92 lines
3.2 KiB
Markdown
92 lines
3.2 KiB
Markdown
## Journal
|
|
-
|
|
## Notizen Arbeit
|
|
- ### [[Meeting]]: TISAX - internes Audit VIA - Tag 2
|
|
type:: [[Meeting]]
|
|
icon:: 📅
|
|
team:: [[@Vadim Bosche]], [[@Oliver Reinicke]], [[@Andreas Steinberg]], [[@Melita Gramc]], [[@Nejc Mlakar]]
|
|
projekt:: [[%P TISAX Einführung KRA & RES]]
|
|
datum:: [[2023-06-01]]
|
|
uhrzeit:: [[08:17]]
|
|
- eigener Datenschutzbeauftragter für SLO wird aktuell beauftragt
|
|
- Management-Review RES -> um ISMS ergänzen
|
|
- 1.5.1
|
|
- Nachweise über Elektro-Analyse
|
|
- Server, USV, Kommunikation etc. in einer Excel -Liste
|
|
- -> ähliche Excel-Tabelle für KRAh erstellen
|
|
- 1.5.2
|
|
- Formulare übersetzen
|
|
- Whilsblower
|
|
- 2.1.1
|
|
- Update recouring Prozess -> neue Stelle? -> Beurteilung Informationssicherheitsrisiken? -> Update Onboarding-Vorlage "Liste sensibler Stellen"
|
|
- 2.1.2
|
|
- Report 90% Quote die geschult wurden nicht vorhanden
|
|
- 2.1.4
|
|
- 3.1.1.
|
|
- Zone-Concept
|
|
- RES: Unklar ist, bezüglich Serverraum Kostanjevica -> Aufwand ca. 1000 € -> Entscheidung ins Konzept aufnehmen
|
|
- Fenster und Türen müssen noch geprüft werden
|
|
- 3.1.2
|
|
- Notfallpläne aus IATF -> "not in form"
|
|
- nur die Risikopläne vorzeigbar
|
|
- Aussage Reinicke: "Wie konnten wir so IATF zertifiziert werden?"
|
|
- Frage nach Schulung und Simulation eines Risikos -> Beispiele für das Audit vorbereiten
|
|
- 3.1.4
|
|
- MDM - wie in Deutschland
|
|
- "Besitzer" der Geräte manuell setzen
|
|
- 4.1.1
|
|
- Schlüssel als "Türen" in Salo anlegen, um NAchweis und Report zu den Berechtigungen zu haben
|
|
- Prozess Verlust von Karte oder Schlüssel
|
|
- wer muss informiert werden?
|
|
- was kostet es?
|
|
- 4.1.2
|
|
- Changes Access-Rights
|
|
- Stellenänderung
|
|
- 5.1.1
|
|
- same as in Germany
|
|
- 5.1.2
|
|
- same as in Germany
|
|
- 5.2.1
|
|
- change process
|
|
- 5.2.2
|
|
- Testsysteme: different to germany
|
|
- development:
|
|
- autotexting on commit
|
|
- development guideline
|
|
- #### 5.2.4
|
|
- wo ist das beschrieben? - haben wir, Liste der Logs die genutzt werden
|
|
- 5.2.6
|
|
- PRTG: nicht mehr im Einsatz
|
|
- RES nutzt: "The Dude 7.9" network monitor
|
|
- active computers
|
|
- to be done: Kleine Beschreibung des Systems um es an den Auditor zu übergeben
|
|
- {:height 513, :width 876}
|
|
-
|
|
- Werden die Logs von der Sophos RES in den CSOC übergeben?
|
|
- Contact PenTest ->
|
|
- 5.3.1
|
|
- Vorabkontrolle
|
|
- -> gleicher PRozess
|
|
- 5.3.2
|
|
- Provider wie Telekom
|
|
- -> Wird durch C.Wenta kooridiniert
|
|
- RES-Spezifische Lieferanten hinzufügen
|
|
- SLAs der Telekom -> ins Notfallhandbuch aufgenommen
|
|
- Redundanz - SoftNet als alternativen Anbeiter, für separate Internetleitung
|
|
- 5.3.3
|
|
- Cloud-Services nur bei RES? -> keine
|
|
- 5.3.4
|
|
- 6.1.1.
|
|
- wie bei KRAH
|
|
-
|
|
- 7.1.1
|
|
- herausstellen welche Gesetze und was davon für die Firma Relevanz hat -> Welche Maßnahmen ergeben sich daraus?
|
|
- Nachweise wie die Anforderungen an die Gesetze umgesetzt sind
|
|
- nicht erforderlich den DPO im Organigramm zu nennen
|
|
- 7.1.2
|
|
- GDPR - Gesetz in SLO wurde kürzlich geändert "DPO" = Data Prototection Officer
|
|
- Consultant ist Benjamin Lesjak von DATAINFO.SI
|
|
- Gap zur national legislation schließen -> erstellt Action-Plan
|
|
-
|
|
## Notizen Privat
|
|
- |