Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Webkurs IT-Grundschutz – das <strong>Beispielunternehmen</strong> <strong>RECPLAST</strong><br />
2.1 Vorschläge <strong>für</strong> die IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
Stellenwert der IT und Bedeutung der IT-<strong>Sicherheit</strong>sleitl<strong>in</strong>ie<br />
Der Geschäftserfolg des Unternehmens ist abhängig von aktuellen und korrekten Geschäfts<strong>in</strong>formationen,<br />
die das Unternehmen mit Kunden, Zulieferern, Kooperationspartnern, Geld<strong>in</strong>stituten und anderen<br />
Institutionen zunehmend elektronisch austauscht. Die Informationstechnik ist e<strong>in</strong> wichtiger, unterstützender<br />
Teil unseres Geschäfts und unserer Arbeiten <strong>in</strong> allen Abteilungen.<br />
E<strong>in</strong>e funktionsfähige Informationstechnik und e<strong>in</strong> sicherheitsbewusster Umgang mit ihr s<strong>in</strong>d wesentliche<br />
Voraussetzungen <strong>für</strong> die E<strong>in</strong>haltung der IT-<strong>Sicherheit</strong>sziele Verfügbarkeit, Integrität und Vertraulichkeit<br />
von Informationen.<br />
Die Unternehmensleitung hat aufgrund ihrer Verantwortung <strong>für</strong> die Informationssicherheit e<strong>in</strong>en IT-<br />
<strong>Sicherheit</strong>sprozess <strong>in</strong> Gang gesetzt. Dazu gehören die Entwicklung und Umsetzung dieser Leitl<strong>in</strong>ie<br />
und e<strong>in</strong>es IT-<strong>Sicherheit</strong>skonzepts. Die E<strong>in</strong>haltung der Leitl<strong>in</strong>ie sowie Aktualität und Angemessenheit<br />
des <strong>Sicherheit</strong>skonzepts werden regelmäßig überprüft.<br />
IT-<strong>Sicherheit</strong>sniveau und Ziele<br />
Die Unternehmensleitung schätzt die strategische und operative Bedeutung der Informationstechnik<br />
folgendermaßen e<strong>in</strong>:<br />
Die Informationstechnik dient unserem Unternehmen wesentlich zur Erfüllung des Massengeschäfts<br />
im Vertrieb und E<strong>in</strong>kauf, <strong>für</strong> die Aufgaben der F<strong>in</strong>anz- und Lohnbuchhaltung und <strong>für</strong><br />
qualitative Aufgaben <strong>in</strong> der Entwicklung, Auftragsabwicklung und im Management. Insbesondere<br />
<strong>für</strong> auftragsbezogene Entscheidungen und Investitionen s<strong>in</strong>d aktuelle und korrekte Unternehmensdaten<br />
erforderlich. E<strong>in</strong> Ausfall von IT-Systemen ist bis zu e<strong>in</strong>em Tag überbrückbar, darüber h<strong>in</strong>aus<br />
wären Bee<strong>in</strong>trächtigungen der Managementdispositionen, der Auftragsabwicklung und der Unternehmenskommunikation<br />
zwischen Verwaltung, Produktion und Lager riskant.<br />
In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands<br />
an Personal und F<strong>in</strong>anzmitteln <strong>für</strong> IT-<strong>Sicherheit</strong>, hat die Unternehmensleitung bestimmt, dass<br />
e<strong>in</strong> mittleres IT-<strong>Sicherheit</strong>sniveau angestrebt werden soll.<br />
Dieses <strong>Sicherheit</strong>sniveau bed<strong>in</strong>gt folgende <strong>Sicherheit</strong>sziele und Strategie:<br />
1. Informationssicherheit soll mit <strong>Sicherheit</strong>sbewusstse<strong>in</strong> der Beschäftigten bezüglich möglicher<br />
Gefährdungen und mit ihrem persönlich-verantwortlichen Verhalten praktiziert und mit<br />
organisatorischen und technischen Maßnahmen unterstützt werden. Da<strong>für</strong> sollen regelmäßige<br />
Fortbildungsmaßnahmen zur IT-<strong>Sicherheit</strong> durchgeführt werden.<br />
2. Die <strong>für</strong> das Unternehmen wichtigen Informationen sollen gemäß ihrer Vertraulichkeit und<br />
bezüglich ihrer Integrität geschützt werden. <strong>Das</strong> bedeutet, dass auch im Umgang mit<br />
elektronischen Dokumenten und Daten Geheimhaltungsanweisungen strikt Folge zu leisten ist.<br />
3. Die <strong>für</strong> das Unternehmen relevanten Gesetze und Vorschriften sowie vertragliche und aufsichtsrechtliche<br />
Verpflichtungen müssen e<strong>in</strong>gehalten werden.<br />
4. Ziel ist, die <strong>Sicherheit</strong> der IT (gleichwertig neben Leistungsfähigkeit und Funktionalität) im<br />
Unternehmen aufrechtzuerhalten, so dass die Geschäfts<strong>in</strong>formationen bei Bedarf verfügbar s<strong>in</strong>d.<br />
Ausfälle der IT haben Bee<strong>in</strong>trächtigungen des Unternehmens zur Folge. Lang andauernde<br />
Ausfälle, die zu Term<strong>in</strong>überschreitungen von mehr als e<strong>in</strong>em Tag führen, s<strong>in</strong>d nicht tolerierbar.<br />
5. Durch <strong>Sicherheit</strong>smängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen<br />
und Image-Schäden müssen verh<strong>in</strong>dert werden. [Kle<strong>in</strong>ere Fehler können toleriert werden.]<br />
Seite 5