## Journal collapsed:: true - ## Notizen Arbeit - ### [[Meeting]]: TISAX- internes Audit Tag 1 type:: [[Meeting]] icon:: 📅 team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]] projekt:: [[%P TISAX Einführung KRA & RES]] datum:: [[2023-06-01]] uhrzeit:: [[08:17]] - #### Notizen - HR: - Geheimhaltungsvereinbarung unter 2.1.1 verlinken - "Kapitel Umgang mit vertraulichen Daten" - schaffung neuer Stelle -> wie stellen wir das sicher? - ✅Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern" - 2.1.2 - ✅Onboarding-Schulungsdokument verlinken - wie ist sichergrstellt, dass das für jeden neuen Mitarbeiter gilt -> LMS -> Curiccula - ✅Report über gehaltene Schulungen - muss über 90% liegen - Teresa bereitet Report für das Audit vor - 2.1.3: - Verweis auf Kapitel Schulung in ISMS-Richtlinie - 2.1.4: - ✅Life-Cycle mobiler Geräte / nachweisen - Owner des Gerätes muss unabhängig vom automatischen User nachweisbar sein - Prozess -> Notebook wird zurück gegeben -> Owner auf "Pool-Gerät" einstellen - ✅Notebook wird rausgeben -> Owner aktualisieren - ![image.png](../assets/image_1685602405796_0.png){:height 713, :width 542} - #### 1.2.1 - ✅Management-Review um Informationssicherheit ergänzen - Schulungsquote - Anzahl Sicherheitsvorfälle - siehe Vorlagen Kennzahlen von VIA - Ziele für das Jahr - wie aktuell die Zertifizierung - ggf. geplante größere Investitionen - neuer VDA Fragebogen - Nachtrag für dieses Jahr erstellen - weitere Top 5 Kennzahlen? Welche sind das? - Idee: Informationssicherheit wie den IT-Berich separat führen -> Wer macht das? - ✅Scope-Nummer und Assessment-Level rin "Erklärung zur Informationssicherheit" ergänzen - Überwachung des ISMS - PDCA Zyklus - Verweis auf Unternehmensregelkreis / KVP - ✅"Auditprozesse" um Swimlange TISAX ergänzen - Auditplan verlinken - ✅Link Auditplan ergänzen - Link zur OPL Excel "Auditplan" - ✅Internes Audit TISAX um "VIA Consult" ergänzen - Asset-Bewertung um "Projekt intern" / "Porojekt Vertrtaulich ergänzen" - #### 1.2.2 - Projektmanagement - 1.2.3: - ✅Hier fehlt eine Beschreibung, was gemacht wird, was das Ergebnis ist, und wie ein Projekt am Ende Klassifiziert wurde. Ein Beispiel sollten wir zeigen können. - [F06_1_95.xlsx (sharepoint.com)](https://krahgruppe.sharepoint.com/:x:/r/doc/_layouts/15/Doc.aspx?sourcedoc=%7B4773be0b-e7db-4017-b52d-137980bc13b5%7D&action=default&mobileredirect=true) - ✅Ist im Prozess Projektmanangement das Formualr F06... eingebunden? - ✅ https://krahprocess.azurewebsites.net/?id=7169 - ergänzen um Beschreibung, z.B. beim Projektstart ergänzen, dass APQP Projekt - mindestens intern oder vertraulich abfragen - was ist die Unterscheidung zwischen interenen und vertraulichen Projekten? - Mandantentrennung - - 1.2.4 - ✅Liste Cloud Dienstleister - Metadaten der EK-Liste erweitern - Filter Cloud-Dienstleister - Filter IT-Dienstleister - SLA - hat Vertrauliche Daten? - Kritische Punkte der Dienstleister "Verfügbarkeit" - #### 1.4.1 - ✅Beschreibung der FMEA RPZs fehlt - QMV 08-14 - #### 1.5.2: - Wartung Serverraum, Wartung Brandmeldeanlagen - Pentest in Planung - ✅Nejc erstellt Konzept / OnPager - BitSight Report als Nachweis - Notfallplan / Notfallübung -> USV Überprüfung - Notfallübungen aus Arbeitssicherheit - Brandschutzübungen - Elektrische Prüfungen - #### 4.1.1: - ✅ Änderungsprozess mit Freigabe erforderloich, wenn Token erweitert wird - Was unterschreibt der User bei Aushändigung? - ✅Prozess Verlust von Token/Chip nicht beschrieben - RES im Bebäude nur Schlüssel - ✅Prozess fehlt - ✅Formular für Änderungen bei Zutritten fehlt - heute nur im Onboarding enthalten - Wer gibt welche Zutritte / Räume frei? / kein Freigabeprozess - ✅Zutrittsberechtigungen Entziehen - Prozess fehlt (bezogen auf Zutritte) - ✅Onboarding (im Fall von Stellenwechsel) um Entzug von Rechten ergänzen - #### 4.1.2 - Admin-Rechte nicht nachweisbar - ✅Liste der berechtigten Admis ergänzen - Umgang mit Sammelaccounts nicht darstellbar - Rechner ohne Internet, abgekündigte PCs - 4.1.3 - ✅personalisierte Benutzerkonten -> nicht beschrieben, außerdem sind bei uns auch Sammelkonten im Einsatz - ✅Prozessbeschreibung fehlt - wie werden Berechtigungen wieder entzogen? - Beim Austritt teilweise über SAP-synchronisation - nicht darstellbar für SAP, Teams und viele weitere Systeme - Überprüfung Benutzerkonten nicht vorweisbar - viele weitere Mängel in diesem Punkt - ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten" - #### 4.2.1 - Prozess Rechtevergabe in viFlow beschrieben - ✅Rechte Entziehen - Prozess fehlt (bezogen auf Software-Rechte) (siehe 4.1.1) -> Hinweis auch in Onboarding/Stellenwechsel ergänzen - Es ist nicht überprüftbar wer ab wann welche Rechte hat - Totalausfall auch in diesem Punkt - ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten" - 5.1.1 - ✅Liste aller im Einsatz befindlicher Verschlüsselungssystmeme ins ISMS-Richtlinie ergänzen ISME am Ende - Auflistung der Testsysteme ergänzen - ✅Testsysteme Ggf in Asset Bewertung aufnehmen - 5.2.1 - ✅Beschreiben, wie wir Änderungen ausrollen: - erst Testgruppen, dann IT-User, dann Keyuser, dann alle anderen User, ggf. Vorgehen pro Werk - 5.2.4 - letzter Satz -"Protokollierung von allen Zugriffen auf Daten mit sehr hohem Schutzbedarf, soweit technisch möglich und im Rahmen der gesetzlichen und betrieblichen Bestimmungen zulässig" - z.B. Zutritt Zementraum -> Schlüssel reicht nicht, Zugriff Zementrezept nicht protokolliert - Zugriff aus vertrauliche Daten werden auch sonst nicht protokolliert (ggf. Einführung Azure Information Protection -> hoher Aufwand, separates Projekt) - ✅Pentests als Maßnahmen in Risikoanalyse aufnehmen - ✅CSOC Vertriebspräsentation der Leistungen für NAchweise ergänzen - ✅Vorabkontolle im Change-Prozess verlinken - #### 5.3.2 - ✅SLAs für IT-Lieferanten die IT-Services liefern benötigt - im Wesentlichen sind hier Internet- und Telefon-Anbieter gemeint - 6.1.1 - ✅Problem Kooperationspartner / Universitäten und Institute sind auch betroffen, nicht nur Lieferanten - #### 3.1.1 - Sicherheitszonen - ✅Archiv ist gelb und trotzdem steht die Tür offen -> Archiv im Neubau grün klassifizieren - Wie werden alle Mitarbeiter geschult, welche Zonen es gibt, und wie sie sich dort zu verhalten haben? Heute keine Schulung hierfür vorhanden - z.B. Nicht fotografieren- in isms-Richtlinie ergänzen, oder Zonenkonzept schulen - ✅Fensterliste: - Verweise aus die Zone in der sich die Tür oder das Fenster befindet muss ergänzt werden - fast alle Fenster noch im Status Widerstandsklasse = keine - Klasse RC1N reicht nicht, gelb fordert mindestens RC2N - ✅Anbau? im Zonenplan löschen oder ergänzen, um Rückfragen nach dem Projektstatus zu vermeiden - ✅IT-Büro sollte auch gelb klassifiziert werden - ✅Bild 1 Kamera Tor auf Straße sollte auch im Zonenkonzept verpixelt werden - - BVQI - Ansprechpartner - 14 Tage vorher alle Dokumente - 10.06. VDA Fragebogen ausgefüllt senden - Reference Documentation - ![image.png](../assets/image_1685605022182_0.png){:height 510, :width 615} - 9 Monate temporäre LAbel, Zeit für alle Nacharbeiten - Start 01.06.2023 - - ## Notizen Privat collapsed:: true -