## Journal
	-
## Notizen Arbeit
	- ### [[Meeting]]: TISAX - internes Audit VIA - Tag 2
	  type:: [[Meeting]]
	  icon:: 📅
	  team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]] 
	  projekt:: [[%P TISAX Einführung KRA & RES]] 
	  datum:: [[2023-06-01]]
	  uhrzeit:: [[08:17]]
		- eigener Datenschutzbeauftragter für SLO wird aktuell beauftragt
		- Management-Review RES -> um ISMS ergänzen
		- 1.5.1
			- Nachweise über Elektro-Analyse
				- Server, USV, Kommunikation etc. in einer Excel -Liste
				- -> ähliche Excel-Tabelle für KRAh erstellen
		- 1.5.2
			- Formulare übersetzen
			- Whilsblower
		- 2.1.1
			- Update recouring Prozess -> neue Stelle? -> Beurteilung Informationssicherheitsrisiken? -> Update Onboarding-Vorlage "Liste sensibler Stellen"
		- 2.1.2
			- Report 90% Quote die geschult wurden nicht vorhanden
		- 2.1.4
		- 3.1.1.
			- Zone-Concept
			- RES: Unklar ist, bezüglich Serverraum Kostanjevica -> Aufwand ca. 1000 € -> Entscheidung ins Konzept aufnehmen
			- Fenster und Türen müssen noch geprüft werden
		- 3.1.2
			- Notfallpläne aus IATF -> "not in form"
			- nur die Risikopläne vorzeigbar
			- Aussage Reinicke: "Wie konnten wir so IATF zertifiziert werden?"
			- Frage nach Schulung und Simulation eines Risikos -> Beispiele für das Audit vorbereiten
		- 3.1.4
			- MDM - wie in Deutschland
			- "Besitzer" der Geräte manuell setzen
		- 4.1.1
			- Schlüssel als "Türen" in Salo anlegen, um NAchweis und Report zu den Berechtigungen zu haben
			- Prozess Verlust von Karte oder Schlüssel
				- wer muss informiert werden?
				- was kostet es?
		- 4.1.2
			- Changes Access-Rights
			- Stellenänderung
		- 5.1.1
			- same as in Germany
		- 5.1.2
			- same as in Germany
		- 5.2.1
			- change process
		- 5.2.2
			- Testsysteme: different to germany
			- development:
				- autotexting on commit
				- development guideline
		- #### 5.2.4
			- wo ist das beschrieben? - haben wir, Liste der Logs die genutzt werden
		- 5.2.6
			- PRTG: nicht mehr im Einsatz
			- RES nutzt: "The Dude 7.9" network monitor
				- active computers
				- to be done: Kleine Beschreibung des Systems um es an den Auditor zu übergeben
			- ![image.png](../assets/image_1685693987319_0.png){:height 513, :width 876}
			-
			- Werden die Logs von der Sophos RES in den CSOC übergeben?
			- Contact PenTest ->
		- 5.3.1
			- Vorabkontrolle
			- -> gleicher PRozess
		- 5.3.2
			- Provider wie Telekom
			- -> Wird durch C.Wenta kooridiniert
			- RES-Spezifische Lieferanten hinzufügen
			- SLAs der Telekom -> ins Notfallhandbuch aufgenommen
			- Redundanz - SoftNet als alternativen Anbeiter, für separate Internetleitung
		- 5.3.3
			- Cloud-Services nur bei RES? -> keine
		- 5.3.4
		- 6.1.1.
			- wie bei KRAH
			-
		- 7.1.1
			- herausstellen welche Gesetze und was davon für die Firma Relevanz hat -> Welche Maßnahmen ergeben sich daraus?
				- Nachweise wie die Anforderungen an die Gesetze umgesetzt sind
			- nicht erforderlich den DPO im Organigramm zu nennen
		- 7.1.2
			- GDPR - Gesetz in SLO wurde kürzlich geändert "DPO" = Data Prototection Officer
			- Consultant ist Benjamin Lesjak von DATAINFO.SI
			- Gap zur national legislation schließen -> erstellt Action-Plan
		-
## Notizen Privat
	-