />
Integrität oder Vertraulichkeit der Daten nicht mehr gegeben ist und ein verhältnismäßig<br />
hoher Schaden entsteht. In einem Notfallplan sollten <strong>zu</strong>m Beispiel Regelungen<br />
<strong>zu</strong> Verantwortlichkeiten, <strong>zu</strong>m Wiederanlauf von <strong>IT</strong>-Systemen, <strong>zu</strong>r Wiederherstellung<br />
von Daten und <strong>zu</strong>m Einsatz von Ausweichmöglichkeiten enthalten sein.<br />
Darüber hinaus ist es häufig sinnvoll einen Alarmierungsplan <strong>zu</strong> erstellen, in dem<br />
die Meldewege im Notfall beschrieben sind.<br />
2.2.3. Personelle Maßnahmen<br />
Zahlreiche Untersuchungen und Statistiken über Fehlfunktionen im <strong>IT</strong>-Bereich zeigen, dass<br />
die größten Risiken durch Irrtum, menschliches Versagen und Überforderung der Mitarbeiter<br />
entstehen. Daher sind die in diesem Abschnitt aufgeführten Maßnahmen vorrangig <strong>zu</strong><br />
beachten.<br />
2.2.3.1. Sorgfältige Personalauswahl (M3.50 / M3.10)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
Bereichsleitung<br />
Bereichsleitung<br />
Mit Administrationsaufgaben auf Netzwerk- und Systemebene dürfen nur ausgewählte,<br />
ausreichend qualifizierte, vertrauenswürdige und motivierte Mitarbeiter betraut<br />
werden.<br />
2.2.3.2. Angemessene Personalausstattung (M3.51)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
Bereichsleitung (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
Bereichsleitung<br />
Eine <strong>zu</strong>verlässige und sichere Erfüllung der <strong>IT</strong>-Aufgaben erfordert eine angemessene<br />
Personalausstattung, insbesondere in Hinblick auf die Sicherstellung eines kon-<br />
33 von 75