ISMS -Datenschutz / Sachstand und weiteres Vorgehen
Daten angezeigt aus Sitzung: Sitzung der Gemeinschaftsversammlung, 02.10.2019
Beratungsreihenfolge
| Gremium | Sitzung | Sitzungsdatum | ö / nö | Beratungstyp | TOP-Nr. |
|---|---|---|---|---|---|
| Gemeinschaftsversammlung (VG Maitenbeth) | Sitzung der Gemeinschaftsversammlung | 02.10.2019 | ö | beschließend | 6 |
Sachverhalt
Verbunden mit definierten wiederkehrenden Prozessen und einer ständigen Überprüfung und Aktualisierung der selbigen erhält man ein Informationssicherheitsmanagement-system.
1. Formular- und Vorlagen-Server
2. Patchmanagementsystem
Durch die Windows Server Update Services, kurz WSUS genannt, die fester Bestandteil bei jedem Windows Netzwerk sein sollten, ist bei korrekter Einrichtung sichergestellt, dass automatisch alle Server und Clients mit den notwendigen und aktuellsten Microsoft Patches und Servicepacks versorgt werden.
Produkte anderer Hersteller, wie Adobe, Java, Flash, Mozilla, usw. stellen jedoch eine große Herausforderung dar, weil diese nicht so einfach automatisch aktuell gehalten werden können. Durch ein Patchmanagement lassen sich jedoch auch alle diese Produkte in den WSUS und damit in die automatische Verteilung integrieren. Die regelmäßige und dokumentierte Aktualisierung aller eingesetzter Standard- und Allgemeinsoftwareprodukte ist ein wichtiger Baustein in einem ISMS.
3. Ticketsystem für den Administrator
Es wird verlangt, dass die Tätigkeiten und Handlungen des Administrators elektronisch erfasst und nachgewiesen werden können. Um dies zu gewährleisten, kann der Administrator diverse Vorgänge im Ticketsystem anlegen und damit der elektronischen Erfassung nachkommen. So sollten zum Beispiel spezielle Problemfälle der Mitarbeiter, die außergewöhnlich sind oder immer wieder auftreten könnten, dort erfasst und dokumentiert werden. Dadurch kann sich der Administrator eine eigene, auf sein System abgestimmte Knowledgebase aufbauen. Ebenso sollte im Ticketsystem der Austausch und die Neuinstallation von Workstations erfasst werden. Wichtig ist auch der Nachweis über den Verbleib bzw. die Vernichtung von ausgemusterten Festplatten aus Servern, Workstations, Notebooks, Druckern und Netzwerkkopierern. Das selbige gilt für mobile Datenträger wie CDs, DVDs, USB Festplatten und USB Sticks, soweit auf diesen entsprechend schutzwürdige Daten gespeichert wurden.
4. Komponente, Docusnap
Neben der Inventarisierung der Hard- und Software in einem Netzwerk können mittels Docusnap sämtliche Berichte generiert werden, die für ein ISMS notwendig sind. Dazu gehören eine ausführliche Berechtigungsanalyse, ein Netzwerkplan, die AD Struktur, eine Exchange- und MS SQL Datenbankanalyse und viele weitere. Auch hat Docusnap ein einfaches Lizenzmanagement integriert. Diese vielen Einzelberichte mit Änderungshistorie können regelmäßig und automatisch generiert, zusammengefasst und in ein Betriebshandbuch eingebunden werden.
5. Datenschutz Assistent
Die Software beinhaltet die Rechtsgrundlagen vom BayDSG und ISA+. ISA+ steht für Informationssicherheitsanalyse und stellt den Einstieg in ein ISMS dar. Das Produkt ist sofort, ohne tiefere IT- oder juristische Kenntnisse anwendbar. Durch die Beantwortung von einfachen Fragen wird der IST-Zustand zur Informationssicherheit ermittelt, dokumentiert und notwendige Maßnahmen generiert. Die Um-setzung der Maßnahmen und der Fortschritt kann mit der Software veranschaulicht werden. Die notwendige Dokumentation für das ISMS entsteht im Bearbeitungsprozess, ist nachhaltig, revisionssicher und wieder verwendbar. Bei Bedarf kann ein externer Berater hinzugezogen und eine Zertifizierung erlangt werden.
Aus allen gewonnenen Informationen der oben genannten fünf Komponenten kann ein Notfallhandbuch entstehen, dessen Vorlage wir pflegen, bei Bedarf erweitern und soweit als möglich automatisch generieren lassen.
Beschluss
Abstimmungsergebnis
Dafür: 0, Dagegen: 0