Benutzer-Werkzeuge
Webseiten-Werkzeuge
Seitenleiste
10000:06
Inhaltsverzeichnis
6 Richtlinien zur Informationssicherheit (IS-Richtlinien)
| VdS 10000 | |
|---|---|
| T1 | Zur Unterstützung und Konkretisierung der IS-Leitlinie ist es notwendig, weitere Regelungen für die Informationssicherheit zu verabschieden und in einzelnen Dokumenten, den IS-Richtlinien, zu sammeln. |
6.1 Allgemeine Anforderungen
| VdS 10000 | |
|---|---|
| G1 | Jede IS-Richtlinie MUSS vom ISB unter Mitarbeit des IST erstellt und vom Topmanagement in Kraft gesetzt werden. |
| G2 | Der ISB MUSS jede IS-Richtlinie jährlich auf Aktualität prüfen und ggf. aktualisieren. |
| E1 | Bei der Erstellung und Anpassung von IS-Richtlinien SOLLTEN alle gesetzlichen, behördlichen und vertraglichen Anforderungen ermittelt und entsprechend umgesetzt werden. |
| G3 | Die IS-Richtlinien MÜSSEN nach jeder Aktualisierung den Zielgruppen zeitnah bekannt gegeben werden. |
| G4 | Dies MUSS in einer für die Zielgruppe zugänglichen und verständlichen Form geschehen, bspw. im Zuge einer Schulung. |
| G5 | IS-Richtlinien MÜSSEN umgesetzt oder vom Topmanagement aufgehoben werden. |
6.2 Inhalte
| VdS 10000 | |
|---|---|
| G1 | Jede IS-Richtlinie MUSS folgende Anforderungen erfüllen: |
| G1.1 | 1. Sie enthält, für wen sie verbindlich ist (Zielgruppe). |
| G1.2 | 2. Sie begründet, warum sie erstellt wurde und legt fest, was mit ihr erreicht werden soll. |
| G1.3 | 3. Sie verstößt nicht gegen Leitlinien oder andere Richtlinien. |
| G1.4 | 4. Sie weist auf die Konsequenzen ihrer Nichtbeachtung hin. |
| E1 | IS-Richtlinien KÖNNEN begründete Ausnahmen ermöglichen, sofern diese im Vorfeld genehmigt und dokumentiert werden. |
| E2 | IS-Richtlinien KÖNNEN auf weitere mitgeltende Unterlagen verweisen. |
6.3 Regelungen für Nutzer
| VdS 10000 | |
|---|---|
| G1 | Es MÜSSEN Regelungen für den Umgang mit der IT getroffen werden, die in ihrer Gesamtheit für alle Nutzer (inkl. aller Führungsebenen) sowie für die gesamte IT verbindlich sind: |
| G1.1 | 1. Generelle Nutzungsbedingungen |
| G1.1.a | a. Das unrechtmäßige Abrufen oder Verbreiten von urheberrechtlich geschützten Inhalten wird untersagt. |
| G1.1.b | b. Das Abrufen oder Verbreiten von strafrechtlich relevanten oder sittenwidrigen Inhalten wird untersagt. |
| G1.2 | 2. Privatnutzung |
| G1.2.a | a. Es wird definiert, ob die private Nutzung der IT erlaubt ist. |
| G1.2.b | b. Wenn die private Nutzung der IT erlaubt ist, so wird sie im Sinne der Organisation ausgestaltet. |
| G1.3 | 3. Grundlegende Verhaltensregeln |
| G1.3.a | a. Es wird nur freigegebene Hard- und Software in der IT-Infrastruktur installiert, genutzt oder betrieben. |
| G1.3.b | b. Es wird untersagt, eigenmächtig Netzübergänge (wie z. B. Zugänge zum Internet, Fernwartungszugänge oder VPN-Verbindungen) zu installieren; es werden ausschließlich die von der Organisation bereitgestellten Netzübergänge genutzt. |
| G1.3.c | c. Die in der IT-Infrastruktur installierten Sicherheitseinrichtungen werden nicht eigenmächtig deinstalliert, deaktiviert oder in ihrer Konfiguration verändert bzw. mutwillig umgangen. |
| G1.3.d | d. Authentifizierungsmerkmale werden nicht weitergegeben. |
| G1.4 | 4. Umgang mit den Informationen der Organisation |
| G1.4.a | a. Informationen der Organisation werden nicht eigenmächtig verschlüsselt oder vor lesendem Zugriff geschützt; hierfür werden die von der Organisation explizit freigegebenen technischen Verfahren genutzt. |
| G1.5 | 5. Informationsfluss bei Abwesenheit |
| G1.5.a | a. Es wird geregelt, ob neu eintreffende Nachrichten für einen abwesenden Nutzer weitergeleitet werden. |
| G1.5.b | b. Es wird geregelt, ob und wann auf den Datenbestand eines Abwesenden zugegriffen werden darf. |
| G1.6 | 6. Missbrauchskontrolle |
| G1.6.a | a. Es werden Mechanismen zur Missbrauchskontrolle definiert und den Betroffenen mitgeteilt. |
| E1 | Bei der Umsetzung von Überwachungs- und Protokollierungsmaßnahmen SOLLTEN die gesetzlichen Vorgaben, insbesondere die des Datenschutzes, beachtet werden. |
| G2 | Ausnahmen MÜSSEN vom ISB genehmigt werden. |
6.4 Weitere Regelungen
| VdS 10000 | |
|---|---|
| G1 | Im Rahmen dieser VdS-Richtlinien MÜSSEN ggf. weitere themenspezifische IS-Richtlinien erarbeitet werden: |
| G1.1 | 1. Mobile IT-Systeme (siehe Abschnitt 10.4) |
| G1.2 | 2. Mobile Datenträger (siehe Abschnitt 12.1) |
| G1.3 | 3. IT-Outsourcing und Cloud Computing (siehe Abschnitt 14.1) |
| G1.4 | 4. Datensicherung (siehe Abschnitt 16.1) |
| G1.5 | 5. Störungen und Ausfälle (siehe Abschnitt 17.1) |
| G1.6 | 6. Sicherheitsvorfälle (siehe Abschnitt 18.1) |
| G2 | Der Bedarf für weitere IS-Richtlinien MUSS jährlich vom ISB ermittelt werden. |
10000/06.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)
