brain/03 Bereiche/Meetings/2025-11-06 internes Audit V...

2.9 KiB
Raw Blame History

tags date
meeting
upnote-import
2025-11-06

2025-11-06 — internes Audit VIA

Datum

👥 Teilnehmer

  • Luca Epe
  • Jonas Kümhof

📒 Thema


📖 Notizen

2025-11-06 - KRAH

  • Meldeadresse für Informationssicherheitsvorfälle der Kunden in SP Liste mit den Kundenanforderungen ergänzen
    • prüfen, ob das in SAP hinterlegt werden sollte
    • Anforderung 1.2.3
  • Vorabkontrolle
    • Ort des Repository - Code und Speicherort
    • Vorlage gibt uns die VIA
    • Access-Manager hat den Prozess nicht durchlaufen
    • Reputation des Software-Dienstleisters - nachträglich durchlaufen lassen
  •  Verfahrensverzeichnis auf aktuellen Stand bringen
    • Access-Manager und neues Datum
    • Löschfrist für Videoüberwachung ergänzen „siehe Betriebsvereinbarung“
    • WITEC entfernen
  • inaktive User nach 2 Jahren löschen, definieren und umsetzen
    • TISAX fordert die Löschung
  • Todo
    • Sicherheitsrichtlinie
    • Zonenkonzept
    • Benutzerrichtlinie
  • Display-Schutz nicht auf Lager
  • Ergänzung:
    • verwendete Schlüsselstärken mit der Empfehlung des BSI abgleichen
      • jährlich wiederkehrende Aufgabe anlegen
    • Nutzung kryptografisch... | WIKI KIT
      • mit Screenshots ergänzen
      • Lebenszyklus - Jonas liefert ein Beispiel
    • „Schlüsselhoheit liegt immer in der IT“ ergänzen
  • 5.1.2: Netzwerkdienste
    • Jonas liefert Text
    • heutige Beschreibung über IT-Dienstleister nicht mehr ausreichend
    • VPN, RDP, E-Mail - auflisten und beschreiben 
  • Härtung Server
    • noch offen - tbd in Handbuch
    • Termin im Team in Maßnahmen sammeln
    • „Standardmaßnahmen“ + Maßnahmen pro Server
  • CSOC kein 24/7 in Risikobewertung aufnehmen
  • Nutzung kryptografisch... | WIKI KIT
    • muss künftig zwingend für jedes streng vertrauliche Projekt aktiviert werden
  • 5.2.7: NAC für TISAX künftig zwingend erforderlich → Authentifizierung von Netzwerkgeräten
  • sharing CIM-Database Dokumente mit extern Teilen klären
  • Meldung Informationssicherheit → Ticket erzeugen
  • Planung NAC Beschaffung

TODOs:

  • internal Migration rückwärts terminieren 

  • wöchentliche Updates, Zusatztermin

  • Sensibilisierung TISAX, alle müssen die Anforderungen lesen und verstehen 

  • NAC Projekt muss zum Audit gestartet sein

  • diverse Themen aus der Begehung

    • FMEA Zugriff, PC im Internet, Bereich 
  • Assetliste - secondary asset → Verantwortlichkeiten ergänzen

2025-11-06 - RESISTEC

  • Festlegung Verantwortlichkeiten Kürzel, statt Namen verwenden
  • LANdata kein AVV - gelöst mit Sophos AVV
  • keine BV zum Home-Office vorhanden, Dokumente von RES übersetzen und separat prüfen
  • festplatten nach ISO21964 vernichten