Betroffene Basis-Ziele
Konkretes Ziel
Vermeidung von Verstößen gegen gesetzliche, amtliche oder vertragliche Verpflichtungen im Zusammenhang mit Informationssicherheit sowie gegen jegliche Sicherheitsanforderung.
Maßnahme
Alle relevanten gesetzlichen, amtlichen und vertraglichen Anforderungen sowie die Strategie der Organisation zur Erfüllung dieser Anforderungen müssen für jedes Informationssystem sowie für die Organisation ausdrücklich ermittelt, dokumentiert und auf dem neuesten Stand gehalten werden.
Umsetzung
Die Kenntnis und Einhaltung von relevanten gesetzlichen, amtlichen und vertraglichen Anforderungen im Finanz- und Personalbereich (z.B. Steuern und Arbeitsrecht) liegt in der Verantwortung der Geschäftsführung in Person von Frau Hasler.
Weiterhin sind die maßgeblichen Gesetzte im Kontext der Organisation benannt. Diese Gesetze werden regelmäßig überprüft, in dem im Bundesanzeiger Änderungen ermittelt werden. Das genau Vorgehen ist im Wiki [hier] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/558170113/Rechtliche+Grundlagen+absichern) beschrieben.
Maßnahme
Es sind angemessene Verfahren zu implementieren, mit denen die Einhaltung gesetzlicher, amtlicher und vertraglicher Anforderungen zur Verwendung von Material, an dem möglicherweise Schutzrechte bestehen, sowie von urheberrechtlich geschützten Software-Produkten sichergestellt wird.
Umsetzung
Die Mitarbeiter werden durch entsprechende Klauseln in der Vertraulichkeitsvereinbarung auf die Einhaltung gesetzlicher, amtlicher und vertraglicher Anforderungen verpflichtet. Außerdem ist dieses Thema Bestandteil der Informationssicherheits-Schulungen.
Maßnahme
Aufzeichnungen sind nach gesetzlichen, amtlichen, vertraglichen und geschäftlichen Anforderungen vor Verlust, Zerstörung, Fälschung, unautorisiertem Zugriff und unautorisierter Freigabe zu schützen.
Umsetzung
Um die entsprechende Einhaltung der Sicherheitsanforderungen bezüglich Aufzeichnungen kümmert sich die Geschäftsleitung, indem wesentliche Dokumente im Phoenix Dokumentenmanagement abgelegt werden. Diese sind in einem nur der Geschäftsleitung zugänglichen Bereich abgelegt.
Maßnahme
Die Privatspähre sowie der Schutz von personenbezogenen Informationen müssen entsprechend den Anforderungen der relevanten Gesetze, Vorschriften und ggf. Vertragsbestimmungen sichergestellt werden.
Umsetzung
Um die Einhaltung des Schutzes von personenbezogenen Informationen und der Privatspähre kümmert sich der DSB.
Maßnahme
Kryptographische Kontrollmaßnahmen müssen unter Einhaltung aller relevanten Vereinbarungen, Gesetze und Vorschriften angewandt werden.
Umsetzung
Um die Einhaltung entsprechender Vereinbarungen, Gesetze und Vorschriften kümmert sich die IT-Leitung. Diese kontrolliert beispielsweise die richtigen VPN-Zugänge und prüft mit https://www.ssllabs.com/ die entsprechenden Server.
Reviewdatum: 12.11.2024, Johannes Imhof