## Journal - ## Notizen Arbeit - ### [[Talk]]: Telefonat Reinicke [[%P TISAX Einführung KRA & RES]] uhrzeit:: 07:51 - alles Task auf dem Fragebogen entfernen - RES: 7.1.2: Datenschutzrichtlinie muss vorhanden sein - Beispiel KPIs bewerten -> - Wer setz um? - welche Kennzahlen wollen wir übernehmen - Mi. Vormittagh einladung Ossenbühl - Prozess Lieferantenfreigabe: IT-Dienste ergänzen - Wann werden bei IT-Dienstleistern folgende Punkte abgefragt: - SLAs,. AVVs, Geheimhaltung - OnePager PentTest & Angebot beilegen -> 1.5.1 - Wartung Klima & Serverraum -> 1.5.2 verlinken - 1.4.1 - TASK: Nachweise für Risk-Management zusammenstellen Sicherheitsrichtlinie (Kap. Risikoanalyse) PB Asset- und Risikobewertung - 1.6.1 - alles zum Meldeprozess - Melde-Formulare verlinken - Prozess verlinken - TASK: Ermittlung sensibler Tätigkeiten und Stellen TASK: Prozess zur Identität und Eignung von Bewerbern TASK: Informationssicherheit in Stellenbeschreibung und Personalbedarfsmeldung ergänzen TASK: Onboarding um Informationssicherheit ergänzen TASK: Schulungsmaterial für Onboarding erstellen - Benutzerrichtlinie Kapitel 8 - Screenshot Checkliste Ticket bei Vorfällen - RES: Prüfung Zusatzanforderungen durch slowenisches Whistleblower Gesetz - 2.1.1 - TASK: Ermittlung sensibler Tätigkeiten und Stellen TASK: Prozess zur Identität und Eignung von Bewerbern TASK: Informationssicherheit in Stellenbeschreibung und Personalbedarfsmeldung ergänzen TASK: Onboarding um Informationssicherheit ergänzen TASK: Schulungsmaterial für Onboarding erstellen Personalbeschaffungsprozess Assetbewertung - Sensibilität der Stellen ermittelt Kap. 10 Liste sensibler Stellen Onboarding Formular - 2.1.3 - offene Aufgaben: Task: Jährliche Schulung für alle MA zur Informtionssicherheit einplanen Sicherheitsrichtlinie (Kap. 13 Schulung ) ISMS Schulung Teilnehmerliste - - 3.1.1 - Nachweis / Anbegot oder Mail zur Rückfrage nach neuen Fenster - In Risikobewertung aufnehmen, dass wir die Fenster erneuern - Sicherheitszonenkonzepte ergänzen - Besucherprozes verlinken - 3.1.2 - IATF-Nachweise ergänzen - Notfallhandbuch verlinken - Status bleibt 2 -> Übergabe LQS - 3.1.3 - Zertifikate der Datenvernichtungs-Dienslteister - 3.1.4 - liste mobiler Endgeräte - TASK: Buy USB-Sticks with a unique ID and block other devices TASK: Encrypt all Noteboots and other mobile devices TASK: Liste aller Mobilen Endgeräte erstellen Benutzerrichtlinie (Kap. Mobile Geräte) Mitarbeiter Schulung Informationssicherheit - Schulungsunterlage für MDM beilegen (Folie X) Auszug MDM (Übersicht mobile Endgeräte) 'IT Richtlinie (Kap. Entsorgung und Verschrottung) - 4.1.1 - Prozess Schlüssel - offene Aufgaben: TASK: Zutrittskontrolle konsolidieren und prüfen TASK: Evidence about identification managed and process adjustments Sicherheitsrichtlinie Formular Rechtevergabe Auditbericht - 4.1.2. - Passwortrichtlinie in Benutzerrichtlinie - 4.1.3 - offene Aufgaben: TASK: Verzeichnis über Geheimhaltungsvereinbarungen mit Dienstleistern TASK: Umgang mit Benutzerkonten genauer beschreiben Formblatt Rechtevergabe Prozess Rechtevergabe - Lieste Lieveranten - Prozess REchteentzug - ZADUSER - Formbaltt onboarding erweitern - 4.2.1 - Liste der Verantwortlichkeiten - offene Aufgaben TASK: Prozess Rechtevergabe in viflow beschreiben / aktualisieren Formblatt Rechtvergabe Auditprogramm - 5.1.1 - Kapitel "25. Nutzung kryptografischer Verfahren" in der IT-Richtlinie - 5.1.2 - Aufgabe Philip Eray Label testen und beschreiben - 5.2.1 - offene Aufgaben: TASK: Change-Management um Informationssicherheit erweitern TASK: Change-Management IT-Prozess prüfen & erweitern Vorabkontrolle Assetbewertung Änderungsprozesse - Links: - Vorabkontzrolle, Assetbewertung, Änderungsprozess - 5.2.2 - IT-Richlinie -> Umgang mit Testsystemen - Vorabkontrolle - Beispiel Personaldaten SAP-Test "Mustermann" - 5.2.3 - offene Aufgaben: TASK ERLEDIGT: RS VIA, ob Maßnahmen ausreichend TASK: Lizenz-Detal zum Scannen aller Server ermitteln IT Richtlinie (Kap. Identifikation und Bearbeitung von Schwachstellen) ISMS Schulung CSOC Monatsbericht Dashboard CSOC Bitsight Report - RSS-Schwachstellenbild - 5.2.4 - Wer hatte wann Zugriff auf besonders Schützenwerte Daten - "siehe 11 Aufzeichnung und Analyse von Ereignisprotokollen" in Sicherhgeitsrichtlinie - offene Aufgaben: TASK: Sicherheitsrichtlinie ergänzen Sicherheitsrichtlinie (Kap. 11 Aufzeichnung und Analyse von Ereignisprotokollen) - 5.2.5 - TinyRSS - CSOC - Screeenshot "Kennzahlenübersicht/Managementbewertung" - 5.2.6 - .offene Aufgaben: TASK: V-Scanner für RESISTEC TASK: Pen-Tests / Greenbone planen Bitsigtht, CSOC Pentest geplant - 5.2.7 - Slowenien: nicht PRTG anderes System mit beschreiben - PRTG-Beispiele - offene Aufgaben: TASK: Anforderungen an Netzwerksegmentierung und VLANs beschreiben TASK: Project-Planning for Network-Segmentation at RES Netzwerkplan Informationssicherheitsrichtlinie Konzept / Leistungen SOC - 5.3.1 - Änderungsprozess - Vorabkontrolle - 5.3.2 - siehe IT-Dienhste in EK-Liste - 5.3.3 - offene Aufgaben: TASK: Rückgabe und Löschen für alle Cloud-Dienstleister regeln 4.5 GHV Hardware und Software Dienstleistung Leistungsverträge / SLAs - 5.3.4. - EK-Liste - Beispiel Mandantentrennung in Cloud Compendium aus Trust Center (Schickt Oliver) - 6.1.1 - Self-Assessment - EK-Liste - Sonderfreigabe, wenn Risiko getragen wird, obwohl INF nicht erfüllt - offene Aufgaben: TASK: Informationssicherheit bei Lieferanten einfordern TASK: Prozess Informationssicherheit bei Lieferanten mit Schwesterwerken abstimmen TASK: einmal für Schwerstwerke die DL-Anforderungen aufnehmen TASK: Prozess für technische Zugriffe von Lieferanten festlegen GHV Dienstleister/Lieferanten Lieferanten Selbstauskunft Prozess Einkauf Matrix Lieferantenarten - 6.1.2 - Geheimhaltungsvereinbarungen - EK-Liste - offene Aufgabe: TASK: Geheimhaltungsvereinbarungen managen im EK TASK: Geheimhaltungsvereinbarungen managen in HR Prozess Einkauf GHV Dienstleister/Lieferanten - 7.1.1 - MAtrix Kundenanfordeurngen um TISAX ergänmzen -> Mit Vertrieb abstimmen - Slowenische Gesetze - 7.1.2 - Datenschutzrichtlinie - Benennungen - Verzeichnis Verarbeitung - AVV-Liste -> EK-Liste - Gesetzeskataster -> Datenschutzgesetze sind bewertet - ## Notizen Privat -