Rahmenhandbuch Datenschutz & IT-Sicherheit - Br-arbeitskreis ...

Rahmenhandbuch Datenschutz & IT-SicherheitCheckliste IT-SicherheitSeite 1 von 2Diese Checkliste ist Bestandteil der Regelungsstruktur zum Einsatz der IT. Auf Grundlage der IT-Security-Policy ist sie ein wichtiger Bestandteil des IT-Sicherheits- und Datenschutzprozesses.Es ist gemeinsam mit dem IT-Sicherheitsbeauftragten und dem Datenschutzbeauftragten zu klären,inwieweit interne Regelungen zu beachten und ggf. neue Regelungen erforderlich sind. Auch istfestzulegen, ob aufgrund der Gesamtkonfiguration ein IT-Sicherheits- und Datenschutzkonzept (ggf.mit Risikoanalyse) zu erstellen ist.D:\Dokumente\SAP-NT-Konferenz Mannheim\Foren\Forum3\A 5 X-014-Checkliste-IT-Sicherheit-BV-IT.doc // 21.02.2008 // 30.11.2008 13:31Nr. Information Erläuterungen1 Titel der FachbereichsanwendungHierunter ist die eigentliche Fachaufgabe mit einemaussagekräftigen Titel gemeint (Beispiele:Kundendatenabrechnung, Internet am Arbeitsplatz,Geodateninformationssystem, AbrechnungOberflächenwasser, etc.). Hier ist nicht das verwendeteSoftware-Produkt zu nennen! Ggf. sollte dieser Namemit dem IT-Sicherheitsmanagement-Team erörtertwerden.2Kurzbeschreibung derWelche konkreten Aufgaben werden bearbeitet?Fachbereichsanwendung3Welchem Unternehmensprozess ist die Hierzu ist das Prozessmodell der XXX zu verwenden.Fachbereichsaufgabe zuzuordnen?4 KonfigurationszeichnungEine Konfigurationszeichnung soll schematisch allerelevanten Komponenten enthalten: DV-Netze,Switche, Server, Arbeitsplätze. Besonders wichtig sinddabei Kommunikationsverbindungen undSchnittstellen zu anderen IT-Systemen. DieseKonfigurationszeichnung ist Grundlage für eineganzheitliche Begutachtung und verbindlicherBestandteil der Betriebsdokumentation. Siehe auch:IT-Sicherheits-Standard:„Betriebsführungshandbücher“5Erfolgt die Datenablage auf einen Es reicht die Nennung Datenbank-Server und / oderDatenbankserver und / oder Fileserver? Fileserver.67Welche IT-Sicherheits- undDatenschutzklassifizierung ist aus Sichtder Fachbereiche für dieseFachbereichsanwendung erforderlich?Welche Unternehmensdaten(Gruppierungsname) werden verarbeitetund wer ist festgelegterDateneigentümer?Die Dringlichkeit sowie die Klassifizierung derFachaufgabe ist für die Grundwerte‣ Verfügbarkeit‣ Integrität‣ Vertraulichkeitjeweils getrennt zu bewerten. Wenn mehrereFachbereiche betroffen sind, so wird jeweils diehöchste Nennung für die einzelnen Grundwerteherangezogen. (Siehe: IT-Sicherheits- undDatenschutzklassifizierung)Gruppierungen von Unternehmensdaten können z.B.sein: Kundendaten, Geoinformationsdaten,Stromnetzdaten, usw.Dateneigentümer: Wer zeichnet intern für die im

Rahmenhandbuch Datenschutz & IT-SicherheitCheckliste IT-SicherheitSeite 2 von 2D:\Dokumente\SAP-NT-Konferenz Mannheim\Foren\Forum3\A 5 X-014-Checkliste-IT-Sicherheit-BV-IT.doc // 21.02.2008 // 30.11.2008 13:31891011Zurück zur HilfeWer ist IT-Treuhänder der betriebenenIT-Systeme?TelemediendiensteWerden über die IT-Systeme logischeKommunikationsverbindungen über dasInternet aufgebaut(eingehend/ausgehend)?Werden physischeKommunikationsverbindungen(Analog/Digital) über einzelne PC-Arbeitsplätze oder Server für spezielleAufgabenstellungen (Fernwartung, etc.)erforderlich?Werden Beschäftigte oder Dritte (überKommunikationsverbindungen (Internet,Festnetzeinwahl, funkbasiert -) vonExtern mit dieser Anwendung produktivarbeiten?Verfahren betroffenen Unternehmensdatenverantwortlich? Siehe: Rollenbeschreibung„Dateneigentümer“ in der Informations-Börse IT-Sicherheit & DatenschutzTreuhänder: Welcher IT-Betreiber betreibt die hierrelevanten IT-Systeme. Siehe auch:Rollenbeschreibung „IT-Treuhänder“ in derInformations-Börse IT-Sicherheit & Datenschutz.Wenn ja, welche Protokolle / Ports sind erforderlich.Sind Sicherungsmaßnahmen vorgesehen? Dielogischen Kommunikationsverbindungen sind in dieKonfigurationszeichnung aufzunehmen. Die Angabendienen u. a. für die Konfiguration des zentralenInternetzugangs.Wenn ja, dann bitte konzeptionell darstellen. DasKonzept muss die konkreten technischen Merkmaleenthalten (Einwahl-Telefonnummer, Einwahl-Partner,Ansprechpartner, vorgesehene technischeKomponenten, Sicherungsmaßnahmen, etc.) Diephysischen Kommunikationsverbindungen sindschematisch in die Konfigurationszeichnung (siehe Nr.4) aufzunehmen. Für eine Fernwartung mit einemAnbieter ist eine Vertraulichkeitserklärung und eineNebenabrede zum Wartungsvertrag zu vereinbaren.Ein Muster finden Sie in der Informations-Börse "IT-Sicherheit & Datenschutz".!!! Die Konfigurationszeichnung !!!„Telekommunikations- und Online-Dienste“ istanzupassen. Diese wird durch den IT-Sicherheitsbeauftragten vorgehalten.Wenn ja, dann bitte die konkrete Zugangsart (Untern.-Standard) beschreiben (Z.B. VPN-Internet, Einwahlper Analog/Digital). Die Darstellung muss die für denRemote-Zugriff verwendeten Komponenten (PC,Netzwerk, Einwahl-Telefon-Nr., etc.) und ggf.erforderliche Sicherheitsmechanismen enthalten. DieseKommunikationsverbindungen sind in dieKonfigurationszeichnung aufzunehmen.