5,561
edits
Changes
no edit summary
|3
|Backups
|Prüfen und validieren Sie die Backup-Prozesse(Offline-, OffSite-Kufri und Lafri-Backups).
Backups werden regelmäßig erstellt und an Alternativ-Standorten gelagert.
Regelmäßig werden die Restore-Prozesse getestet.
|-
|13
|Melde-Kommunikation
|„was tun, wenn …“ Anweisungen bei Anomalien und/oder Ausfällen definieren;
Kommunikation über z.B.:
* Anweisungs-Aushänge in jedem Raum (z.B. A4);
* Anweisungs-Einstecker für Mitarbeiter (z.B. A8)
|-
|14
|Melde-Wege
|Meldegründe, Schwellwerte, Rollen
|-
|15
|Multiple Sourcing
|Redundanz durch Diversity, Einsatz mehrerer, paralleler, unabhängiger Softwaresysteme zur Lösung der selben Funktionalität und Prüfung bzw. Übernahme validierter Ergebnisse.
|-
|1416
|Netzwerk
|Vermeiden/beschränken Sie drahtlose Verbindungen.
|-
|1517
|Notfallplan
|Erstellen/Updaten und veröffentlichen Sie den abgestuften Notfallplan, auch durch Aushang in allen Räumen. Ggf. Ansprechpartner mit Mobilfunknummern.
|-
|1618
|Notfalltraining
|Simulieren Sie verschiedene Not-Situationen und trainieren Sie die entsprechenden Notfall-Konzepte.
|-
|1719
|Not-Telephon
|Installieren Sie eine Unabhängige, offline Analog-Nebenstellenanlage mit separaten ggf. speisefreien Endgeräten zwischen den Hauptgebäuden.
|-
|1820|Open Source|Kann proprietäre Software durch Open Source- oder quell-offene Software ersetzt werden?.|-|21
|Pattern-Recognition,
Anomalien
|Definition von üblichen Muster-Prozess-Abläufen; laufender Vergleich mit IST-Prozess-Abläufen; Erkennung von "Auffälligkeiten".
|-
|1922
|Penetration
|Penetration-Test Teams von unabhängigen, konkurrierenden Anbietern (und Mitarbeitern) sollen parallel und quasi-regelmäßig Einbruchsversuche vornehmen und dokumentieren.
|-
|2023
|PreOp-Testing
|Ziel für später: "No surprises!"
|-
|2124
|Rechte-Konzept
|Führen Sie ein zentrales Authentisierungs- und Rechte-Konzept ein.
|-
|2225
|Remote Support Zugriffe
|Prüfen und Dokumentieren Sie alle Remote Support Zugriffe.
|-
|2326
|Risiko-Analyse
|Führen Sie regelmäßig TOM-Risiko-Analysen durch (Technik, Organisation, Menschen).
Priorisieren Sie Daten, Anwendungen und Prozesse entsprechend der Risiko-Analyse.
Analysieren Sie Ihre IT-Ressourcen bezüglich Verfügbarkeit, Zuverlässigkeit, Loyalität und Qualifikation (6 Augen Prinzip).
|-
|2427|Sechs-Augen-Prinzip|Speziell IT-Administrations-Funktionen sollten nur im Vier- oder besser: im Sechs-Augen-Prinzip erfolgen und vollständig dokumentiert we|-|28
|Separierung
|Alle Endgeräte sowie Netz- und Speichergeräte werden bewertet und in entsprechenden, separaten Netzwerkbereichen betrieben.
Operations-Support-System (OSS) und Betriebs-Support-System (BSS) und Administration-Support-System (ASS) sind kontrollierbar zu vernetzen.
|-
|2529
|Supply-Chain Problematik
|IT-Dienstleister auf "IT-Security" prüfen; Abhängigkeiten minimieren, Risiken evaluieren, Notfallpläne mit Dienstleistern abstimmen.
|-
|2630
|Training
|Üben Sie regelmäßig Notfälle und Notfallpläne mit "relevanten" Mitarbeitern.
|-
|2731
|Updates
|Funktions- und insbesondere Security-Updates sind notwendig. Prüfen und validieren Sie die Update-Prozesse.
Hierbei besteht die Möglichkeit, verschlüsselte Informationen zu Externen zu übertragen (-> Hash).
|-
|2832
|Vertretungsregelung
|Prüfen und Updaten des Vertretungskonzepts.
|-
|2933
|Zugriffsregelung
|Berechtigungen sollen nur auf einer Need-to-know Basis erfolgen.
|}