Kernaussagen

A- A A+

Die Bedeutung der Informationssicherheit und des Datenschutzes nimmt zu, weil  immer mehr Informationen und Daten elektronisch verarbeitet werden. Ausfall, Beschädigung, Missbrauch oder Verlust von IT-Anlagen und elektronischen Daten verursachen Kosten und stellen ein Betriebs- und Gebarungsrisiko dar, das abgesichert werden muss. Dafür gelten auf der Grundlage von Völker- und Europarecht spezifische bundes- und landesgesetzliche Vorschriften, Normen und Standards, wie insbesondere das Datenschutzgesetz 2000.

 

Die Unternehmensleitung soll eine unternehmensweite Sicherheitspolitik entwickeln und für verbindlich erklären. Die Sicherheitspolitik für die Informations- und Kommunikationstechnologie ist auf die Gesamtpolitik der Unternehmung abzustimmen.

Das Risiko der Informationstechnologie deckt nur einen Bereich des Gesamtrisikos ab. Daher ist eine Risikoanalyse für die Informationstechnologie zu erstellen und  in eine, alle Bereiche umfassende Risikoanalyse als Grundlage für die  unternehmensweite Sicherheitspolitik einzubetten.

Beim Bauen ist darauf zu achten, dass Serverräume separat abgesichert sind. Flüssigkeits- oder gasführende Leitungen dürfen nicht in Serverräumen enden oder durch diese durchgeführt werden.

Um im Notfall eine funktionierende Infrastruktur zu haben, muss deren Einsatzbereitschaft durch Übungen und Tests in regelmäßigen Abständen überprüft werden.

Für die Absicherung der Server- und Verteilerräume gegen unbefugten Zutritt sind einheitliche Standards zu definieren. Der Zutritt von nicht berechtigten Personen zu den Serverräumen ist nur im Beisein eines Zutrittsberechtigten gestattet und auf jeden Fall in einem Besucherbuch zu dokumentieren.

Anlagen von eingemieteten Firmen, die auch außerhalb der Amtsstunden betreut werden müssen, sind in einem eigenen Raum unterzubringen.

Sicherungsmedien dürfen nicht in Serverräumen aufbewahrt werden, sondern sind in einem feuerfesten Schrank in einem anderen Brandabschnitt aufzubewahren. Ist dies aus der räumlichen Situation nicht möglich, so ist eine externe Aufbewahrungslösung zu erarbeiten.

Auf die Aktualität der definierten Benutzer und deren Rechte in Anwendungen und Systemen ist besonders zu achten, weil andernfalls Sicherheitslücken entstehen. Die Einhaltung der geltenden Vorschriften ist stichprobenweise zu überprüfen.

E-Mail Zugänge sind nur im Zusammenhang mit persönlichem Benutzer- bzw. Usernamen und Passwort zu vergeben. E-Mail Zugänge bei Gruppenusern sind zu deaktivieren.

Passwörter sind in regelmäßigen Abständen zu ändern. Die Authentifizierung der Benutzer bzw. User bei der Anmeldung an Systeme und Anwendungen sollte auf Single-Sign-On (Einmal Authentifizierung) umgestellt werden. Diese Anforderung sollte bei der Beschaffung von Software berücksichtigt werden.

CAF-Guetesiegel Website

Europäisches Qulifitätszertifikat
Der CAF (Common Assessment Framework) ist das für den öffentlichen Sektor entwickelte Qualitätsbewertungs - und Qualtätsmanagementsystem der Euopäischen Union.