In publica commoda

Maßnahmen zum IT-Grundschutz (Anlage 2 der Informationssicherheitsrichtlinie)

Eine wesentlicher Bestandteil der Informationssicherheitsrichtlinie sind die "Maßnahmen zum IT-Grundschutz", die in der Anlage 2 der Informationssicherheitsrichtlinie definiert sind. Die Maßnahmen gliedern sich in zwei Teile:

  • Maßnahmen für Anwender
  • Maßnahmen für IT-Personal

  • Gliederung

    A. Maßnahmen für Anwender

    A.1 Anwenderqualifizierung
    A.2 Meldung von IT-Problemen
    A.3 Konsequenzen und Sanktionen bei Sicherheitsverstößen
    A.4 Kontrollierter Softwareeinsatz
    A.5 Schutz vor Viren und anderer Schadsoftware
    A.6 Zutritts-, Zugangs- und Zugriffskontrolle
    A.7 Sperren und ausschalten
    A.8 Sicherung von Notebooks, mobilen Speichermedien, Smartphones
    A.9 Personenbezogene Nutzerkonten
    A.10 Gebrauch von Passwörtern
    A.11 Zugriffsrechte
    A.12 Netzzugänge
    A.13 Telearbeit
    A.14 Sichere Netzwerknutzung - Allgemeine Anforderungen
    A.15 Sichere Netzwerknutzung - E-Mail
    A.16 Datenspeicherung
    A.17 Nutzung externer Dienste
    A.18 Nutzung privater Hard- und Software
    A.19 Datensicherung und Archivierung
    A.20 Umgang mit Datenträgern
    A.21 Löschen und Entsorgung von Datenträgern
    A.22 Sichere Entsorgung vertraulicher Papiere


    I. Maßnahmen für IT-Personal

    I.1 Frühzeitige Berücksichtigung von Informationssicherheitsfragen
    I.2 Festlegung von Verantwortlichkeiten und Rollentrennung
    I.3 Dokumentation und Beschreibung der IT-Verfahren
    I.4 Dokumentation von Informationssicherheitsereignissen und -vorfällen
    I.5 Regelungen der Auftragsverarbeitung
    I.6 Standards für technische Ausstattung und Konfiguration
    I.7 Bereitstellung zentraler IT-Dienste
    I.8 Nutzung zentraler Dienste
    I.9 Vertretung
    I.10 Qualifizierung
    I.11 Basismaßnahmen
    I.12 Sicherung der Serverräume
    I.13 Sicherung der Netzknoten
    I.14 Verkabelung und Funknetze
    I.15 Einweisung und Beaufsichtigung von Fremdpersonal
    I.16 Beschaffung, Softwareentwicklung
    I.17 Kontrollierter Softwareeinsatz
    I.18 Separate Entwicklungsumgebung
    I.19 Schutz vor Schadprogrammen
    I.20 Schnittstellen für externe Datenträger bei erhöhtem Schutzbedarf
    I.21 Ausfallsicherheit
    I.22 Einsatz von Diebstahl-Sicherungen
    I.23 Personenbezogene Nutzerkonten (Authentisierung)
    I.24 Administratorkonten
    I.25 Verwaltung von Nutzerkonten bei Eintritt, Wechsel, Ausscheiden
    I.26 Passwörter
    I.27 Zugriffsrechte
    I.28 Sperren, abmelden und ausschalten
    I.29 Telearbeit
    I.30 Notwendigkeit von Protokollierung und Monitoring
    I.31 Protokollierung auf Servern und bei Anwendungsprogrammen
    I.32 Protokollierung der Administrationstätigkeit
    I.33 Sichere Netzwerkadministration
    I.34 Netzmonitoring
    I.35 Kontrollierte Netzwerkzugänge
    I.36 Aufteilungen in Bereiche unterschiedlichen Schutzbedarfs
    I.37 Kontrollierte Kommunikationskanäle
    I.38 Gesicherte Übertragungsverfahren
    I.39 Organisation der Datensicherung
    I.40 Anwenderinformation zur Datensicherung
    I.41 Verifizierung der Datensicherung
    I.42 Löschen und Entsorgen von Datenträgern
    I.43 Sichere Entsorgung vertraulicher Unterlagen