[logseq-plugin-git:commit] 2023-06-01T16:15:40.553Z
This commit is contained in:
Christian Kauer
parent
6b23073a6e
commit
33924bda12
Binary file not shown.
|
After Width: | Height: | Size: 170 KiB |
Binary file not shown.
|
After Width: | Height: | Size: 1004 KiB |
|
|
@ -1,11 +1,12 @@
|
|||
## Journal
|
||||
collapsed:: true
|
||||
-
|
||||
## Notizen Arbeit
|
||||
- ### [[Meeting]]: TISAX
|
||||
type:: [[Meeting]]
|
||||
icon:: 📅
|
||||
team:: todo
|
||||
projekt::
|
||||
team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]]
|
||||
projekt:: [[%P TISAX Einführung KRA & RES]]
|
||||
datum:: [[2023-06-01]]
|
||||
uhrzeit:: [[08:17]]
|
||||
- #### Notizen
|
||||
|
|
@ -13,7 +14,136 @@
|
|||
- Geheimhaltungsvereinbarung unter 2.1.1 verlinken
|
||||
- "Kapitel Umgang mit vertraulichen Daten"
|
||||
- schaffung neuer Stelle -> wie stellen wir das sicher?
|
||||
- #abweichung: Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern"
|
||||
-
|
||||
- ✅Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern"
|
||||
- 2.1.2 - ✅Onboarding-Schulungsdokument verlinken
|
||||
- wie ist sichergrstellt, dass das für jeden neuen Mitarbeiter gilt -> LMS -> Curiccula
|
||||
- ✅Report über gehaltene Schulungen - muss über 90% liegen - Teresa bereitet Report für das Audit vor
|
||||
- 2.1.3: - Verweis auf Kapitel Schulung in ISMS-Richtlinie
|
||||
- 2.1.4:
|
||||
- ✅Life-Cycle mobiler Geräte / nachweisen
|
||||
- Owner des Gerätes muss unabhängig vom automatischen User nachweisbar sein
|
||||
- Prozess -> Notebook wird zurück gegeben -> Owner auf "Pool-Gerät" einstellen
|
||||
- ✅Notebook wird rausgeben -> Owner aktualisieren
|
||||
- {:height 713, :width 542}
|
||||
- #### 1.2.1
|
||||
- ✅Management-Review um Informationssicherheit ergänzen
|
||||
- Schulungsquote
|
||||
- Anzahl Sicherheitsvorfälle
|
||||
- siehe Vorlagen Kennzahlen von VIA
|
||||
- Ziele für das Jahr
|
||||
- wie aktuell die Zertifizierung
|
||||
- ggf. geplante größere Investitionen
|
||||
- neuer VDA Fragebogen
|
||||
- Nachtrag für dieses Jahr erstellen
|
||||
- weitere Top 5 Kennzahlen? Welche sind das?
|
||||
- Idee: Informationssicherheit wie den IT-Berich separat führen -> Wer macht das?
|
||||
- ✅Scope-Nummer und Assessment-Level rin "Erklärung zur Informationssicherheit" ergänzen
|
||||
- Überwachung des ISMS - PDCA Zyklus
|
||||
- Verweis auf Unternehmensregelkreis / KVP
|
||||
- ✅"Auditprozesse" um Swimlange TISAX ergänzen
|
||||
- Auditplan verlinken
|
||||
- ✅Link Auditplan ergänzen
|
||||
- Link zur OPL Excel "Auditplan"
|
||||
- ✅Internes Audit TISAX um "VIA Consult" ergänzen
|
||||
- Asset-Bewertung um "Projekt intern" / "Porojekt Vertrtaulich ergänzen"
|
||||
- #### 1.2.2
|
||||
-
|
||||
- 1.2.3:
|
||||
- ✅Hier fehlt eine Beschreibung, was gemacht wird, was das Ergebnis ist, und wie ein Projekt am Ende Klassifiziert wurde. Ein Beispiel sollten wir zeigen können.
|
||||
- [F06_1_95.xlsx (sharepoint.com)](https://krahgruppe.sharepoint.com/:x:/r/doc/_layouts/15/Doc.aspx?sourcedoc=%7B4773be0b-e7db-4017-b52d-137980bc13b5%7D&action=default&mobileredirect=true)
|
||||
- ✅Ist im Prozess Projektmanangement das Formualr F06... eingebunden?
|
||||
- ✅ https://krahprocess.azurewebsites.net/?id=7169
|
||||
- ergänzen um Beschreibung, z.B. beim Projektstart ergänzen, dass APQP Projekt
|
||||
- mindestens intern oder vertraulich abfragen
|
||||
- was ist die Unterscheidung zwischen interenen und vertraulichen Projekten?
|
||||
- Mandantentrennung
|
||||
- 1.2.4
|
||||
- ✅Liste Cloud Dienstleister - Metadaten der EK-Liste erweitern
|
||||
- Filter Cloud-Dienstleister
|
||||
- Filter IT-Dienstleister
|
||||
- SLA
|
||||
- hat Vertrauliche Daten? - Kritische Punkte der Dienstleister "Verfügbarkeit"
|
||||
- #### 1.4.1
|
||||
- ✅Beschreibung der FMEA RPZs fehlt - QMV 08-14
|
||||
- #### 1.5.2:
|
||||
- Wartung Serverraum, Wartung Brandmeldeanlagen
|
||||
- Pentest in Planung
|
||||
- ✅Nejc erstellt Konzept / OnPager
|
||||
- BitSight Report als Nachweis
|
||||
- Notfallplan / Notfallübung -> USV Überprüfung
|
||||
- Notfallübungen aus Arbeitssicherheit
|
||||
- Brandschutzübungen
|
||||
- Elektrische Prüfungen
|
||||
- #### 4.1.1:
|
||||
- ✅ Änderungsprozess mit Freigabe erforderloich, wenn Token erweitert wird
|
||||
- Was unterschreibt der User bei Aushändigung?
|
||||
- ✅Prozess Verlust von Token/Chip nicht beschrieben
|
||||
- RES im Bebäude nur Schlüssel
|
||||
- ✅Prozess fehlt
|
||||
- ✅Formular für Änderungen bei Zutritten fehlt - heute nur im Onboarding enthalten
|
||||
- Wer gibt welche Zutritte / Räume frei? / kein Freigabeprozess
|
||||
- ✅Zutrittsberechtigungen Entziehen - Prozess fehlt (bezogen auf Zutritte)
|
||||
- ✅Onboarding (im Fall von Stellenwechsel) um Entzug von Rechten ergänzen
|
||||
- #### 4.1.2
|
||||
- Admin-Rechte nicht nachweisbar
|
||||
- ✅Liste der berechtigten Admis ergänzen
|
||||
- Umgang mit Sammelaccounts nicht darstellbar
|
||||
- Rechner ohne Internet, abgekündigte PCs
|
||||
- 4.1.3
|
||||
- ✅personalisierte Benutzerkonten -> nicht beschrieben, außerdem sind bei uns auch Sammelkonten im Einsatz
|
||||
- ✅Prozessbeschreibung fehlt - wie werden Berechtigungen wieder entzogen?
|
||||
- Beim Austritt teilweise über SAP-synchronisation
|
||||
- nicht darstellbar für SAP, Teams und viele weitere Systeme
|
||||
- Überprüfung Benutzerkonten nicht vorweisbar
|
||||
- viele weitere Mängel in diesem Punkt
|
||||
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
|
||||
- #### 4.2.1
|
||||
- Prozess Rechtevergabe in viFlow beschrieben
|
||||
- ✅Rechte Entziehen - Prozess fehlt (bezogen auf Software-Rechte) (siehe 4.1.1) -> Hinweis auch in Onboarding/Stellenwechsel ergänzen
|
||||
- Es ist nicht überprüftbar wer ab wann welche Rechte hat
|
||||
- Totalausfall auch in diesem Punkt
|
||||
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
|
||||
- 5.1.1
|
||||
- ✅Liste aller im Einsatz befindlicher Verschlüsselungssystmeme ins ISMS-Richtlinie ergänzen
|
||||
ISME am Ende - Auflistung der Testsysteme ergänzen
|
||||
- ✅Testsysteme Ggf in Asset Bewertung aufnehmen
|
||||
- ✅Beschreiben, wie wir Änderungen ausrollen:
|
||||
- erst Testgruppen, dann IT-User, dann Keyuser, dann alle anderen User, ggf. Vorgehen pro Werk
|
||||
- 5.2.4
|
||||
- letzter Satz -"Protokollierung von allen Zugriffen auf Daten mit sehr hohem Schutzbedarf, soweit technisch möglich und im Rahmen der gesetzlichen und betrieblichen Bestimmungen zulässig"
|
||||
- z.B. Zutritt Zementraum -> Schlüssel reicht nicht, Zugriff Zementrezept nicht protokolliert
|
||||
- Zugriff aus vertrauliche Daten werden auch sonst nicht protokolliert (ggf. Einführung Azure Information Protection -> hoher Aufwand, separates Projekt)
|
||||
- ✅Pentests als Maßnahmen in Risikoanalyse aufnehmen
|
||||
- ✅CSOC Vertriebspräsentation der Leistungen für NAchweise ergänzen
|
||||
- ✅Vorabkontolle im Change-Prozess verlinken
|
||||
- #### 5.3.2
|
||||
- ✅SLAs für IT-Lieferanten die IT-Services liefern benötigt
|
||||
- im Wesentlichen sind hier Internet- und Telefon-Anbieter gemeint
|
||||
- 6.1.1
|
||||
- ✅Problem Kooperationspartner / Universitäten und Institute sind auch betroffen, nicht nur Lieferanten
|
||||
- #### 3.1.1
|
||||
- Sicherheitszonen
|
||||
- ✅Archiv ist gelb und trotzdem steht die Tür offen -> Archiv im Neubau grün klassifizieren
|
||||
- Wie werden alle Mitarbeiter geschult, welche Zonen es gibt, und wie sie sich dort zu verhalten haben? Heute keine Schulung hierfür vorhanden
|
||||
- z.B. Nicht fotografieren- in isms-Richtlinie ergänzen, oder Zonenkonzept schulen
|
||||
- ✅Fensterliste:
|
||||
- Verweise aus die Zone in der sich die Tür oder das Fenster befindet muss ergänzt werden
|
||||
- fast alle Fenster noch im Status Widerstandsklasse = keine
|
||||
- Klasse RC1N reicht nicht, gelb fordert mindestens RC2N
|
||||
- ✅Anbau? im Zonenplan löschen oder ergänzen, um Rückfragen nach dem Projektstatus zu vermeiden
|
||||
- ✅IT-Büro sollte auch gelb klassifiziert werden
|
||||
- ✅Bild 1 Kamera Tor auf Straße sollte auch im Zonenkonzept verpixelt werden
|
||||
-
|
||||
- BVQI
|
||||
collapsed:: true
|
||||
- Ansprechpartner
|
||||
- 14 Tage vorher alle Dokumente
|
||||
- 10.06. VDA Fragebogen ausgefüllt senden
|
||||
- Reference Documentation
|
||||
- {:height 510, :width 615}
|
||||
- 9 Monate temporäre LAbel, Zeit für alle Nacharbeiten - Start 01.06.2023
|
||||
-
|
||||
-
|
||||
## Notizen Privat
|
||||
collapsed:: true
|
||||
-
|
||||
Loading…
Reference in New Issue