u-form Testsysteme ISO 27001 Dokumentation

Umgang mit Speichermedien

Betroffene Basis-Ziele

Konkretes Ziel

Verhinderung von unerlaubter Veröffentlichung, Veränderung, Entnahme oder Zerstörung von Informationen, die auf Medien gespeichert sind.

Verwaltung von Wechselmedien

Maßnahme

Es sind Verfahren für die Verwaltung von Wechselmedien entsprechend dem von der Organisation eingesetzten Plan zur Klassifizierung von Informationen zu implementieren.

Umsetzung

  1. Als Wechselmedien gelten alle entnehmbaren Datenträger wie USB-Sticks, externe Festplatten, Smartphones oder CD/DVDs.
  2. Der Datentransfer via Wechselmedium sollte nach Möglichkeit vermieden werden. Eine Übertragung via E-Mail oder Netzlaufwerk ist immer vorzuziehen.
  3. Diese Geräte dürfen an Rechnern verwendet werden, wenn der entsprechende Rechner einen aktuellen laufenden Virenscanner hat.
  4. Es sind ausschließlich Wechselmedien von u-form zu verwenden. Diese dürfen nicht für private Zwecke verwendet werden.
  5. Auf Wechselmedien dürfen keine vertraulichen oder personenspezifischen Daten gespeichert werden.
  6. Ausnahme-Genehmigungen von diesen Regeln sind bei der IT-Leitung einzuholen.

Diese Maßnahme wird den Mitarbeitern u.a. im Wiki-Artikel 11 Goldene IS-Regeln erläutert.

##Entsorgung von Medien

Maßnahme

Medien müssen sicher und unter Anwendung formaler Verfahrensanweisungen entsorgt werden, wenn sie nicht mehr benötigt werden.

Umsetzung

Medien (egal ob Wechsel- oder Festmedien) müssen vor der Entsorgung gelöscht werden. Die physikalische Vernichtung ist im [Wiki] (https://u-form.atlassian.net/wiki/spaces/II/pages/158466049/Physikalische+Vernichtung+einer+HDD) beschrieben. Ebenfalls im [Wiki] (https://u-form.atlassian.net/wiki/spaces/II/pages/156958739/Alte+Festplatten) wird dokumentiert welche Platten mit welcher Seriennummer zerstört wurden.

Festplatten und Magnetbänder werden durch die IT-Abteilung ausgebaut und vor der Entsorgung physisch zerstört. Diese Regelung gilt grundsätzlich für alle EDV-Systeme (Arbeitsplatzrechner oder Server). Diese Regelung gilt ebenfalls für defekte Medien.

Verantwortlich für die fachgerechte Löschung ist die IT-Abteilung.

Diese Maßnahme wird den Mitarbeitern u.a. im Wiki-Artikel 11 Goldene IS-Regeln erläutert.

Papier mit sicherheitsrelevanten oder personenbezogenen Daten (z.B. Verträge, Bewerbungen, etc.) muss über einen Shredder entsorgt werden. Eine entsprechende Regelung findet sich im Dokument Klassifizierung von Informationen.

Transport physischer Medien

Maßnahme

Medien, auf denen Informationen gespeichert sind, müssen vor unautorisiertem Zugriff, missbräuchlicher Verwendung oder Verfälschung während des Transports geschützt werden.

Umsetzung

  1. In der Regel werden nur Papier-Dokumente (Rechnungen, Verträge…) als physische Medien versendet. Da diese Dokumente nicht in besonderem Maße schützenswert sind, werden sie auf dem normalen Postweg via Brief bzw. Paket versendet.
  2. Eine Ausnahme stellen die Papier-Tests / Testbögen dar. Testbögen werden grundsätzlich nur an vertrauenswürdige Empfänger versendet. Dies sind Unternehmen mit vertrauenswürdigem Ansprechpartner und Ausbildungs-Nachweis. Es wird nicht an Packstationen oder Privatpersonen versendet.

Reviewdatum: 12.11.2024, Johannes Imhof