87 lines
2.9 KiB
Markdown
87 lines
2.9 KiB
Markdown
---
|
||
tags:
|
||
- meeting
|
||
- upnote-import
|
||
date: 2025-11-06
|
||
---
|
||
|
||
# 2025-11-06 — internes Audit VIA
|
||
|
||
## ℹ️ Datum
|
||
|
||
## 👥 Teilnehmer
|
||
|
||
- Luca Epe
|
||
- Jonas Kümhof
|
||
-
|
||
|
||
## 📒 Thema
|
||
|
||
> <br>
|
||
|
||
## 📖 Notizen
|
||
|
||
### 2025-11-06 - KRAH
|
||
|
||
- Meldeadresse für Informationssicherheitsvorfälle der Kunden in SP Liste mit den Kundenanforderungen ergänzen
|
||
- prüfen, ob das in SAP hinterlegt werden sollte
|
||
- Anforderung 1.2.3
|
||
- Vorabkontrolle
|
||
- Ort des Repository - Code und Speicherort
|
||
- Vorlage gibt uns die VIA
|
||
- Access-Manager hat den Prozess nicht durchlaufen
|
||
- Reputation des Software-Dienstleisters - nachträglich durchlaufen lassen
|
||
- Verfahrensverzeichnis auf aktuellen Stand bringen
|
||
- Access-Manager und neues Datum
|
||
- Löschfrist für Videoüberwachung ergänzen „siehe Betriebsvereinbarung“
|
||
- WITEC entfernen
|
||
- inaktive User nach 2 Jahren löschen, definieren und umsetzen
|
||
- TISAX fordert die Löschung
|
||
- Todo
|
||
- Sicherheitsrichtlinie
|
||
- Zonenkonzept
|
||
- Benutzerrichtlinie
|
||
- Display-Schutz nicht auf Lager
|
||
- Ergänzung:
|
||
- verwendete Schlüsselstärken mit der Empfehlung des BSI abgleichen
|
||
- jährlich wiederkehrende Aufgabe anlegen
|
||
- [Nutzung kryptografisch... | WIKI KIT](https://wikiit.krah-gruppe.de/books/it-richtlinie/page/nutzung-kryptografischer-verfahren)
|
||
- mit Screenshots ergänzen
|
||
- Lebenszyklus - Jonas liefert ein Beispiel
|
||
- „Schlüsselhoheit liegt immer in der IT“ ergänzen
|
||
- 5.1.2: Netzwerkdienste
|
||
- Jonas liefert Text
|
||
- heutige Beschreibung über IT-Dienstleister nicht mehr ausreichend
|
||
- VPN, RDP, E-Mail - auflisten und beschreiben
|
||
- Härtung Server
|
||
- noch offen - tbd in Handbuch
|
||
- Termin im Team in Maßnahmen sammeln
|
||
- „Standardmaßnahmen“ + Maßnahmen pro Server
|
||
- CSOC kein 24/7 in Risikobewertung aufnehmen
|
||
- [Nutzung kryptografisch... | WIKI KIT](https://wikiit.krah-gruppe.de/books/it-richtlinie/page/nutzung-kryptografischer-verfahren)
|
||
- muss künftig zwingend für jedes streng vertrauliche Projekt aktiviert werden
|
||
- 5.2.7: NAC für TISAX künftig zwingend erforderlich → Authentifizierung von Netzwerkgeräten
|
||
- [x] sharing CIM-Database Dokumente mit extern Teilen klären
|
||
- [ ] Meldung Informationssicherheit → Ticket erzeugen
|
||
- [ ] Planung NAC Beschaffung
|
||
|
||
TODOs:
|
||
|
||
- internal Migration rückwärts terminieren
|
||
- wöchentliche Updates, Zusatztermin
|
||
- Sensibilisierung TISAX, alle müssen die Anforderungen lesen und verstehen
|
||
- NAC Projekt muss zum Audit gestartet sein
|
||
|
||
- diverse Themen aus der Begehung
|
||
- FMEA Zugriff, PC im Internet, Bereich
|
||
|
||
- [ ] Assetliste - secondary asset → Verantwortlichkeiten ergänzen
|
||
|
||
### 2025-11-06 - RESISTEC
|
||
|
||
- Festlegung Verantwortlichkeiten Kürzel, statt Namen verwenden
|
||
- LANdata kein AVV - gelöst mit Sophos AVV
|
||
- keine BV zum Home-Office vorhanden, Dokumente von RES übersetzen und separat prüfen
|
||
- festplatten nach ISO21964 vernichten
|
||
-
|