[logseq-plugin-git:commit] 2023-06-01T16:15:40.553Z
This commit is contained in:
Christian Kauer
parent
6b23073a6e
commit
33924bda12
Binary file not shown.
|
After Width: | Height: | Size: 170 KiB |
Binary file not shown.
|
After Width: | Height: | Size: 1004 KiB |
|
|
@ -1,11 +1,12 @@
|
||||||
## Journal
|
## Journal
|
||||||
|
collapsed:: true
|
||||||
-
|
-
|
||||||
## Notizen Arbeit
|
## Notizen Arbeit
|
||||||
- ### [[Meeting]]: TISAX
|
- ### [[Meeting]]: TISAX
|
||||||
type:: [[Meeting]]
|
type:: [[Meeting]]
|
||||||
icon:: 📅
|
icon:: 📅
|
||||||
team:: todo
|
team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]]
|
||||||
projekt::
|
projekt:: [[%P TISAX Einführung KRA & RES]]
|
||||||
datum:: [[2023-06-01]]
|
datum:: [[2023-06-01]]
|
||||||
uhrzeit:: [[08:17]]
|
uhrzeit:: [[08:17]]
|
||||||
- #### Notizen
|
- #### Notizen
|
||||||
|
|
@ -13,7 +14,136 @@
|
||||||
- Geheimhaltungsvereinbarung unter 2.1.1 verlinken
|
- Geheimhaltungsvereinbarung unter 2.1.1 verlinken
|
||||||
- "Kapitel Umgang mit vertraulichen Daten"
|
- "Kapitel Umgang mit vertraulichen Daten"
|
||||||
- schaffung neuer Stelle -> wie stellen wir das sicher?
|
- schaffung neuer Stelle -> wie stellen wir das sicher?
|
||||||
- #abweichung: Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern"
|
- ✅Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern"
|
||||||
-
|
- 2.1.2 - ✅Onboarding-Schulungsdokument verlinken
|
||||||
|
- wie ist sichergrstellt, dass das für jeden neuen Mitarbeiter gilt -> LMS -> Curiccula
|
||||||
|
- ✅Report über gehaltene Schulungen - muss über 90% liegen - Teresa bereitet Report für das Audit vor
|
||||||
|
- 2.1.3: - Verweis auf Kapitel Schulung in ISMS-Richtlinie
|
||||||
|
- 2.1.4:
|
||||||
|
- ✅Life-Cycle mobiler Geräte / nachweisen
|
||||||
|
- Owner des Gerätes muss unabhängig vom automatischen User nachweisbar sein
|
||||||
|
- Prozess -> Notebook wird zurück gegeben -> Owner auf "Pool-Gerät" einstellen
|
||||||
|
- ✅Notebook wird rausgeben -> Owner aktualisieren
|
||||||
|
- {:height 713, :width 542}
|
||||||
|
- #### 1.2.1
|
||||||
|
- ✅Management-Review um Informationssicherheit ergänzen
|
||||||
|
- Schulungsquote
|
||||||
|
- Anzahl Sicherheitsvorfälle
|
||||||
|
- siehe Vorlagen Kennzahlen von VIA
|
||||||
|
- Ziele für das Jahr
|
||||||
|
- wie aktuell die Zertifizierung
|
||||||
|
- ggf. geplante größere Investitionen
|
||||||
|
- neuer VDA Fragebogen
|
||||||
|
- Nachtrag für dieses Jahr erstellen
|
||||||
|
- weitere Top 5 Kennzahlen? Welche sind das?
|
||||||
|
- Idee: Informationssicherheit wie den IT-Berich separat führen -> Wer macht das?
|
||||||
|
- ✅Scope-Nummer und Assessment-Level rin "Erklärung zur Informationssicherheit" ergänzen
|
||||||
|
- Überwachung des ISMS - PDCA Zyklus
|
||||||
|
- Verweis auf Unternehmensregelkreis / KVP
|
||||||
|
- ✅"Auditprozesse" um Swimlange TISAX ergänzen
|
||||||
|
- Auditplan verlinken
|
||||||
|
- ✅Link Auditplan ergänzen
|
||||||
|
- Link zur OPL Excel "Auditplan"
|
||||||
|
- ✅Internes Audit TISAX um "VIA Consult" ergänzen
|
||||||
|
- Asset-Bewertung um "Projekt intern" / "Porojekt Vertrtaulich ergänzen"
|
||||||
|
- #### 1.2.2
|
||||||
|
-
|
||||||
|
- 1.2.3:
|
||||||
|
- ✅Hier fehlt eine Beschreibung, was gemacht wird, was das Ergebnis ist, und wie ein Projekt am Ende Klassifiziert wurde. Ein Beispiel sollten wir zeigen können.
|
||||||
|
- [F06_1_95.xlsx (sharepoint.com)](https://krahgruppe.sharepoint.com/:x:/r/doc/_layouts/15/Doc.aspx?sourcedoc=%7B4773be0b-e7db-4017-b52d-137980bc13b5%7D&action=default&mobileredirect=true)
|
||||||
|
- ✅Ist im Prozess Projektmanangement das Formualr F06... eingebunden?
|
||||||
|
- ✅ https://krahprocess.azurewebsites.net/?id=7169
|
||||||
|
- ergänzen um Beschreibung, z.B. beim Projektstart ergänzen, dass APQP Projekt
|
||||||
|
- mindestens intern oder vertraulich abfragen
|
||||||
|
- was ist die Unterscheidung zwischen interenen und vertraulichen Projekten?
|
||||||
|
- Mandantentrennung
|
||||||
|
- 1.2.4
|
||||||
|
- ✅Liste Cloud Dienstleister - Metadaten der EK-Liste erweitern
|
||||||
|
- Filter Cloud-Dienstleister
|
||||||
|
- Filter IT-Dienstleister
|
||||||
|
- SLA
|
||||||
|
- hat Vertrauliche Daten? - Kritische Punkte der Dienstleister "Verfügbarkeit"
|
||||||
|
- #### 1.4.1
|
||||||
|
- ✅Beschreibung der FMEA RPZs fehlt - QMV 08-14
|
||||||
|
- #### 1.5.2:
|
||||||
|
- Wartung Serverraum, Wartung Brandmeldeanlagen
|
||||||
|
- Pentest in Planung
|
||||||
|
- ✅Nejc erstellt Konzept / OnPager
|
||||||
|
- BitSight Report als Nachweis
|
||||||
|
- Notfallplan / Notfallübung -> USV Überprüfung
|
||||||
|
- Notfallübungen aus Arbeitssicherheit
|
||||||
|
- Brandschutzübungen
|
||||||
|
- Elektrische Prüfungen
|
||||||
|
- #### 4.1.1:
|
||||||
|
- ✅ Änderungsprozess mit Freigabe erforderloich, wenn Token erweitert wird
|
||||||
|
- Was unterschreibt der User bei Aushändigung?
|
||||||
|
- ✅Prozess Verlust von Token/Chip nicht beschrieben
|
||||||
|
- RES im Bebäude nur Schlüssel
|
||||||
|
- ✅Prozess fehlt
|
||||||
|
- ✅Formular für Änderungen bei Zutritten fehlt - heute nur im Onboarding enthalten
|
||||||
|
- Wer gibt welche Zutritte / Räume frei? / kein Freigabeprozess
|
||||||
|
- ✅Zutrittsberechtigungen Entziehen - Prozess fehlt (bezogen auf Zutritte)
|
||||||
|
- ✅Onboarding (im Fall von Stellenwechsel) um Entzug von Rechten ergänzen
|
||||||
|
- #### 4.1.2
|
||||||
|
- Admin-Rechte nicht nachweisbar
|
||||||
|
- ✅Liste der berechtigten Admis ergänzen
|
||||||
|
- Umgang mit Sammelaccounts nicht darstellbar
|
||||||
|
- Rechner ohne Internet, abgekündigte PCs
|
||||||
|
- 4.1.3
|
||||||
|
- ✅personalisierte Benutzerkonten -> nicht beschrieben, außerdem sind bei uns auch Sammelkonten im Einsatz
|
||||||
|
- ✅Prozessbeschreibung fehlt - wie werden Berechtigungen wieder entzogen?
|
||||||
|
- Beim Austritt teilweise über SAP-synchronisation
|
||||||
|
- nicht darstellbar für SAP, Teams und viele weitere Systeme
|
||||||
|
- Überprüfung Benutzerkonten nicht vorweisbar
|
||||||
|
- viele weitere Mängel in diesem Punkt
|
||||||
|
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
|
||||||
|
- #### 4.2.1
|
||||||
|
- Prozess Rechtevergabe in viFlow beschrieben
|
||||||
|
- ✅Rechte Entziehen - Prozess fehlt (bezogen auf Software-Rechte) (siehe 4.1.1) -> Hinweis auch in Onboarding/Stellenwechsel ergänzen
|
||||||
|
- Es ist nicht überprüftbar wer ab wann welche Rechte hat
|
||||||
|
- Totalausfall auch in diesem Punkt
|
||||||
|
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
|
||||||
|
- 5.1.1
|
||||||
|
- ✅Liste aller im Einsatz befindlicher Verschlüsselungssystmeme ins ISMS-Richtlinie ergänzen
|
||||||
|
ISME am Ende - Auflistung der Testsysteme ergänzen
|
||||||
|
- ✅Testsysteme Ggf in Asset Bewertung aufnehmen
|
||||||
|
- ✅Beschreiben, wie wir Änderungen ausrollen:
|
||||||
|
- erst Testgruppen, dann IT-User, dann Keyuser, dann alle anderen User, ggf. Vorgehen pro Werk
|
||||||
|
- 5.2.4
|
||||||
|
- letzter Satz -"Protokollierung von allen Zugriffen auf Daten mit sehr hohem Schutzbedarf, soweit technisch möglich und im Rahmen der gesetzlichen und betrieblichen Bestimmungen zulässig"
|
||||||
|
- z.B. Zutritt Zementraum -> Schlüssel reicht nicht, Zugriff Zementrezept nicht protokolliert
|
||||||
|
- Zugriff aus vertrauliche Daten werden auch sonst nicht protokolliert (ggf. Einführung Azure Information Protection -> hoher Aufwand, separates Projekt)
|
||||||
|
- ✅Pentests als Maßnahmen in Risikoanalyse aufnehmen
|
||||||
|
- ✅CSOC Vertriebspräsentation der Leistungen für NAchweise ergänzen
|
||||||
|
- ✅Vorabkontolle im Change-Prozess verlinken
|
||||||
|
- #### 5.3.2
|
||||||
|
- ✅SLAs für IT-Lieferanten die IT-Services liefern benötigt
|
||||||
|
- im Wesentlichen sind hier Internet- und Telefon-Anbieter gemeint
|
||||||
|
- 6.1.1
|
||||||
|
- ✅Problem Kooperationspartner / Universitäten und Institute sind auch betroffen, nicht nur Lieferanten
|
||||||
|
- #### 3.1.1
|
||||||
|
- Sicherheitszonen
|
||||||
|
- ✅Archiv ist gelb und trotzdem steht die Tür offen -> Archiv im Neubau grün klassifizieren
|
||||||
|
- Wie werden alle Mitarbeiter geschult, welche Zonen es gibt, und wie sie sich dort zu verhalten haben? Heute keine Schulung hierfür vorhanden
|
||||||
|
- z.B. Nicht fotografieren- in isms-Richtlinie ergänzen, oder Zonenkonzept schulen
|
||||||
|
- ✅Fensterliste:
|
||||||
|
- Verweise aus die Zone in der sich die Tür oder das Fenster befindet muss ergänzt werden
|
||||||
|
- fast alle Fenster noch im Status Widerstandsklasse = keine
|
||||||
|
- Klasse RC1N reicht nicht, gelb fordert mindestens RC2N
|
||||||
|
- ✅Anbau? im Zonenplan löschen oder ergänzen, um Rückfragen nach dem Projektstatus zu vermeiden
|
||||||
|
- ✅IT-Büro sollte auch gelb klassifiziert werden
|
||||||
|
- ✅Bild 1 Kamera Tor auf Straße sollte auch im Zonenkonzept verpixelt werden
|
||||||
|
-
|
||||||
|
- BVQI
|
||||||
|
collapsed:: true
|
||||||
|
- Ansprechpartner
|
||||||
|
- 14 Tage vorher alle Dokumente
|
||||||
|
- 10.06. VDA Fragebogen ausgefüllt senden
|
||||||
|
- Reference Documentation
|
||||||
|
- {:height 510, :width 615}
|
||||||
|
- 9 Monate temporäre LAbel, Zeit für alle Nacharbeiten - Start 01.06.2023
|
||||||
|
-
|
||||||
|
-
|
||||||
## Notizen Privat
|
## Notizen Privat
|
||||||
|
collapsed:: true
|
||||||
-
|
-
|
||||||
Loading…
Reference in New Issue