Informationssicher-heitsmanagement

Unter Berücksichtigung der Risikosituation ist die Geschäftsleitung dafür verantwortlich, eine Informationssicherheitsleitlinie zu beschließen und innerhalb des Unternehmens angemessen zu kommunizieren. Auf Basis dieser Leitlinie sind konkretisierende Informations-sicherheitsrichtlinien und -prozesse mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung zu definieren, die den Stand der Technik berücksichtigen.

26 Datenschutz
Informationssicherheitsmanagement – Datenschutz

Beim Datenschutz handelt es sich um den Schutz von personenbezogenen Daten. Dieser Schutz ist dann erforderlich, wenn verantwortliche Stellen im Sinne der Datenschutzgrundverordnung personenbezogene Daten verarbeiten. Ohne die Einhaltung des Datenschutzes werden maßgebliche europäische und nationale (...)

Beim Datenschutz handelt es sich um den Schutz von personenbezogenen Daten. Dieser Schutz ist dann erforderlich, wenn verantwortliche Stellen im Sinne der Datenschutzgrundverordnung personenbezogene Daten verarbeiten. Ohne die Einhaltung des Datenschutzes werden maßgebliche europäische und nationale Gesetze verletzt.

Verweise

FAIT 1: 3.1
GoBS: Tz. 5
StGB: §§ 202, § 303a, § 263a
AO: § 87a
BSI: ISMS.1, CON.1-2, ORP.5
ISO 27002: 5.1, 18.1.4
TMG §§ 11-15a
DSGVO

27 Datenvernichtung
Informationssicherheitsmanagement – Datenvernichtung

Unter Datenvernichtung versteht man Verfahren, mit denen Datenträger so behandelt werden, dass eine Rekonstruktion der ursprünglich darauf enthaltenen Daten hochgradig unwahrscheinlich bzw. praktisch ausgeschlossen ist. In dieser Hinsicht kann Datenvernichtung als Bestandteil des Datenschutzes (...)

Unter Datenvernichtung versteht man Verfahren, mit denen Datenträger so behandelt werden, dass eine Rekonstruktion der ursprünglich darauf enthaltenen Daten hochgradig unwahrscheinlich bzw. praktisch ausgeschlossen ist. In dieser Hinsicht kann Datenvernichtung als Bestandteil des Datenschutzes aufgefasst werden.

Verweise

BSI: CON.6
ISO 27002: 8.3.2, 11.2.7
COBIT v. 4.1: DS 11.4 oder
COBIT v. 5: DSS05.08

28 Richtigkeit der Buchungen
Informationssicherheitsmanagement – Richtigkeit der Buchungen

Im Hinblick auf die geforderte Richtigkeit müssen nicht nur alle Geschäftsvorfälle gebucht werden, sondern dies muss auch zutreffend (also den Informationen im Beleg entsprechend und nicht unvollständig) und im richtigen Abrechnungszeitraum (also periodengerecht) erfolgen.

Verweise

FAIT 1: 3.2.1
HGB: § 239
GoBS: Tz. 3

29 Internetnutzung
Informationssicherheitsmanagement – Internetnutzung

Grundsätzlich gibt es in Deutschland kein Gesetz, dass die private Internetnutzung am Arbeitsplatz verbietet. Durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikationsgesetz (TKG) können jedoch entsprechende Vorschriften und Regeln abgeleitet werden.

Verweise

TMG: §§ 11ff (§ 11 - § 16),
TKG: §§ 88-96

30 Datenqualität
Informationssicherheitsmanagement – Datenqualität

Datenqualität bezeichnet eine Wahrnehmung oder Bewertung in Bezug auf die Frage, wie gut Daten dafür geeignet sind, ihren Zweck in einem bestimmten Zusammenhang zu erfüllen. In Organisationen ist eine ausreichende Datenqualität entscheidend für operative und transaktionale Prozesse sowie die (...)

Datenqualität bezeichnet eine Wahrnehmung oder Bewertung in Bezug auf die Frage, wie gut Daten dafür geeignet sind, ihren Zweck in einem bestimmten Zusammenhang zu erfüllen. In Organisationen ist eine ausreichende Datenqualität entscheidend für operative und transaktionale Prozesse sowie die Zuverlässigkeit von Berichten.

Verweise

COSO: Vol. II Principle 15 16

31 Vollständigkeit der Buchungen
Informationssicherheitsmanagement – Vollständigkeit der Buchungen

Vollständigkeit bedeutet, dass alle Geschäftsvorfälle gebucht und damit auch alle Belege archiviert sowie innerhalb der Aufbewahrungsfrist verfügbar und lesbar sind. Aufzeichnungslücken dürfen somit nicht bestehen.

Verweise

FAIT 1: 3.2.1
HGB §§ 239 Abs. 2, 246 Abs. 1
GoBS: Tz. 3.1

32 IuK-Dienste
Informationssicherheitsmanagement – IuK-Dienste

Der Begriff IuK (Information und Kommunikation) auch gebräuchlich als ITK – IT (Informationstechnik) und TK (Telekommunikation) steht für jegliche Kommunikationsanwendung, darunter Radio, Fernsehen, Handys, Smartphones, Hardware und Software für Computer und Netzwerke, Satellitensysteme, sowie für (...)

Der Begriff IuK (Information und Kommunikation) auch gebräuchlich als ITK – IT (Informationstechnik) und TK (Telekommunikation) steht für jegliche Kommunikationsanwendung, darunter Radio, Fernsehen, Handys, Smartphones, Hardware und Software für Computer und Netzwerke, Satellitensysteme, sowie für die verschiedenen Dienstleistungen und Anwendungen, die damit verbunden sind.

Verweise

IuK DG

33 Information Security Management
Informationssicherheitsmanagement – Information Security Management

Information Security Management stellt sicher, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.

Verweise

FAIT 1: 4.2
BSI 200-1, 200-2 Kap. 2
ISO 27000 - 27005
ITIL (Service Design)
GoBS Tz. 5

34 Aufbewahrungspflicht
Informationssicherheitsmanagement – Aufbewahrungspflicht

Unter Aufbewahrungspflicht wird die Rechtspflicht verstanden, bestimmte Geschäftsunterlagen zu abgeschlossenen Geschäftsvorgängen für handelsrechtliche oder steuerrechtliche Zwecke geordnet aufzubewahren, damit auf diese bei Bedarf zurückgegriffen werden kann.

Verweise

FAIT 1: 3.2.6
MaRisk: AT 6, BTO 2.2.1 Tz. 4
GoBS: Tz. 7
AO: § 147
HGB: § 257
GDPdU: K. 9

35 Auto. Abruf von Kontoinformationen
Informationssicherheitsmanagement – Autom. Abruf von Kontoinformationen

Kreditinstitute in Deutschland sind verpflichtet, eine Datenbank zu führen, in der die Kontostammdaten ihrer Kunden gespeichert sind. In gesetzlich geregelten Fällen darf die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) seit April 2003 bei Erfüllung ihrer Aufgaben, insbesondere für (...)

Kreditinstitute in Deutschland sind verpflichtet, eine Datenbank zu führen, in der die Kontostammdaten ihrer Kunden gespeichert sind. In gesetzlich geregelten Fällen darf die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) seit April 2003 bei Erfüllung ihrer Aufgaben, insbesondere für strafrechtliche Zwecke, auf diese Datenbank zugreifen sowie Auskunft über Kontostammdaten eines in Deutschland geführten Bankkontos an andere Behörden erteilen.

Verweise

KWG § 24c
AO § 93 Abs. 7

36 Unveränderlichkeit der Buchungen
Informationssicherheitsmanagement – Unveränderlichkeit der Buchungen

Buchungen oder Aufzeichnungen dürfen weder in der Weise verändert werden, dass der ursprüngliche Inhalt nicht mehr feststellbar ist, noch in der Weise, dass es ungewiss ist, ob die Veränderungen ursprünglich oder erst später durchgeführt worden sind.

Verweise

FAIT 1: 3.2.1
HGB § 239 Abs. 3
AO: § 146 Abs. 4