Benutzer-berechtigungs-management
Das Unternehmen hat ein Benutzerberechtigungsmanagement einzurichten. Dieses muss sicherstellen, dass Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Unternehmens entspricht. Es ist ein Berechtigungskonzept schriftlich festzulegen. Im Hinblick auf die Vergabe von Berechtigungen an Benutzer hat dieses Konzept sicherzustellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt.
5 Access Management
Access Management bewilligt autorisierten Anwendern das Recht, einen Service zu nutzen und unterbindet gleichzeitig den Zugriff für unautorisierte Anwender. Dieser Prozess führt im Wesentlichen Vorgaben aus, die im Information Security Management definiert worden sind.
Verweise
FAIT 1: 4.2
GDPdU: K. 11
MaRisk: AT 4.3.1, AT 7.2
BAIT (2017) § 5 Tz. 24-30 bzw.
BAIT (2020) §6.1-6.8
GoBS: Tz. 5.3, 5.5.1
StGB: § 303a
BSI: ISMS.1, INF.1, ORP.4
COBIT v.4.1: DS 5.3-5.4 oder
COBIT v. 5: DSS05.04
ISO 27002: 9.1-9.1, 11.1-11.2
6 IT-Infrastruktur
IT-Infrastruktur bezeichnet die gesamte Hardware, Software sowie alle baulichen Maßnahmen, die notwendig sind, um eine bestimmte Software einzusetzen.
Verweise
FAIT 1: 4.2
FAIT 3: Tz. 7, K 7.2
BSI: INF.4, SYS.1.1-4.5
ISO 27002: 11.2, 12.6
COBIT v. 4.1: PO 2.1-4, PO 3.1-5 oder
COBIT v. 5: APO01.01, APO01.06, APO02.03-05, APO03.02, APO03.05,
APO04.03-05
MaRisk AT 7.2 Tz. 2
MaRisk BTO 2.1
7 Datenaustausch
Datenaustausch ist ein Begriff aus der Datenverarbeitung und steht für das Weiterleiten von Daten zwischen Organisationen und Unternehmen in zweckspezifisch standardisierter Form. Der Begriff wird zwar überwiegend im Zusammenhang mit elektronischen Verfahren verwendet, gilt aber unabhängig von der (...)
Datenaustausch ist ein Begriff aus der Datenverarbeitung und steht für das Weiterleiten von Daten zwischen Organisationen und Unternehmen in zweckspezifisch standardisierter Form. Der Begriff wird zwar überwiegend im Zusammenhang mit elektronischen Verfahren verwendet, gilt aber unabhängig von der Form der Daten und der Form der Übermittlung.
Verweise
ISO 27002: 13.2
8 Netzwerke
In der Informationstechnologie bezeichnet ein Netzwerk die Verbindung von mindestens zwei Computersystemen, entweder per Kabel oder drahtlos über eine Funkverbindung.
Verweise
BSI: INF.4, NET.1.1-4.3
ISO 27002: 13.1-13.2
9 Physischer Schutz
Die physische IT-Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Computersysteme. Der Bereich der physischen IT-Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum Einschließen (...)
Die physische IT-Sicherheit befasst sich mit den Maßnahmen zur Vermeidung von Gefahren durch unmittelbare, körperliche (physische) Einwirkung auf Computersysteme. Der Bereich der physischen IT-Sicherheit beginnt mit einfachen Mitteln wie verschlossenen Rechnergehäusen und reicht bis zum Einschließen von Systemen in Rechenzentren.
Verweise
FAIT 1: 4.2
GoBS: Tz. 5.5.1
BSI: INF.1-10
ISO 27002: 6.2, 11.1
COBIT v. 4.1: DS 12.1-5 oder
COBIT v. 5: DSS01.04-05, DSS05.05
10 Personal
Mit Personal werden die von Arbeitgebern beschäftigten Arbeitnehmer bezeichnet, die innerhalb einer institutionell abgesicherten Ordnung (Arbeitsanweisungen) eine Arbeitsleistung gegen Arbeitsentgelt erbringen.
Verweise
MaRisk: AT 7.1
BAIT (2017) §5.23 bzw.
BAIT (2020) §6.1
COBIT v. 4.1: PO 4.5, PO 7.1-7.5, PO 7.7 oder
COBIT v. 5: APO01.01, APO07.01-05
BSI: ISMS.1, ORP.1-5
ISO 27002: 7.1-7.3
11 BS/SB Administration
Die Systemadministration ist beispielsweise für die Verwaltung des EDV-Systems zuständig. Sie steuert, dass Zugriffsrechte richtig verteilt sind, verwaltet zentrale Speicher bzw. Datenbanken und muss sich darum kümmern, dass die Software auf dem aktuellen Stand ist bzw. neue Tools installiert (...)
Die Systemadministration ist beispielsweise für die Verwaltung des EDV-Systems zuständig. Sie steuert, dass Zugriffsrechte richtig verteilt sind, verwaltet zentrale Speicher bzw. Datenbanken und muss sich darum kümmern, dass die Software auf dem aktuellen Stand ist bzw. neue Tools installiert werden. Daneben gibt es Netzwerkadministration, die für das interne und externe Betriebsnetzwerk zuständig ist.
Verweise
ISO 27000 - 27005