(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
3. Geltungsbereich<br />
Die Handlungsleitlinien gelten <strong>für</strong> die AUDI AG <strong>und</strong> sind im gesamten <strong>Audi</strong> Konzern anzuwenden <strong>und</strong> durch<br />
konkrete <strong>IT</strong>-Regelungen im Einzelfall auszugestalten.<br />
4. Einstufung <strong>und</strong> Kontrolle der Werte<br />
Betriebsnotwendige <strong>IT</strong>-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die<br />
Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen.<br />
Als betriebsnotwendig sind <strong>IT</strong>-Systeme einzustufen, deren Funktionsstörung den Fortbestand des<br />
Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen<br />
hohen Zeitaufwand <strong>und</strong>/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urk<strong>und</strong>en<br />
(z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen.<br />
Dieses Verzeichnis der erfassten <strong>IT</strong>-Systeme hat mindestens die folgenden Angaben zu enthalten:<br />
Beschreibung der <strong>IT</strong>-Systeme einschließlich ihrer Schnittstellen zu anderen <strong>IT</strong>-Systemen,<br />
Verantwortliche Stelle oder Person,<br />
Bedeutung der <strong>IT</strong>-Systeme <strong>für</strong> die Geschäftsprozesse,<br />
Einsatzort (physisch),<br />
Einsatzbereich (fachlich),<br />
Klassifizierung der Daten <strong>und</strong> ggf. Hinweise auf besondere Schutzerfordernisse <strong>und</strong> -maßnahmen,<br />
Vorhandensein personenbezogener Daten.<br />
5. Personelle Sicherheit<br />
Nach der Bearbeitung von <strong>IT</strong>-Sicherheitsvorfällen, <strong>IT</strong>-Sicherheitsschwachstellen oder <strong>IT</strong>sicherheitsrelevanten<br />
Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere<br />
Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten <strong>und</strong> an die <strong>IT</strong>-Sicherheitsorganisation<br />
(siehe Anhang, Ziff. 4) zu melden.<br />
Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung<br />
kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern <strong>und</strong> den Umgang mit<br />
diesen Ereignissen zu verbessern.<br />
6. Physische <strong>und</strong> umgebungsbezogene Sicherheit<br />
Betriebsnotwendige <strong>IT</strong>-Systeme sind vor Stromausfall oder –schwankungen zu schützen (z. B. durch<br />
unterbrechungsfreie Stromversorgung, durch Notstromaggregat).<br />
Unmittelbar nach der Installation einer Daten- <strong>und</strong> Stromnetzkomponente sind vorhandene<br />
systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige<br />
Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können.<br />
Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit<br />
<strong>und</strong> Integrität von Daten gewährleistet ist.<br />
Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen<br />
nachhaltig zu löschen.<br />
Seite 4 von 14