07.03.2018

Informationssicherheit optimieren? Mit dem richtigen Fragenkatalog potenzielle Schwachstellen identifizieren.

Immer häufiger werden in Unternehmen fachbereichsspezifische Lösungen entwickelt, von denen die interne IT-Abteilung selten etwas mitbekommt. Aber gerade diese individuellen Datenverarbeitungen (IDV) bürgen hohe Risikopotenziale für die Informationssicherheit.

Wenn Sie Ihre Informationssicherheit optimieren möchten, müssen Sie sich daher auch dem Schutzbedarf solcher "Schatten IT Lösungen" widmen. Dies gelingt Ihnen z. B. durch einen gezielten Fragenkatalog.

Zur Optimierung der Informationssicherheit stellen Sie den Fachbereichsverantwortlichen zu jeder individuellen IT-Lösung folgende Fragen:

  • Ist die IDV-Anwendung in dem zentralen IT-IDV-Inventarverzeichnis hinterlegt?
  • Sind der Einsatzzweck, fachlicher Inhalt sowie Programmierlösungen dokumentiert?
  • Wurde für die IDV-Anwendung eine erweiterte Verfahrensdokumentation erstellt, geprüft und freigegeben?
  • Wurden nach Änderungen und vor der Produktivstellung, Abnahmetests gemäß interner IT-Prozesse durchgeführt?
  • Werden streng vertrauliche oder personenbezogene Testdaten ausreichend pseudonymisiert oder anonymisiert?
  • Werden bei umfangreichen Änderungen und neuen IDV-Anwendungen schriftliche Freigaben der IDV-Anwendung für den produktiven Einsatz eingeholt?
  • Wurde für jede produktiv eingesetzte IDV-Anwendung (Programme, Dateien etc.) eine eindeutige Versionsnummer vergeben?
  • Sind die produktiven als auch historischen Versionen getrennt voneinander abgelegt?
  • Ist der Zugriff auf die Ablagestrukturen durch Berechtigungsmanagement nach dem "Need-to-Know-Prinzip" eingeschränkt?
  • Werden im Rahmen der Freigabe neuer bzw. geänderter IDV die Angemessenheit der Zugriffsberechtigungen durch den IDV Freigeber bestätigt?
  • Werden alle IDV-Anwendungen inkl. aller zum Verständnis notwendigen Komponenten und deren Dokumentation grundsätzlich auf internen Fileservern abgelegt?
  • Werden Daten aus dem Internet bearbeitet bzw. liegt eine Internetschnittstelle vor?

Mit diesem Fragenkatalog können Sie sicherstellen, dass Sie ausreichend Informationen rund um die IDV erfasst haben und potenzielle Schwachstellen identifizieren können.

Voraussetzung ist aber immer, dass Sie als IT-Dienstleister sich entsprechend positioniert haben und im partnerschaftlichen Verhältnis mit dem Fachbereich zusammenarbeiten. Nur so bekommen Sie auch die Information, ob eine individuelle Datenverarbeitung ohne Wissen der IT überhaupt vorliegt.

zurück