Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Weitere Magazine

Empfehlungen

Info

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 2 IT-Sicherheitsmanagement Die Geschäftsführung beabsichtigt, ein IT-Sicherheitskonzept für das Unternehmen ausarbeiten zu lassen, das in allen Unternehmensbereichen umgesetzt werden soll. Dazu müssen die Unternehmenspolitik zur IT-Sicherheit und die vorhandenen Sicherheitsrichtlinien präzisiert werden. Zuerst wird für die Analysen, Konzepte und Folgearbeiten des IT-Sicherheitsprozesses ein IT-Sicherheitsbeauftragter ernannt. Da diese Aufgabe umfangreiche IT-Kenntnisse erfordert, wird hierfür ein Mitarbeiter der Abteilung „Informationstechnik“ bestimmt. Danach wird ein zeitlich befristetes Projekt „IT-Sicherheitskonzept“ eingerichtet, in dem neben dem IT-Sicherheitsbeauftragten der Datenschutzbeauftragte und Zuständige für IT-Anwendungen und IT-Systeme zu folgenden Ergebnissen zusammenarbeiten sollen: 1. Vorschläge und Entscheidungsvorlage für eine IT-Sicherheitsleitlinie, 2. Erstellung einer Übersicht vorhandener IT-Systeme, 3. Ausarbeitung und Entscheidungsvorlage des IT-Sicherheitskonzepts und eines Realisierungsplans inklusive Maßnahmen zur Notfallvorsorge und Benutzerinformation, 4. Vorschläge für Maßnahmen zur Aufrechterhaltung der IT-Sicherheit, 5. Dokumentation aller Entscheidungsvorlagen, Entscheidungen und der umgesetzten Maßnahmen des IT-Sicherheitsprozesses. Mehrere Bereichsleiter wollen, dass auch ein Mitarbeiter aus ihrem Bereich in dem Projektteam vertreten sein soll. Aus drei Bereichen können wegen dringender Terminarbeiten keine Mitarbeiter am Projekt teilnehmen. Die Geschäftsführung schließt diese Diskussion damit ab, dass maximal drei Mitarbeiter im Projekt arbeiten sollen: 1. der IT-Sicherheitsbeauftragte sowie 2. ein Mitarbeiter, der im Vertrieb für die IT- Anwendungen zuständig und gleichzeitig Datenschutzbeauftragter ist, und 3. die kaufmännische Geschäftsleitung. Alle Bereiche sollen den Projektmitarbeitern die erforderlichen Auskünfte über den Stand der IT- Sicherheit angesichts der gegenwärtigen und geplanten Informationstechnik geben. Zwischen- und Endergebnisse sollen in der Managementsitzung und mit dem Betriebsrat beraten und dann von der Geschäftsführung entschieden werden. Die Ergebnisse will sie selbst den Beschäftigten mitteilen. Nach Vorarbeiten des IT-Sicherheitsbeauftragten und Beratungen des Projektteams „IT-Sicherheitskonzept“ werden folgende Vorschläge für die IT-Sicherheitsleitlinie mit der Geschäftsführung beraten: Seite 4
Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 2.1 Vorschläge für die IT-Sicherheitsleitlinie Stellenwert der IT und Bedeutung der IT-Sicherheitsleitlinie Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäftsinformationen, die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geldinstituten und anderen Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist ein wichtiger, unterstützender Teil unseres Geschäfts und unserer Arbeiten in allen Abteilungen. Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr sind wesentliche Voraussetzungen für die Einhaltung der IT-Sicherheitsziele Verfügbarkeit, Integrität und Vertraulichkeit von Informationen. Die Unternehmensleitung hat aufgrund ihrer Verantwortung für die Informationssicherheit einen IT- Sicherheitsprozess in Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie und eines IT-Sicherheitskonzepts. Die Einhaltung der Leitlinie sowie Aktualität und Angemessenheit des Sicherheitskonzepts werden regelmäßig überprüft. IT-Sicherheitsniveau und Ziele Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik folgendermaßen ein: Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massengeschäfts im Vertrieb und Einkauf, für die Aufgaben der Finanz- und Lohnbuchhaltung und für qualitative Aufgaben in der Entwicklung, Auftragsabwicklung und im Management. Insbesondere für auftragsbezogene Entscheidungen und Investitionen sind aktuelle und korrekte Unternehmensdaten erforderlich. Ein Ausfall von IT-Systemen ist bis zu einem Tag überbrückbar, darüber hinaus wären Beeinträchtigungen der Managementdispositionen, der Auftragsabwicklung und der Unternehmenskommunikation zwischen Verwaltung, Produktion und Lager riskant. In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands an Personal und Finanzmitteln für IT-Sicherheit, hat die Unternehmensleitung bestimmt, dass ein mittleres IT-Sicherheitsniveau angestrebt werden soll. Dieses Sicherheitsniveau bedingt folgende Sicherheitsziele und Strategie: 1. Informationssicherheit soll mit Sicherheitsbewusstsein der Beschäftigten bezüglich möglicher Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit organisatorischen und technischen Maßnahmen unterstützt werden. Dafür sollen regelmäßige Fortbildungsmaßnahmen zur IT-Sicherheit durchgeführt werden. 2. Die für das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und bezüglich ihrer Integrität geschützt werden. Das bedeutet, dass auch im Umgang mit elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist. 3. Die für das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden. 4. Ziel ist, die Sicherheit der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im Unternehmen aufrechtzuerhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Ausfälle der IT haben Beeinträchtigungen des Unternehmens zur Folge. Lang andauernde Ausfälle, die zu Terminüberschreitungen von mehr als einem Tag führen, sind nicht tolerierbar. 5. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen und Image-Schäden müssen verhindert werden. [Kleinere Fehler können toleriert werden.] Seite 5
Seite 1 und 2: Webkurs IT-Grundschutz Beschreibung
Seite 3 und 4: Inhaltsverzeichnis Webkurs IT-Grund
Seite 5: Webkurs IT-Grundschutz - das Beispi
Seite 9 und 10: Webkurs IT-Grundschutz - das Beispi
Seite 11 und 12: Vertriebsbüro Berlin Laptop Client
Seite 25 und 26: Schutzbedarf Clients Webkurs IT-Gru
Seite 29 und 30: 1 Vertriebsbüros C8: 3 Clients Ver
Seite 47 und 48: Maßnahme (erforderl. ab Stufe) M 4
Seite 57 und 58:
Webkurs IT-Grundschutz - das Beispi
Seite 59 und 60:
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Maßnahme (erforderlich ab Stufe) M
Seite 71 und 72:
Maßnahme (erforderlich ab Stufe) M
Alle anzeigen

Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?