2.9 KiB
2.9 KiB
| tags | date | ||
|---|---|---|---|
|
2025-11-06 |
2025-11-06 — internes Audit VIA
ℹ️ Datum
👥 Teilnehmer
- Luca Epe
- Jonas Kümhof
📒 Thema
📖 Notizen
2025-11-06 - KRAH
- Meldeadresse für Informationssicherheitsvorfälle der Kunden in SP Liste mit den Kundenanforderungen ergänzen
- prüfen, ob das in SAP hinterlegt werden sollte
- Anforderung 1.2.3
- Vorabkontrolle
- Ort des Repository - Code und Speicherort
- Vorlage gibt uns die VIA
- Access-Manager hat den Prozess nicht durchlaufen
- Reputation des Software-Dienstleisters - nachträglich durchlaufen lassen
- Verfahrensverzeichnis auf aktuellen Stand bringen
- Access-Manager und neues Datum
- Löschfrist für Videoüberwachung ergänzen „siehe Betriebsvereinbarung“
- WITEC entfernen
- inaktive User nach 2 Jahren löschen, definieren und umsetzen
- TISAX fordert die Löschung
- Todo
- Sicherheitsrichtlinie
- Zonenkonzept
- Benutzerrichtlinie
- Display-Schutz nicht auf Lager
- Ergänzung:
- verwendete Schlüsselstärken mit der Empfehlung des BSI abgleichen
- jährlich wiederkehrende Aufgabe anlegen
- Nutzung kryptografisch... | WIKI KIT
- mit Screenshots ergänzen
- Lebenszyklus - Jonas liefert ein Beispiel
- „Schlüsselhoheit liegt immer in der IT“ ergänzen
- verwendete Schlüsselstärken mit der Empfehlung des BSI abgleichen
- 5.1.2: Netzwerkdienste
- Jonas liefert Text
- heutige Beschreibung über IT-Dienstleister nicht mehr ausreichend
- VPN, RDP, E-Mail - auflisten und beschreiben
- Härtung Server
- noch offen - tbd in Handbuch
- Termin im Team in Maßnahmen sammeln
- „Standardmaßnahmen“ + Maßnahmen pro Server
- CSOC kein 24/7 in Risikobewertung aufnehmen
- Nutzung kryptografisch... | WIKI KIT
- muss künftig zwingend für jedes streng vertrauliche Projekt aktiviert werden
- 5.2.7: NAC für TISAX künftig zwingend erforderlich → Authentifizierung von Netzwerkgeräten
- sharing CIM-Database Dokumente mit extern Teilen klären
- Meldung Informationssicherheit → Ticket erzeugen
- Planung NAC Beschaffung
TODOs:
-
internal Migration rückwärts terminieren
-
wöchentliche Updates, Zusatztermin
-
Sensibilisierung TISAX, alle müssen die Anforderungen lesen und verstehen
-
NAC Projekt muss zum Audit gestartet sein
-
diverse Themen aus der Begehung
- FMEA Zugriff, PC im Internet, Bereich
-
Assetliste - secondary asset → Verantwortlichkeiten ergänzen
2025-11-06 - RESISTEC
- Festlegung Verantwortlichkeiten Kürzel, statt Namen verwenden
- LANdata kein AVV - gelöst mit Sophos AVV
- keine BV zum Home-Office vorhanden, Dokumente von RES übersetzen und separat prüfen
- festplatten nach ISO21964 vernichten