Anhand der folgenden Checklisten, die in die zuvor genannten Bereiche unterteilt sind, können Sie eine Bestandsaufnahme und Bedarfsanalyse vornehmen, die Sie zur Grundlage Ihres IT-Sicherheitskonzepts machen können.
9.1 Checkliste 1: Sicherheitsmanagement
| Leitfrage | Ja | Nein | Prüfen |
|---|---|---|---|
| Hat die Unternehmensleitung verbindliche IT-Sicherheitsziele festgelegt und die eigene Verantwortung der Geschäftsführung für die IT-Sicherheit ausdrücklich schriftlich fixiert? | □ | □ | □ |
| Gibt es einen IT-Sicherheitsbeauftragten? | □ | □ | □ |
| Wurde der IT-Sicherheitsbeauftragte angemessen geschult? | □ | □ | □ |
| Muss ein Datenschutzbeauftragter gestellt werden? Wurde bei der Prüfung die EU-DSGVO berücksichtigt? | □ | □ | □ |
| Werden IT-Sicherheitserfordernisse bei neuen Projekten, insbesondere bei der Planung von Netzwerkerweiterungen, Neuanschaffungen von Computer- und Kommunikationssystemen und IT-Dienstleistungsverträgen, frühzeitig berücksichtigt? Entsprechen diese auch der EU-DSGVO? | □ | □ | □ |
| Gibt es eine Planung für die Umsetzung der Sicherheitsziele und der erforderlichen IT-Sicherheitsmaßnahmen? | □ | □ | □ |
| Werden bei der Planung und Umsetzung der Sicherheitsmaßnahmen alle erforderlichen gesetzlichen Rahmenbedingungen und auch die EU-DSGVO beachtet? | □ | □ | □ |
| Wird der Datenschutzbeauftragte in die Entscheidungsprozesse für die Festlegung der Sicherheitsmaßnahmen eingebunden? | □ | □ | □ |
| Ist in der Planung berücksichtigt worden, ob die Sicherheitsmaßnahmen einmalig oder regelmäßig durchgeführt werden müssen? | □ | □ | □ |
| Gibt es einen Terminplan für die Überprüfung der Sicherheitsmaßnahmen? | □ | □ | □ |
| Gibt es eine Liste, in der die Zuständigkeiten und Verantwortlichkeiten für die Umsetzung der IT-Sicherheitsmaßnahmen festgelegt sind? | □ | □ | □ |
Sind die Passwörter sicher, so dass Unbefugte sie nicht ermitteln können? Sind die notwendigen Passwörter so hinterlegt, dass notfalls auch andere Mitarbeiter die Sicherheitsmaßnahmen durchführen können? |
□ | □ | □ |
| Sind die bestehenden Sicherheitsrichtlinien und Zuständigkeiten allen Mitarbeitern bekannt, die mit der Durchführung von Sicherheitsmaßnahmen betraut sind? | □ | □ | □ |
| Werden neu eintretende Mitarbeitende sofort über die Sicherheitsmaßnahmen informiert? Gibt es Checklisten, in denen genau aufgeführt ist, was in Bezug auf die IT-Sicherheit beim Eintritt neuer Mitarbeiter und beim Ausscheiden von Mitarbeitern zu beachten ist (Kennwörter, Berechtigungen, Schlüssel, Security-Card usw.)? | □ | □ | □ |
| Wird die Wirksamkeit der IT-Sicherheitsmaßnahmen regelmäßig überprüft? | □ | □ | □ |
| Ist das IT-Sicherheitskonzept dokumentiert und steht es allen Mitarbeitern zur Verfügung? | □ | □ | □ |
| Gibt es IT-Sicherheitsrichtlinien, die jedem Mitarbeiter ausgehändigt werden? | □ | □ | □ |
Tab. 1: Checkliste IT-Sicherheitsmanagement
9.2 Checkliste 2: Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
| Leitfrage | Ja | Nein | Prüfen |
|---|---|---|---|
| Viele Programme, Apps und EDV-Anwendungen sind bereits mit bestimmten Schutzmechanismen ausgestattet. Werden diese Schutzmechanismen genutzt? | □ | □ | □ |
| Werden Virenschutzprogramme flächendeckend eingesetzt und ständig aktualisiert? | □ | □ | □ |
| Sind Firewall-Lösungen vorhanden und werden diese eingesetzt? | □ | □ | □ |
| Sind allen Benutzern des Computersystems Benutzernamen, Kennwörter und bestimmte Rechte bzw. Rollen und Profile zugeteilt worden? | □ | □ | □ |
| Gibt es Zugriffsbeschränkungen und ist klar geregelt, auf welche Daten jeder Mitarbeiter zugreifen darf? | □ | □ | □ |
| Gibt es auch für Administratoren unterschiedliche Zugriffsrechte und/oder unterschiedliche Rollen und Profile? | □ | □ | □ |
| Ist geregelt, welche Rechte und Privilegien Anwendungsprogramme und Benutzer innerhalb des Computersystems haben? | □ | □ | □ |
| Werden bei IT-Komponenten die werkseitigen Standardeinstellungen für Benutzernamen und Kennwörter geändert und angepasst? | □ | □ | □ |
| Werden sicherheitsrelevante Programme und Funktionen, die nicht benötigt werden, tatsächlich deinstalliert und deaktiviert? | □ | □ | □ |
| Wissen alle Benutzer, wie sie sicherheitskonform handeln und Risiken beim Internetzugriff sowie beim Empfangen und Versenden von E-Mails vermeiden? | □ | □ | □ |
| Wissen alle Benutzer wie sie sich verhalten sollten, wenn ein Virenschutzprogramm einen Schadprogrammbefall meldet? | □ | □ | □ |
| Gibt es aktuelle schriftliche Handlungsanweisungen für die sicherheitskonforme Computernutzung? | □ | □ | □ |
| Werden ausführliche Installations- und Systemdokumentationen erstellt und regelmäßig aktualisiert? | □ | □ | □ |
| Gibt es einen Notfallplan für alle wichtigen Notfallsituationen, der außer detaillierten Verhaltensanweisungen auch Namen und Kontaktangaben von Verantwortlichen und Ansprechpartnern enthält? | □ | □ | □ |
| Werden die angegebenen Handlungsanweisungen und Kontaktadressen regelmäßig überprüft und aktualisiert? | □ | □ | □ |
| Wissen alle Mitarbeiter, dass es einen Notfallplan gibt und wie dieser zugänglich ist? | □ | □ | □ |
Tab. 2: Checkliste Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
9.3 Checkliste 3: Sicherheitsbewusstsein
| Leitfrage | Ja | Nein | Prüfen |
|---|---|---|---|
| Werden die Mitarbeiter regelmäßig in sicherheitsrelevanten Themen geschult? | □ | □ | □ |
| Werden vertrauliche Informationen und Datenträger mit vertraulichen Informationen sorgfältig aufbewahrt und zusätzlich geschützt? | □ | □ | □ |
| Erhalten alle Mitarbeiter einen Sicherheitsleitfaden, in dem sämtliche sicherh... |
Das ist nur ein Ausschnitt aus dem Produkt Haufe Steuer Office Excellence. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen