Die Bedeutung der Informationssicherheit und des Datenschutzes nimmt zu, weil immer mehr Informationen und Daten elektronisch verarbeitet werden. Ausfall, Beschädigung, Missbrauch oder Verlust von IT-Anlagen und elektronischen Daten verursachen Kosten und stellen ein Betriebs- und Gebarungsrisiko dar, das abgesichert werden muss. Dafür gelten auf der Grundlage von Völker- und Europarecht spezifische bundes- und landesgesetzliche Vorschriften, Normen und Standards, wie insbesondere das Datenschutzgesetz 2000.
Die Unternehmensleitung soll eine unternehmensweite Sicherheitspolitik entwickeln und für verbindlich erklären. Die Sicherheitspolitik für die Informations- und Kommunikationstechnologie ist auf die Gesamtpolitik der Unternehmung abzustimmen.
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 9 (Ergebnis 2)
Das Risiko der Informationstechnologie deckt nur einen Bereich des Gesamtrisikos ab. Daher ist eine Risikoanalyse für die Informationstechnologie zu erstellen und in eine, alle Bereiche umfassende Risikoanalyse als Grundlage für die unternehmensweite Sicherheitspolitik einzubetten.
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 8 (Ergebnis 1)
Beim Bauen ist darauf zu achten, dass Serverräume separat abgesichert sind. Flüssigkeits- oder gasführende Leitungen dürfen nicht in Serverräumen enden oder durch diese durchgeführt werden.
- Bericht 2/2006 Katastrophenschutz und Informationssicherheit; Seite 30 (Ergebnis 12)
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 21 (Ergebnis 13)
Um im Notfall eine funktionierende Infrastruktur zu haben, muss deren Einsatzbereitschaft durch Übungen und Tests in regelmäßigen Abständen überprüft werden.
- Bericht 2/2006 Katastrophenschutz und Informationssicherheit; Seite 28 (Ergebnis 10)
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 19 (Ergebnis 10)
Für die Absicherung der Server- und Verteilerräume gegen unbefugten Zutritt sind einheitliche Standards zu definieren. Der Zutritt von nicht berechtigten Personen zu den Serverräumen ist nur im Beisein eines Zutrittsberechtigten gestattet und auf jeden Fall in einem Besucherbuch zu dokumentieren.
Anlagen von eingemieteten Firmen, die auch außerhalb der Amtsstunden betreut werden müssen, sind in einem eigenen Raum unterzubringen.
- Bericht 11/2004 IT-Sicherheit bei den Bezirkshauptmannschaften; Seite 13 (Ergebnis 7)
- Bericht 2/2006 Katastrophenschutz und Informationssicherheit; Seite 30 (Ergebnis 12)
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 20 (Ergebnis 11)
Sicherungsmedien dürfen nicht in Serverräumen aufbewahrt werden, sondern sind in einem feuerfesten Schrank in einem anderen Brandabschnitt aufzubewahren. Ist dies aus der räumlichen Situation nicht möglich, so ist eine externe Aufbewahrungslösung zu erarbeiten.
- Bericht 11/2004 IT-Sicherheit bei den Bezirkshauptmannschaften; Seite 11 (Ergebnis 6)
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 23 (Ergebnis 15)
Auf die Aktualität der definierten Benutzer und deren Rechte in Anwendungen und Systemen ist besonders zu achten, weil andernfalls Sicherheitslücken entstehen. Die Einhaltung der geltenden Vorschriften ist stichprobenweise zu überprüfen.
- Bericht 11/2004 IT-Sicherheit bei den Bezirkshauptmannschaften; Seite 16 (Ergebnis 10)
- Bericht 3/2012 Datenschutz und Informationssicherheit in den NÖ Landeskliniken; Seite 14 (Ergebnis 5)
E-Mail Zugänge sind nur im Zusammenhang mit persönlichem Benutzer- bzw. Usernamen und Passwort zu vergeben. E-Mail Zugänge bei Gruppenusern sind zu deaktivieren.
Passwörter sind in regelmäßigen Abständen zu ändern. Die Authentifizierung der Benutzer bzw. User bei der Anmeldung an Systeme und Anwendungen sollte auf Single-Sign-On (Einmal Authentifizierung) umgestellt werden. Diese Anforderung sollte bei der Beschaffung von Software berücksichtigt werden.
