IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Umset<strong>zu</strong>ng der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
für alle Verfahrensverantwortlichen die verfahrenspezifischen Regelungen<br />
als bekannt voraus gesetzt werden können.<br />
Verantwortlich: Bereichsleiter Termin: nach jeder Aktualisierung der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
Neue Mitarbeiter müssen auf die geltende <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> bei der Einstellung<br />
hingewiesen werden. Bei Aufnahme ihrer Tätigkeit müssen sie über die für sie<br />
maßgeblichen Bestimmungen der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> informiert werden.<br />
Verantwortlich bei Einstellung: Personalstelle<br />
Verantwortlich bei Tätigkeitsaufnahme: Bereichsleiter<br />
Termin:<br />
bei Dienstantritt<br />
5.3. Umset<strong>zu</strong>ng des <strong>IT</strong>-Grundschutzes<br />
Die Gesamtverantwortung für die Umset<strong>zu</strong>ng der verfahrensspezifischen Maßnahmen des<br />
<strong>IT</strong>-Grundschutzes liegt bei den <strong>IT</strong>-Verantwortlichen der Organisationseinheiten. Bei der<br />
Anwendung einzelner Grundschutzmaßnahmen sind die bei jeder Maßnahme angegebenen<br />
Verantwortlichkeiten über die Initiierung und Umset<strong>zu</strong>ng <strong>zu</strong> beachten.<br />
Ist eine einvernehmliche Lösung bei Differenzen über die Umset<strong>zu</strong>ng der Maßnahmen in<br />
einem Bereich nicht möglich, kann das CIO-Gremium/Beirat über die internen Vorgänge<br />
informiert werden. Das CIO-Gremium/Beirat trifft auf Basis der geltenden Richtlinien eine<br />
Entscheidung in der strittigen Sache.<br />
Stellt eine Stelle in der teilnehmenden Institution einen Mangel in einem <strong>IT</strong>-Verfahren fest,<br />
der <strong>zu</strong> gravierenden Schäden führen kann, ist der <strong>IT</strong>-Sicherheitsbeauftragte über den Tatbestand<br />
<strong>zu</strong> informieren. Der <strong>IT</strong>-Sicherheitsbeauftragte versucht kurzfristig in Einvernehmen<br />
mit allen Beteiligten eine Lösung für das Sicherheitsproblem <strong>zu</strong> finden. Falls eine Lösung<br />
im Einvernehmen nicht hergestellt werden kann, informiert der <strong>IT</strong>-Sicherheitsbeauftragte<br />
das CIO-Gremium/Beirat. Das CIO-Gremium/Beirat entscheidet über das weitere<br />
Vorgehen.<br />
5.4. Fortschreibungs- und Berichtspflicht<br />
Die <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> bedarf der ständigen Überarbeitung und Weiterentwicklung.<br />
Veränderungen in der Bedrohungssituation oder technische Entwicklungen sind <strong>zu</strong> berücksichtigen.<br />
Turnusmäßig (z.B. im Zusammenhang mit der Fortschreibung der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong>) werden die Aufzeichnungen <strong>zu</strong> aufgetretenen Sicherheitsproblemen<br />
ausgewertet. Bei Bedarf werden <strong>zu</strong>sätzliche Maßnahmen in den Grundschutzkatalog aufgenommen<br />
und ggf. auch Maßnahmen wieder aufgehoben bzw. ersetzt, die sich nicht<br />
bewährt haben.<br />
67 von 75