193 lines
6.6 KiB
Markdown
193 lines
6.6 KiB
Markdown
## Journal
|
|
-
|
|
## Notizen Arbeit
|
|
- ### [[Talk]]: Telefonat Reinicke [[%P TISAX Einführung KRA & RES]]
|
|
uhrzeit:: 07:51
|
|
- alles Task auf dem Fragebogen entfernen
|
|
- RES: 7.1.2: Datenschutzrichtlinie muss vorhanden sein
|
|
- Beispiel KPIs bewerten ->
|
|
- Wer setz um?
|
|
- welche Kennzahlen wollen wir übernehmen
|
|
- Mi. Vormittagh einladung Ossenbühl
|
|
- Prozess Lieferantenfreigabe: IT-Dienste ergänzen
|
|
- Wann werden bei IT-Dienstleistern folgende Punkte abgefragt:
|
|
- SLAs,. AVVs, Geheimhaltung
|
|
- OnePager PentTest & Angebot beilegen -> 1.5.1
|
|
- Wartung Klima & Serverraum -> 1.5.2 verlinken
|
|
- 1.4.1
|
|
- TASK: Nachweise für Risk-Management zusammenstellen
|
|
Sicherheitsrichtlinie (Kap. Risikoanalyse)
|
|
PB Asset- und Risikobewertung
|
|
- 1.6.1
|
|
- alles zum Meldeprozess
|
|
- Melde-Formulare verlinken
|
|
- Prozess verlinken
|
|
- TASK: Ermittlung sensibler Tätigkeiten und Stellen
|
|
TASK: Prozess zur Identität und Eignung von Bewerbern
|
|
TASK: Informationssicherheit in Stellenbeschreibung und Personalbedarfsmeldung ergänzen
|
|
TASK: Onboarding um Informationssicherheit ergänzen
|
|
TASK: Schulungsmaterial für Onboarding erstellen
|
|
- Benutzerrichtlinie Kapitel 8
|
|
- Screenshot Checkliste Ticket bei Vorfällen
|
|
- RES: Prüfung Zusatzanforderungen durch slowenisches Whistleblower Gesetz
|
|
- 2.1.1
|
|
- TASK: Ermittlung sensibler Tätigkeiten und Stellen
|
|
TASK: Prozess zur Identität und Eignung von Bewerbern
|
|
TASK: Informationssicherheit in Stellenbeschreibung und Personalbedarfsmeldung ergänzen
|
|
TASK: Onboarding um Informationssicherheit ergänzen
|
|
TASK: Schulungsmaterial für Onboarding erstellen
|
|
Personalbeschaffungsprozess
|
|
Assetbewertung - Sensibilität der Stellen ermittelt
|
|
Kap. 10 Liste sensibler Stellen
|
|
Onboarding Formular
|
|
- 2.1.3
|
|
- offene Aufgaben:
|
|
Task: Jährliche Schulung für alle MA zur Informtionssicherheit einplanen
|
|
Sicherheitsrichtlinie (Kap. 13 Schulung )
|
|
ISMS Schulung
|
|
Teilnehmerliste
|
|
-
|
|
- 3.1.1
|
|
- Nachweis / Anbegot oder Mail zur Rückfrage nach neuen Fenster
|
|
- In Risikobewertung aufnehmen, dass wir die Fenster erneuern
|
|
- Sicherheitszonenkonzepte ergänzen
|
|
- Besucherprozes verlinken
|
|
- 3.1.2
|
|
- IATF-Nachweise ergänzen
|
|
- Notfallhandbuch verlinken
|
|
- Status bleibt 2 -> Übergabe LQS
|
|
- 3.1.3
|
|
- Zertifikate der Datenvernichtungs-Dienslteister
|
|
- 3.1.4
|
|
- liste mobiler Endgeräte
|
|
- TASK: Buy USB-Sticks with a unique ID and block other devices
|
|
TASK: Encrypt all Noteboots and other mobile devices
|
|
TASK: Liste aller Mobilen Endgeräte erstellen
|
|
Benutzerrichtlinie (Kap. Mobile Geräte)
|
|
Mitarbeiter Schulung Informationssicherheit - Schulungsunterlage für MDM beilegen (Folie X)
|
|
Auszug MDM (Übersicht mobile Endgeräte)
|
|
'IT Richtlinie (Kap. Entsorgung und Verschrottung)
|
|
- 4.1.1
|
|
- Prozess Schlüssel
|
|
- offene Aufgaben:
|
|
TASK: Zutrittskontrolle konsolidieren und prüfen
|
|
TASK: Evidence about identification managed and process adjustments
|
|
Sicherheitsrichtlinie
|
|
Formular Rechtevergabe
|
|
Auditbericht
|
|
- 4.1.2.
|
|
- Passwortrichtlinie in Benutzerrichtlinie
|
|
- 4.1.3
|
|
- offene Aufgaben:
|
|
TASK: Verzeichnis über Geheimhaltungsvereinbarungen mit Dienstleistern
|
|
TASK: Umgang mit Benutzerkonten genauer beschreiben
|
|
Formblatt Rechtevergabe
|
|
Prozess Rechtevergabe
|
|
- Lieste Lieveranten
|
|
- Prozess REchteentzug
|
|
- ZADUSER
|
|
- Formbaltt onboarding erweitern
|
|
- 4.2.1
|
|
- Liste der Verantwortlichkeiten
|
|
- offene Aufgaben
|
|
TASK: Prozess Rechtevergabe in viflow beschreiben / aktualisieren
|
|
Formblatt Rechtvergabe
|
|
Auditprogramm
|
|
- 5.1.1
|
|
- Kapitel "25. Nutzung kryptografischer Verfahren" in der IT-Richtlinie
|
|
- 5.1.2
|
|
- Aufgabe Philip Eray Label testen und beschreiben
|
|
- 5.2.1
|
|
- offene Aufgaben:
|
|
TASK: Change-Management um Informationssicherheit erweitern
|
|
TASK: Change-Management IT-Prozess prüfen & erweitern
|
|
Vorabkontrolle
|
|
Assetbewertung
|
|
Änderungsprozesse
|
|
- Links:
|
|
- Vorabkontzrolle, Assetbewertung, Änderungsprozess
|
|
- 5.2.2
|
|
- IT-Richlinie -> Umgang mit Testsystemen
|
|
- Vorabkontrolle
|
|
- Beispiel Personaldaten SAP-Test "Mustermann"
|
|
- 5.2.3
|
|
- offene Aufgaben:
|
|
TASK ERLEDIGT: RS VIA, ob Maßnahmen ausreichend
|
|
TASK: Lizenz-Detal zum Scannen aller Server ermitteln
|
|
IT Richtlinie (Kap. Identifikation und Bearbeitung von Schwachstellen)
|
|
ISMS Schulung
|
|
CSOC Monatsbericht
|
|
Dashboard CSOC
|
|
Bitsight Report
|
|
- RSS-Schwachstellenbild
|
|
- 5.2.4
|
|
- Wer hatte wann Zugriff auf besonders Schützenwerte Daten
|
|
- "siehe 11 Aufzeichnung und Analyse von Ereignisprotokollen" in Sicherhgeitsrichtlinie
|
|
- offene Aufgaben:
|
|
TASK: Sicherheitsrichtlinie ergänzen
|
|
Sicherheitsrichtlinie (Kap. 11 Aufzeichnung und Analyse von Ereignisprotokollen)
|
|
- 5.2.5
|
|
- TinyRSS
|
|
- CSOC
|
|
- Screeenshot "Kennzahlenübersicht/Managementbewertung"
|
|
- 5.2.6
|
|
- .offene Aufgaben:
|
|
TASK: V-Scanner für RESISTEC
|
|
TASK: Pen-Tests / Greenbone planen
|
|
Bitsigtht, CSOC
|
|
Pentest geplant
|
|
- 5.2.7
|
|
- Slowenien: nicht PRTG anderes System mit beschreiben
|
|
- PRTG-Beispiele
|
|
- offene Aufgaben:
|
|
TASK: Anforderungen an Netzwerksegmentierung und VLANs beschreiben
|
|
TASK: Project-Planning for Network-Segmentation at RES
|
|
Netzwerkplan
|
|
Informationssicherheitsrichtlinie
|
|
Konzept / Leistungen SOC
|
|
- 5.3.1
|
|
- Änderungsprozess
|
|
- Vorabkontrolle
|
|
- 5.3.2
|
|
- siehe IT-Dienhste in EK-Liste
|
|
- 5.3.3
|
|
- offene Aufgaben:
|
|
TASK: Rückgabe und Löschen für alle Cloud-Dienstleister regeln
|
|
4.5 GHV Hardware und Software Dienstleistung
|
|
Leistungsverträge / SLAs
|
|
- 5.3.4.
|
|
- EK-Liste
|
|
- Beispiel Mandantentrennung in Cloud Compendium aus Trust Center (Schickt Oliver)
|
|
- 6.1.1
|
|
- Self-Assessment
|
|
- EK-Liste
|
|
- Sonderfreigabe, wenn Risiko getragen wird, obwohl INF nicht erfüllt
|
|
- offene Aufgaben:
|
|
TASK: Informationssicherheit bei Lieferanten einfordern
|
|
TASK: Prozess Informationssicherheit bei Lieferanten mit Schwesterwerken abstimmen
|
|
TASK: einmal für Schwerstwerke die DL-Anforderungen aufnehmen
|
|
TASK: Prozess für technische Zugriffe von Lieferanten festlegen
|
|
GHV Dienstleister/Lieferanten
|
|
Lieferanten Selbstauskunft
|
|
Prozess Einkauf
|
|
Matrix Lieferantenarten
|
|
- 6.1.2
|
|
- Geheimhaltungsvereinbarungen
|
|
- EK-Liste
|
|
- offene Aufgabe:
|
|
TASK: Geheimhaltungsvereinbarungen managen im EK
|
|
TASK: Geheimhaltungsvereinbarungen managen in HR
|
|
Prozess Einkauf
|
|
GHV Dienstleister/Lieferanten
|
|
- 7.1.1
|
|
- MAtrix Kundenanfordeurngen um TISAX ergänmzen -> Mit Vertrieb abstimmen
|
|
- Slowenische Gesetze
|
|
- 7.1.2
|
|
- Datenschutzrichtlinie
|
|
- Benennungen
|
|
- Verzeichnis Verarbeitung
|
|
- AVV-Liste -> EK-Liste
|
|
- Gesetzeskataster -> Datenschutzgesetze sind bewertet
|
|
-
|
|
## Notizen Privat
|
|
- |