3.2 KiB
3.2 KiB
Journal
-
Notizen Arbeit
- ### [[Meeting]]: TISAX - internes Audit VIA - Tag 2
type:: [[Meeting]]
icon:: 📅
team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]]
projekt:: [[%P TISAX Einführung KRA & RES]]
datum:: [[2023-06-01]]
uhrzeit:: [[08:17]]
- eigener Datenschutzbeauftragter für SLO wird aktuell beauftragt
- Management-Review RES -> um ISMS ergänzen
- 1.5.1
- Nachweise über Elektro-Analyse
- Server, USV, Kommunikation etc. in einer Excel -Liste
- -> ähliche Excel-Tabelle für KRAh erstellen
- 1.5.2
- Formulare übersetzen
- Whilsblower
- 2.1.1
- Update recouring Prozess -> neue Stelle? -> Beurteilung Informationssicherheitsrisiken? -> Update Onboarding-Vorlage "Liste sensibler Stellen"
- 2.1.2
- Report 90% Quote die geschult wurden nicht vorhanden
- 2.1.4
- 3.1.1.
- Zone-Concept
- RES: Unklar ist, bezüglich Serverraum Kostanjevica -> Aufwand ca. 1000 € -> Entscheidung ins Konzept aufnehmen
- Fenster und Türen müssen noch geprüft werden
- 3.1.2
- Notfallpläne aus IATF -> "not in form"
- nur die Risikopläne vorzeigbar
- Aussage Reinicke: "Wie konnten wir so IATF zertifiziert werden?"
- Frage nach Schulung und Simulation eines Risikos -> Beispiele für das Audit vorbereiten
- 3.1.4
- MDM - wie in Deutschland
- "Besitzer" der Geräte manuell setzen
- 4.1.1
- Schlüssel als "Türen" in Salo anlegen, um NAchweis und Report zu den Berechtigungen zu haben
- Prozess Verlust von Karte oder Schlüssel
- wer muss informiert werden?
- was kostet es?
- 4.1.2
- Changes Access-Rights
- Stellenänderung
- 5.1.1
- same as in Germany
- 5.1.2
- same as in Germany
- 5.2.1
- change process
- 5.2.2
- Testsysteme: different to germany
- development:
- autotexting on commit
- development guideline
- #### 5.2.4
- wo ist das beschrieben? - haben wir, Liste der Logs die genutzt werden
- 5.2.6
- PRTG: nicht mehr im Einsatz
- RES nutzt: "The Dude 7.9" network monitor
- active computers
- to be done: Kleine Beschreibung des Systems um es an den Auditor zu übergeben
- {:height 513, :width 876}
-
- Werden die Logs von der Sophos RES in den CSOC übergeben?
- Contact PenTest ->
- 5.3.1
- Vorabkontrolle
- -> gleicher PRozess
- 5.3.2
- Provider wie Telekom
- -> Wird durch C.Wenta kooridiniert
- RES-Spezifische Lieferanten hinzufügen
- SLAs der Telekom -> ins Notfallhandbuch aufgenommen
- Redundanz - SoftNet als alternativen Anbeiter, für separate Internetleitung
- 5.3.3
- Cloud-Services nur bei RES? -> keine
- 5.3.4
- 6.1.1.
- wie bei KRAH
-
- 7.1.1
- herausstellen welche Gesetze und was davon für die Firma Relevanz hat -> Welche Maßnahmen ergeben sich daraus?
- Nachweise wie die Anforderungen an die Gesetze umgesetzt sind
- nicht erforderlich den DPO im Organigramm zu nennen
- 7.1.2
- GDPR - Gesetz in SLO wurde kürzlich geändert "DPO" = Data Prototection Officer
- Consultant ist Benjamin Lesjak von DATAINFO.SI
- Gap zur national legislation schließen -> erstellt Action-Plan
-
Notizen Privat
-