Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Weitere Magazine

Empfehlungen

Info

Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST 6. Im Unternehmen sollen für die Zugangskontrolle sowohl physikalische als auch logische Sicherheitsmaßnahmen angewandt werden. 7. Bereits betriebene und geplante Informationstechnik soll nach der Vorgehensweise des IT- Grundschutzes des BSI in einem IT-Sicherheitskonzept erfasst, im Schutzbedarf eingeschätzt, modelliert und auf Sicherheitsmaßnahmen überprüft werden. Sicherheit der IT soll u. a. auch durch Anwenden von Normen und Standards und durch den Einsatz zertifizierter Systeme erreicht werden. Verantwortungen • Für Daten, Informationen, Geschäftsverfahren, unterstützende Systeme, Netze und Infrastruktur werden so genannte „Informationseigentümer“ benannt. Sie sollen verantwortlich für die Einschätzung der geschäftlichen Bedeutung (der Information, Technik), für die sichere Nutzung und Kontrolle, inklusive der Einhaltung von Sicherheitsgrundsätzen, Standards und Richtlinien sein. Die „Eigentümer“ definieren die erforderliche Zugänglichkeit (der Information, Technik) sowie Art und Umfang der Autorisierung. Sie sind für die Verwaltung der zustehenden Zugriffsrechte der Benutzer verantwortlich und gegenüber der Leitung in Rechenschaftspflicht. • Ein „Informationstreuhänder“, der z. B. aufgrund eines Serviceauftrags für das Unternehmen Leistungen erbringt, hat Vorgaben des „Informationseigentümers“ und diese IT Sicherheitsleitlinie einzuhalten. Damit ist er verantwortlich für die Einhaltung der IT Sicherheitsziele (Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rechenschaftspflicht und Verbindlichkeit der Informationen). Bei erkennbaren Mängeln oder Risiken eingesetzter Sicherheitsmaßnahmen hat er den „Informationseigentümer“ zu informieren. • Jeder Mitarbeiter soll im Rahmen seines Umgangs mit IT (als Benutzer, Berater, Geschäftspartner) die erforderliche Integrität und Vertraulichkeit von Informationen sowie Verbindlichkeit und Beweisbarkeit von Geschäftskommunikation gewährleisten und die Richtlinien des Unternehmens einhalten. Unterstützt durch sensibilisierende Schulung und Benutzerbetreuung am Arbeitsplatz soll jeder im Rahmen seiner Möglichkeiten, Sicherheitsvorfälle von innen und außen vermeiden. Erkannte Fehler sind den Zuständigen umgehend zu melden, damit schnellstmöglich Abhilfemaßnahmen eingeleitet werden können. • Das Sicherheitsmanagement, bestehend aus IT-Sicherheitsbeauftragtem, Mitarbeitern des Projekts „IT-Sicherheitskonzept“, Zuständigen für die IT-Anwendungen, Datenschutz und IT-Service, ist gemäß den Sicherheitsvorgaben verantwortlich für die Sicherheit im Umgang mit der IT und den Schutz der Geschäftsinformationen, einschließlich der Kunden-, Entwicklungs- und Managementdaten. Ebenso ist es zuständig für die Weiterentwicklung des IT-Sicherheitsniveaus, des IT- Sicherheitskonzepts und für seine Umsetzung und Aufrechterhaltung von Sicherheit im Betrieb. • Für die Überprüfung der IT-Sicherheit bei der Bearbeitung, Nutzung und Kontrolle von Informationen werden jeweils unabhängige Verantwortliche eingesetzt, die z. B. Zugriffsmöglichkeiten auf Finanzdaten und den Umgang mit Finanztransaktionen und zugehörige Sicherheitsmaßnahmen kontrollieren. Verstöße und Folgen • Beabsichtigte oder grob fahrlässige Handlungen, die die Sicherheit von Daten, Informationen, Anwendungen, IT-Systemen oder des Netzes gefährden, werden als Verstöße verfolgt. Dazu gehören beispielsweise: – der Missbrauch von Daten, der finanziellen Verlust verursachen kann, Seite 6
Webkurs IT-Grundschutz – das Beispielunternehmen RECPLAST – der unberechtigte Zugriff auf Informationen bzw. ihre Änderung und unbefugte Übermittlung, – die illegale Nutzung von Informationen aus dem Unternehmen, – die Gefährdung der IT-Sicherheit der Mitarbeiter, Geschäftspartner und des Unternehmens und – die Schädigung des Rufes des Unternehmens. • Bewusste Zuwiderhandlungen gegen die IT-Sicherheitsleitlinie werden bestraft – gegebenenfalls disziplinarisch, arbeitsrechtlich oder mit zivil- und strafrechtlichen Verfahren, in denen auch Haftungsansprüche und Regressforderungen erhoben werden können. Geltung und Detaillierung • Diese IT-Sicherheitsleitlinie gilt für das gesamte Unternehmen. Jeder Beschäftigte ist daher verpflichtet, die IT-Sicherheitsleitlinie im Rahmen seiner Zuständigkeiten und Arbeiten einzuhalten und die Informationen und die Technik angemessen zu schützen. • Unter den Vorgaben dieser IT-Sicherheitsleitlinie und der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik, werden Ziele, Anforderungen, organisatorische und technische Sicherheitsmaßnahmen in dem IT-Sicherheitskonzept detailliert, geplant, dokumentiert und dann umgesetzt. 2.2 Einführung der IT-Sicherheitsleitlinie im Unternehmen Die Unternehmensleitung lässt sich zu den Inhalten der IT-Sicherheitsleitlinie von dem IT-Sicherheitsbeauftragten, der Projektgruppe „IT-Sicherheitskonzept“ und dem IT-Sicherheitsmanagement- Team ausgiebig beraten. Dann stellt sie die IT-Sicherheitsleitlinie in der Managementsitzung der Bereichsleiter vor, an der auch der Betriebsrat teilnimmt. Nach Diskussion der Aussagen zur Bedeutung der IT und zum Sicherheitsniveau, der Sicherheitsziele, Strategieaussagen, organisatorischen Regelungen und Konsequenzen werden Vorschläge für Änderungen eingebracht. Nach einer Überarbeitung durch den IT-Sicherheitsbeauftragten lädt die Unternehmensleitung alle Beschäftigten zu einer Versammlung ein (ggf. im Einvernehmen mit dem Betriebsrat im Rahmen einer Betriebsversammlung). Sie erläutert im Vortrag die Wichtigkeit der Leitlinie für das Unternehmen und erklärt Ziele, Maßnahmen und Konsequenzen. Jeder Mitarbeiter bekommt eine schriftliche Ausfertigung der Leitlinie. Die Unternehmensleitung kündigt eine Reihe von Fortbildungsveranstaltungen zur IT-Sicherheit an, damit die Mitarbeiter für mögliche Gefährdungen sensibilisiert und auf einzuhaltende IT-Sicherheitsmaßnahmen vorbereitet werden. Die Unternehmensleitung gibt den Termin bekannt, ab dem die Leitlinie in Kraft gesetzt ist und verlangt ihre Einhaltung. Weitere Informationen zum IT-Sicherheitsmanagement finden Sie in folgenden Dokumenten: • in dem BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), • in den Kapiteln 2 und 3 der Beschreibung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) sowie • im Baustein B 1.0 IT-Sicherheitsmanagement der IT-Grundschutz-Kataloge. Seite 7
Seite 1 und 2: Webkurs IT-Grundschutz Beschreibung
Seite 3 und 4: Inhaltsverzeichnis Webkurs IT-Grund
Seite 5 und 6: Webkurs IT-Grundschutz - das Beispi
Seite 7: Webkurs IT-Grundschutz - das Beispi
Seite 11 und 12: Vertriebsbüro Berlin Laptop Client
Seite 25 und 26: Schutzbedarf Clients Webkurs IT-Gru
Seite 29 und 30: 1 Vertriebsbüros C8: 3 Clients Ver
Seite 47 und 48: Maßnahme (erforderl. ab Stufe) M 4
Seite 59 und 60:
Webkurs IT-Grundschutz - das Beispi
Seite 61 und 62:
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Maßnahme (erforderlich ab Stufe) M
Seite 71 und 72:
Maßnahme (erforderlich ab Stufe) M
Alle anzeigen

Das Beispielunternehmen RECPLAST - Bundesamt für Sicherheit in ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?