8.1 KiB
8.1 KiB
Journal
collapsed:: true -
Notizen Arbeit
- ### [[Meeting]]: TISAX
type:: [[Meeting]]
icon:: 📅
team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]]
projekt:: [[%P TISAX Einführung KRA & RES]]
datum:: [[2023-06-01]]
uhrzeit:: [[08:17]]
- #### Notizen
- HR:
- Geheimhaltungsvereinbarung unter 2.1.1 verlinken
- "Kapitel Umgang mit vertraulichen Daten"
- schaffung neuer Stelle -> wie stellen wir das sicher?
- ✅Onboaring erweitern, "neue Stelle?" -> ggf. sensibel? -> Aufgabe Liste sensibler Stellen erweitern"
- 2.1.2 - ✅Onboarding-Schulungsdokument verlinken
- wie ist sichergrstellt, dass das für jeden neuen Mitarbeiter gilt -> LMS -> Curiccula
- ✅Report über gehaltene Schulungen - muss über 90% liegen - Teresa bereitet Report für das Audit vor
- 2.1.3: - Verweis auf Kapitel Schulung in ISMS-Richtlinie
- 2.1.4:
- ✅Life-Cycle mobiler Geräte / nachweisen
- Owner des Gerätes muss unabhängig vom automatischen User nachweisbar sein
- Prozess -> Notebook wird zurück gegeben -> Owner auf "Pool-Gerät" einstellen
- ✅Notebook wird rausgeben -> Owner aktualisieren
- {:height 713, :width 542}
- #### 1.2.1
- ✅Management-Review um Informationssicherheit ergänzen
- Schulungsquote
- Anzahl Sicherheitsvorfälle
- siehe Vorlagen Kennzahlen von VIA
- Ziele für das Jahr
- wie aktuell die Zertifizierung
- ggf. geplante größere Investitionen
- neuer VDA Fragebogen
- Nachtrag für dieses Jahr erstellen
- weitere Top 5 Kennzahlen? Welche sind das?
- Idee: Informationssicherheit wie den IT-Berich separat führen -> Wer macht das?
- ✅Scope-Nummer und Assessment-Level rin "Erklärung zur Informationssicherheit" ergänzen
- Überwachung des ISMS - PDCA Zyklus
- Verweis auf Unternehmensregelkreis / KVP
- ✅"Auditprozesse" um Swimlange TISAX ergänzen
- Auditplan verlinken
- ✅Link Auditplan ergänzen
- Link zur OPL Excel "Auditplan"
- ✅Internes Audit TISAX um "VIA Consult" ergänzen
- Asset-Bewertung um "Projekt intern" / "Porojekt Vertrtaulich ergänzen"
- #### 1.2.2
-
- 1.2.3:
- ✅Hier fehlt eine Beschreibung, was gemacht wird, was das Ergebnis ist, und wie ein Projekt am Ende Klassifiziert wurde. Ein Beispiel sollten wir zeigen können.
- [F06_1_95.xlsx (sharepoint.com)](https://krahgruppe.sharepoint.com/:x:/r/doc/_layouts/15/Doc.aspx?sourcedoc=%7B4773be0b-e7db-4017-b52d-137980bc13b5%7D&action=default&mobileredirect=true)
- ✅Ist im Prozess Projektmanangement das Formualr F06... eingebunden?
- ✅ https://krahprocess.azurewebsites.net/?id=7169
- ergänzen um Beschreibung, z.B. beim Projektstart ergänzen, dass APQP Projekt
- mindestens intern oder vertraulich abfragen
- was ist die Unterscheidung zwischen interenen und vertraulichen Projekten?
- Mandantentrennung
- 1.2.4
- ✅Liste Cloud Dienstleister - Metadaten der EK-Liste erweitern
- Filter Cloud-Dienstleister
- Filter IT-Dienstleister
- SLA
- hat Vertrauliche Daten? - Kritische Punkte der Dienstleister "Verfügbarkeit"
- #### 1.4.1
- ✅Beschreibung der FMEA RPZs fehlt - QMV 08-14
- #### 1.5.2:
- Wartung Serverraum, Wartung Brandmeldeanlagen
- Pentest in Planung
- ✅Nejc erstellt Konzept / OnPager
- BitSight Report als Nachweis
- Notfallplan / Notfallübung -> USV Überprüfung
- Notfallübungen aus Arbeitssicherheit
- Brandschutzübungen
- Elektrische Prüfungen
- #### 4.1.1:
- ✅ Änderungsprozess mit Freigabe erforderloich, wenn Token erweitert wird
- Was unterschreibt der User bei Aushändigung?
- ✅Prozess Verlust von Token/Chip nicht beschrieben
- RES im Bebäude nur Schlüssel
- ✅Prozess fehlt
- ✅Formular für Änderungen bei Zutritten fehlt - heute nur im Onboarding enthalten
- Wer gibt welche Zutritte / Räume frei? / kein Freigabeprozess
- ✅Zutrittsberechtigungen Entziehen - Prozess fehlt (bezogen auf Zutritte)
- ✅Onboarding (im Fall von Stellenwechsel) um Entzug von Rechten ergänzen
- #### 4.1.2
- Admin-Rechte nicht nachweisbar
- ✅Liste der berechtigten Admis ergänzen
- Umgang mit Sammelaccounts nicht darstellbar
- Rechner ohne Internet, abgekündigte PCs
- 4.1.3
- ✅personalisierte Benutzerkonten -> nicht beschrieben, außerdem sind bei uns auch Sammelkonten im Einsatz
- ✅Prozessbeschreibung fehlt - wie werden Berechtigungen wieder entzogen?
- Beim Austritt teilweise über SAP-synchronisation
- nicht darstellbar für SAP, Teams und viele weitere Systeme
- Überprüfung Benutzerkonten nicht vorweisbar
- viele weitere Mängel in diesem Punkt
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
- #### 4.2.1
- Prozess Rechtevergabe in viFlow beschrieben
- ✅Rechte Entziehen - Prozess fehlt (bezogen auf Software-Rechte) (siehe 4.1.1) -> Hinweis auch in Onboarding/Stellenwechsel ergänzen
- Es ist nicht überprüftbar wer ab wann welche Rechte hat
- Totalausfall auch in diesem Punkt
- ❗️ Fazit: manuell ist dieser Prozess nicht handelbar. Abweichung im Audit ist sicher. Einzig kurzfristig die Einführung einer Spezialstoftware zu planen könnte den Punkt "retten"
- 5.1.1
- ✅Liste aller im Einsatz befindlicher Verschlüsselungssystmeme ins ISMS-Richtlinie ergänzen
ISME am Ende - Auflistung der Testsysteme ergänzen
- ✅Testsysteme Ggf in Asset Bewertung aufnehmen
- ✅Beschreiben, wie wir Änderungen ausrollen:
- erst Testgruppen, dann IT-User, dann Keyuser, dann alle anderen User, ggf. Vorgehen pro Werk
- 5.2.4
- letzter Satz -"Protokollierung von allen Zugriffen auf Daten mit sehr hohem Schutzbedarf, soweit technisch möglich und im Rahmen der gesetzlichen und betrieblichen Bestimmungen zulässig"
- z.B. Zutritt Zementraum -> Schlüssel reicht nicht, Zugriff Zementrezept nicht protokolliert
- Zugriff aus vertrauliche Daten werden auch sonst nicht protokolliert (ggf. Einführung Azure Information Protection -> hoher Aufwand, separates Projekt)
- ✅Pentests als Maßnahmen in Risikoanalyse aufnehmen
- ✅CSOC Vertriebspräsentation der Leistungen für NAchweise ergänzen
- ✅Vorabkontolle im Change-Prozess verlinken
- #### 5.3.2
- ✅SLAs für IT-Lieferanten die IT-Services liefern benötigt
- im Wesentlichen sind hier Internet- und Telefon-Anbieter gemeint
- 6.1.1
- ✅Problem Kooperationspartner / Universitäten und Institute sind auch betroffen, nicht nur Lieferanten
- #### 3.1.1
- Sicherheitszonen
- ✅Archiv ist gelb und trotzdem steht die Tür offen -> Archiv im Neubau grün klassifizieren
- Wie werden alle Mitarbeiter geschult, welche Zonen es gibt, und wie sie sich dort zu verhalten haben? Heute keine Schulung hierfür vorhanden
- z.B. Nicht fotografieren- in isms-Richtlinie ergänzen, oder Zonenkonzept schulen
- ✅Fensterliste:
- Verweise aus die Zone in der sich die Tür oder das Fenster befindet muss ergänzt werden
- fast alle Fenster noch im Status Widerstandsklasse = keine
- Klasse RC1N reicht nicht, gelb fordert mindestens RC2N
- ✅Anbau? im Zonenplan löschen oder ergänzen, um Rückfragen nach dem Projektstatus zu vermeiden
- ✅IT-Büro sollte auch gelb klassifiziert werden
- ✅Bild 1 Kamera Tor auf Straße sollte auch im Zonenkonzept verpixelt werden
-
- BVQI
collapsed:: true
- Ansprechpartner
- 14 Tage vorher alle Dokumente
- 10.06. VDA Fragebogen ausgefüllt senden
- Reference Documentation
- {:height 510, :width 615}
- 9 Monate temporäre LAbel, Zeit für alle Nacharbeiten - Start 01.06.2023
-
-
Notizen Privat
collapsed:: true -