~~TOC wide closed~~
~~CLOSETOC~~
{{page>include:free_version}}
[[{}10k_kommentiert:15:15.1|<-]][[{}10k_kommentiert:16:start|->]]
===== 15.2 Zusätzliche Maßnahmen für kritische IT-Systeme und Informationen =====
|< 100% 5% 40 55%>|
^ Ref ^ VdS 10000 ^ Kommentar |
| @yellow:Z1 | Alle Zugänge zu kritischen IT-Systemen sowie sämtliche Zugriffsrechte auf kritische Informationen MÜSSEN jährlich erfasst und daraufhin überprüft werden, ob sie gemäß der Verfahren aus Abschnitt 15.1 angelegt wurden und benötigt werden. | Die gewählte Formulierung macht es erforderlich, dass die zum Zeitpunkt der Implementation bestehenden Zugänge zu kritischen IT-Systemen und Zugriffsrechte auf kritische Informationen strukturiert erfasst und analysiert werden. |
| @yellow:Z2 | Nicht ordnungsgemäß angelegte Zugänge und Zugriffsrechte MÜSSEN als Sicherheitsvorfall (siehe Kapitel 18) behandelt werden. |
* Neben nicht ordnungsgemäß angelegten Zugängen und Zugriffsrechten zu kritischen IT-Systemen sowie nicht ordnungsgemäß angelegten Zugriffsrechten auf kritische Informationen muss der Verlust eines mobilen IT-Systems (siehe [[10k_kommentiert:10:10.4.3|Abschnitt 10.4.3]] G4) und Hinweise an Netzübergängen auf Schadsoftware in der IT-Infrastruktur der Organisation und Angriffe aus der IT-Infrastruktur der Organisation heraus (siehe [[10k_kommentiert:11:11.3|Abschnitt 11.3]] B1.3 als Sicherheitsvorfall behandelt werden.
* Darüb.r hinau. r.gt di. VdS 10000 an, Auffälligk.it.n zu d.fini.r.n, di. zur M.ldung .in.. pot.nti.ll.n Sich.rh.it.vorfall.. führ.n mü...n (.i.h. [[10k.komm.nti.rt:18:18.1|Ab.chnitt 18.1]] E1).
|
[[{}10k.komm.nt..rt:15:15.1|<-]][[{}10k.komm.nt..rt:16:.t.rt|->]]
{{page>include:free_version}}