Organisatorische Maßnahmen

Welche organisatorischen Maßnahmen treffen Sie, um IT-Sicherheit zu gewährleisten? Wie relevant sind die folgenden organisatorischen Maßnahmen für Sie und wie zufrieden sind Sie mit der Umsetzung?

Skala Relevanz 1 (sehr hohe Relevanz) bis 6 (sehr niedrige Relevanz) k.A. (keine Angabe)
Skala Umsetzung 1 (voll und ganz zufrieden) bis 6 (sehr niedrige Relevanz) k.A. (keine Angabe)
Relevanz für Unternehmen Umsetzung im Unternehmen
1 2 3 4 5 6 k.A. 1 2 3 4 5 6 k.A.
Aufbau von eigenem Security-Know-how (z.B. durch Fortbildung der IT-Mitarbeiter)
Awareness-Kampagnen für das Thema IT-Security
Bedarfsanalysen hinsichtlich IT-Security
Durchführen von regelmäßigen Backups
Durchführung von Zertifizierungen, z.B. nach IT-Grundschutz des BSI oder ISO/IEC 27001
Klassifikation von Daten/Informationen
Klassifikation von Geschäftsprozessen
Maßnahmen nach Bundesdatenschutzgesetz (BDSG): Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeitskontrolle, Trennungsgebot
Notfall- und Reaktionspläne
Penetrationstests
Regelmäßige Information über aktuelle Bedrohungen
Regelmäßige Schulung von Mitarbeitern
Regelmäßige Security-Audits
Regelmäßige Tests und Übungen der Notfall- und Reaktionspläne
Regelmäßige Überprüfung von Backups, Ersatzsystemen und Ausfallplänen
Richtlinien bei Ausscheiden von Mitarbeitern
Richtlinien bei Neueinstellungen
Richtlinien bzgl. der Zugriffsrechte in der „Probezeit“
Richtlinien für Anschaffung, Implementierung, Installation, Aufbau
Richtlinien zur Dokumentation (von Installationen und Konfigurationen, Schulung und Einweisung von Mitarbeitern, Tests, Audits, IT-Security-relevante Vorfällen etc.)
Richtlinien zum Jugendschutz / für Auszubildende unter 18 Jahre
Stichprobenkontrollen bzgl. Maßnahmenumsetzung und Richtlinieneinhaltung
Systematische Überprüfung der IT-Security-Regelungen im Rahmen der IT-Compliance
Tests und Freigabeverfahren für Geräte und Software, Freigabeverfahren für neue Anwendungen und Verfahren
Übungen zum Thema IT-Security
Verfahren nach IT-Grundschutz des BSI, wie IT-Strukturanalyse, Schutzbedarfsfeststellung und Risikoanalysen

Welche Aussagen treffen für Ihre Sicherheitsklassifikation von Informationen zu?

Es gibt keine Sicherheitsklassifikation von Informationen.
Wir klassifizieren hinsichtlich Vertraulichkeit.
Wir klassifizieren hinsichtlich Verfügbarkeit.
Wir klassifizieren hinsichtlich Integrität.
Wir unterscheiden zwei Stufen bei der Klassifikation von Informationen (vertraulich/nicht vertraulich, Verfügbarkeit kritisch/nicht kritisch, Integrität kritisch/nicht kritisch).
Wir unterscheiden drei oder mehr Stufen bei der Klassifikation von Informationen.
Die Klassifikation erfolgt automatisiert anhand von festgelegten Kriterien.
Mitarbeiter bekommen für die Klassifikation eine Entscheidungshilfe.
Mitarbeiter klassifizieren Informationen „ad hoc“.

Mit welchen Sicherheitsmaßnahmen sichern Sie die durch die Klassifikation ermittelten Anforderungen bzgl. vertraulicher Informationen ab?

Durch logische Systemtrennung (z.B. mittels Virtualisierung)
Durch physische Systemtrennung (getrennte Hardware)
Durch eine Hierarchie von Zugriffsrechten / Rechtemanagement
Protokollierung der Zugriffe wird periodisch ausgewertet
Andere

In welchen Intervallen werden It-Sicherheitsaudits bei Ihnen durchgeführt?

Welche der folgenden Aussagen in Bezug auf Endgeräte und den Verlust eines Endgeräts (Notebook, mobiles Endgerät wie Smartphones oder Tablet, Telefon, auch Hausausweis etc.) treffen zu?

Wir haben festgelegt, welche Arten von Daten wie auf den Endgeräten gespeichert werden dürfen.
Wir haben festgelegt, wer im Fall von Geräteverlust zu informieren ist (z.B. Vorgesetzter, IT-Leiter, Versicherung).
Wir haben die einzuleitenden Maßnahmen definiert (Fernlöschung, Ortung, Bereitstellung von Ersatzgeräten etc.).
Keine der genannten

Welche der folgenden Aussagen in Bezug auf den Verlust von Daten treffen zu?

Wir haben für den Fall eines Datenverlusts festgelegt, wer im Unternehmen zu informieren ist (Vorgesetzter, IT-Leiter, Datenschutzbeauftragter).
Wir haben für den Fall eines Datenverlusts festgelegt, wer extern zu informieren ist (betroffene Partner und Kunden, Polizei/Strafverfolgungsbehörden, Meldestellen/ Datenschutzaufsichtsbehörden).
Wir haben die einzuleitenden Maßnahmen definiert (genaue Feststellung und Dokumentation des Verlustes, Rücksicherung der Daten etc.).
Wir haben Vereinbarungen hinsichtlich Datenschutz und Wahrung von Firmengeheimnissen in unseren Arbeitsverträgen, Dienst- oder Betriebsvereinbarungen.
Keine der genannten

Betreibt Ihr Unternehmen IT-Risikomanagement?