Titelseite
-
Abteilung
-
Datum und Uhrzeit der Inspektion
-
IT-Mitarbeiter (voller Name)
Inspektion
MITARBEITER
-
Trägt Ihr Personal Ausweiskarten?
-
Ist ein aktuelles Foto Teil des Ausweises?
-
Sind die Zugangslevels und die Art der Berechtigung (Mitarbeiter, Auftragnehmer, Besucher) auf dem Ausweis angegeben?
-
Überprüfen Sie die Zeugnisse von externen Auftragnehmern?
-
Haben Sie Richtlinien für die Zuverlässigkeitsüberprüfung von Mitarbeitern und Auftragnehmern?
-
Haben Sie ein Verfahren, um den Zugang zu Einrichtungen und Informationssystemen bei Beendigung des Arbeitsverhältnisses eines Mitarbeiters/Auftragnehmers wirksam zu sperren?
PHYSISCHE SICHERHEIT
-
Haben Sie Richtlinien und Verfahren, die den autorisierten und nicht autorisierten physischen Zugang zu elektronischen Informationssystemen und den Einrichtungen, in denen sie untergebracht sind, regeln?
-
Sind in Ihren Richtlinien und Verfahren die Methoden zur Kontrolle des physischen Zugangs zu Ihren Sicherheitsbereichen festgelegt, z. B. Türschlösser, Zugangskontrollsysteme, Sicherheitsbeauftragte oder Videoüberwachung?
-
Wird der Zugang zu Ihrem Computerbereich kontrolliert (zentrale Anlaufstelle, Empfangs- oder Sicherheitsschalter, An-/Abmeldeprotokoll, temporäre Ausweise/Besucherausweise)?
-
Werden Besucher beim Betreten und Verlassen der Kontrollbereiche begleitet?
-
Sind Ihre PCs für Unbefugte unzugänglich (z. B. nicht in öffentlichen Bereichen)?
-
Sind Computerbereich und Geräte physisch gesichert?
-
Gibt es Verfahren, die verhindern, dass Computer auch nur kurzzeitig in einem angemeldeten Zustand zurückgelassen werden?
-
Werden Bildschirme nach 10 Minuten Inaktivität automatisch gesperrt?
-
Sind die Modems auf Auto-Answer OFF (keine Annahme eingehender Anrufe) eingestellt?
-
Haben Sie Verfahren zum Schutz von Daten bei der Reparatur von Geräten?
-
Gibt es Richtlinien für die Sicherheit von Laptops (z. B. Kabelschloss oder sichere Aufbewahrung)?
-
Haben Sie einen Evakuierungsplan für Notfälle und ist dieser aktuell?
-
Enthält Ihr Plan Angaben zu Bereichen und Einrichtungen, die im Notfall sofort abgeriegelt werden müssen?
-
Kennen Mitarbeiter in Schlüsselpositionen die Bereiche und Einrichtungen, die abgeriegelt werden müssen, und wissen sie, wie?
KONTO- UND PASSWORTVERWALTUNG
-
Gibt es Richtlinien und Standards für die elektronische Authentifizierung, Autorisierung und Zugriffskontrolle von Mitarbeitern und Ressourcen auf Ihre Informationssysteme, Anwendungen und Daten?
-
Stellen Sie sicher, dass nur befugtes Personal Zugang zu Ihren Computern hat?
-
Werden geeignete Passwörter gefordert und durchgesetzt?
-
Sind Ihre Passwörter sicher (nicht leicht zu erraten, regelmäßig geändert, keine temporären oder Standard-Passwörter verwendet)?
-
Sind Ihre Computer so eingestellt, dass andere Personen die Eingabe von Passwörtern nicht sehen können?
VERTRAULICHKEIT SENSIBLER DATEN
-
Klassifizieren Sie Ihre Daten und unterscheiden Sie zwischen sensiblen und nicht sensiblen Daten?
-
Sind Sie verantwortlich für den Schutz sensibler Daten, die Sie kontrollieren?
-
Sind die wertvollsten oder sensibelsten Daten verschlüsselt?
-
Haben Sie eine Richtlinie für die Aufbewahrung von Informationen (sowohl in Papier- als auch in elektronischer Form)?
-
Haben Sie Verfahren für den Umgang mit Kreditkarteninformationen eingerichtet?
-
Haben Sie Verfahren für den Umgang mit personenbezogenen Daten?
-
Gibt es ein Verfahren zur Erstellung abrufbarer Sicherungs- und Archivierungskopien wichtiger Informationen?
-
Haben Sie Verfahren für die Entsorgung von Abfallstoffen?
-
Wird Papiermüll in die Mülltonne geworfen oder geschreddert?
-
Ist Ihr Schredderbehälter immer verschlossen?
-
Schützen Ihre Richtlinien zur Entsorgung alter Computerausrüstung vor Datenverlusten (z. B. durch Auslesen alter Disketten und Festplatten)?
-
Sind in Ihren Entsorgungsverfahren geeignete Technologien und Methoden vorgesehen, um Hardware und elektronische Medien unbrauchbar und unzugänglich zu machen (z. B. Schreddern von CDs und DVDs, elektronisches Löschen von Laufwerken, Brennen von Bändern usw.)?
DATENWIEDERHERSTELLUNG IM NOTFALL
-
Haben Sie einen aktuellen Betriebskontinuitätsplan?
-
Gibt es ein Verfahren zur Erstellung abrufbarer Sicherungs- und Archivierungskopien wichtiger Informationen?
-
Haben Sie einen Kommunikationsplan für das Management bei Notfällen/Unfällen?
-
Haben Sie ein Verfahren zur Benachrichtigung der Behörden im Falle einer Notlage oder eines Sicherheitsvorfalls?
-
Legt Ihr Verfahren fest, wer kontaktiert werden sollte, einschließlich der Kontaktdaten?
-
Sind die Kontaktinformationen nach Art des Vorfalls sortiert und gekennzeichnet?
-
Ist in Ihrem Verfahren festgelegt, wer den Kontakt aufnehmen soll?
-
Haben Sie festgelegt, wer im Falle eines Notfalls oder eines Zwischenfalls mit der Presse/Öffentlichkeit sprechen wird?
-
Umfasst Ihr Kommunikationsplan die interne Kommunikation mit Ihren Mitarbeitern und deren Familien?
-
Können die Notfallmaßnahmen von den Verantwortlichen bei Bedarf angemessen umgesetzt werden?
SICHERHEITSBEWUSSTSEIN
-
Informieren Sie Ihre Mitarbeiter über Computersicherheit?
-
Bieten Sie regelmäßig stattfindende Schulungen an?
-
Wird den Mitarbeitern beigebracht, auf mögliche Sicherheitsverstöße zu achten?
-
Werden Ihre Mitarbeiter angewiesen, ihre Passwörter sicher aufzubewahren?
-
Sind Ihre Mitarbeiter in der Lage, vertrauliche Daten zu erkennen und zu schützen, einschließlich Papierdokumente, Wechseldatenträger und elektronische Dokumente?
-
Vermittelt Ihr Informations- und Schulungsplan die richtigen Methoden zur Verwaltung von Kreditkartendaten (PCI-Standards) und persönlichen Daten (Steuernummern, Namen, Adressen, Telefonnummern usw.)?
COMPLIANCE
-
Überprüfen und überarbeiten Sie Ihre Sicherheitsdokumente regelmäßig, z. B. Richtlinien, Standards, Verfahren und Leitlinien?
-
Prüfen Sie Ihre Prozesse und Verfahren auf Übereinstimmung mit festgelegten Richtlinien und Standards?
-
Testen Sie Ihre Notfallpläne in regelmäßigen Abständen?
-
Überprüft die Geschäftsleitung regelmäßig die Listen der Personen mit physischem Zugang zu sensiblen Einrichtungen oder elektronischen Zugang zu Informationssystemen?
ABSCHLUSS
-
Allgemeine Empfehlungen
-
IT-Mitarbeiter (Name und Unterschrift)