Seitenleiste

Ihr Inhalt

6 Richtlinien zur Informationssicherheit (IS-Richtlinien)

6.1 Allgemeine Anforderungen

VdS 10000
M1 Jede IS-Richtlinie Richtlinie zur Informationssicherheit; siehe Kapitel 6. MUSS vom ISB unter Mitarbeit des IST erstellt und vom Topmanagement Oberste Führungsebene, wie z. B. Vorstände, Geschäftsführer oder Behördenleiter. in Kraft gesetzt werden.
M2 Der ISB MUSS jede IS-Richtlinie jährlich auf Aktualität prüfen und ggf. aktualisieren.
E1 Bei der Erstellung und Anpassung von IS-Richtlinien SOLLTEN alle gesetzlichen, behördlichen und vertraglichen Anforderungen ermittelt und entsprechend umgesetzt werden.
M3 Die IS-Richtlinien MÜSSEN nach jeder Aktualisierung den Zielgruppen zeitnah bekannt gegeben werden.
M4 Dies MUSS in einer für die Zielgruppe zugänglichen und verständlichen Form geschehen, bspw. im Zuge einer Schulung.
M5 IS-Richtlinien MÜSSEN umgesetzt oder vom Topmanagement aufgehoben werden.

6.2 Inhalte

VdS 10000
M1 Jede IS-Richtlinie MUSS folgende Anforderungen erfüllen:
M1.1 1. Sie enthält, für wen sie verbindlich ist (Zielgruppe).
M1.2 2. Sie begründet, warum sie erstellt wurde und legt fest, was mit ihr erreicht werden soll.
M1.3 3. Sie verstößt nicht gegen Leitlinien oder andere Richtlinien.
M1.4 4. Sie weist auf die Konsequenzen ihrer Nichtbeachtung hin.
E1 IS-Richtlinien KÖNNEN begründete Ausnahmen ermöglichen, sofern diese im Vorfeld genehmigt und dokumentiert werden.
E2 IS-Richtlinien KÖNNEN auf weitere mitgeltende Unterlagen verweisen.

6.3 Regelungen für Nutzer

VdS 10000
M1 Es MÜSSEN Regelungen für den Umgang mit der IT getroffen werden, die in ihrer Gesamtheit für alle Nutzer (inkl. aller Führungsebenen) sowie für die gesamte IT verbindlich sind:
M1.1 1. Generelle Nutzungsbedingungen
M1.1.a a. Das unrechtmäßige Abrufen oder Verbreiten von urheberrechtlich geschützten Inhalten wird untersagt.
M1.1.b b. Das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten wird untersagt.
M1.2 2. Privatnutzung
M1.2.a a. Es wird definiert, ob die private Nutzung der IT erlaubt ist.
M1.2.b b. Wenn die private Nutzung der IT erlaubt ist, so wird sie im Sinne der Organisation ausgestaltet.
M1.3 3. Grundlegende Verhaltensregeln
M1.3.a a. Es wird nur freigegebene Hard- und Software in der IT-Infrastruktur Alle langlebigen Einrichtungen materieller und institutioneller Art für den Betrieb von Anwendungssoftware. installiert, genutzt oder betrieben.
M1.3.b b. Es wird untersagt, eigenmächtig Netzübergänge (wie z. B. Zugänge zum Internet, Fernwartungszugänge oder VPN-Verbindungen) zu installieren; es werden ausschließlich die von der Organisation bereitgestellten Netzübergänge genutzt.
M1.3.c c. Die in der IT-Infrastruktur installierten Sicherheitseinrichtungen werden nicht eigenmächtig deinstalliert, deaktiviert oder in ihrer Konfiguration verändert bzw. mutwillig umgangen.
M1.3.d d. Authentifizierungsmerkmale werden nicht weitergegeben.
M1.4 4. Umgang mit den Informationen der Organisation
M1.4.a a. Informationen der Organisation werden nicht eigenmächtig verschlüsselt oder vor lesendem Zugriff Datenaustausch zwischen einer zugreifender Instanz und einem IT-System. geschützt; hierfür werden die von der Organisation explizit freigegebenen technischen Verfahren Festgelegte Art und Weise, wie ein Prozess (oder auch eine einzelne Tätigkeit innerhalb eines Prozesses) auszuführen ist. genutzt.
M1.5 5. Informationsfluss bei Abwesenheit
M1.5.a a. Es wird geregelt, ob neu eintreffende Nachrichten für einen abwesenden Nutzer weitergeleitet werden.
M1.5.b b. Es wird geregelt, ob und wann auf den Datenbestand eines Abwesenden zugegriffen werden darf.
M1.6 6. Missbrauchskontrolle
M1.6.a a. Es werden Mechanismen zur Missbrauchskontrolle definiert und den Betroffenen mitgeteilt.
E1 Bei der Umsetzung von Überwachungs- und Protokollierungsmaßnahmen SOLLTEN die gesetzlichen Vorgaben, insbesondere die des Datenschutzes, beachtet werden.
M2 Ausnahmen MÜSSEN vom ISB genehmigt werden.

6.4 Weitere Regelungen

VdS 10000
M1 Im Rahmen dieser VdS-Richtlinien MÜSSEN ggf. weitere themenspezifische IS-Richtlinien erarbeitet werden:
M1.1 1. Mobile IT-Systeme (siehe Abschnitt 10.4)
M1.2 2. Mobile Datenträger (siehe Abschnitt 12.1)
M1.3 3. IT-Outsourcing Auslagerung von IT-Aufgaben an rechtlich unabhängige Anbieter. und Cloud Computing Technologie, die es erlaubt über ein Netz auf einen geteilten Pool von konfigurierbaren IT-Ressourcen zuzugreifen. (siehe Abschnitt 14.1)
M1.4 4. Datensicherung (siehe Abschnitt 16.1)
M1.5 5. Störungen und Ausfälle (siehe Abschnitt 17.1)
M1.6 6. Sicherheitsvorfälle (siehe Abschnitt 18.1)
M2 Der Bedarf für weitere IS-Richtlinien MUSS jährlich vom ISB ermittelt werden.
Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
10000/06.txt · Zuletzt geändert: 06.02.2019 22:32 von Mark Semmler, 3473 Gurus GbR

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.