- Erstellen Sie ein auf Ihr Unternehmen zugeschnittenes und ausführliches IT-Sicherheitskonzept. Überprüfen Sie (je nach Unternehmensgröße) jährlich, besser noch quartalsweise Ihre IT-Sicherheit
- Definieren Sie klare Verantwortlichkeiten und Verantwortliche
- Benennen Sie einen Datenschutzverantwortlichen (Dies ist seit Mai 2004 Pflicht für Unternehmen ab 4 Mitarbeitern)
- Die Verantwortlichen müssen sich regelmäßig über alle technischen, rechtlichen und organisatorischen Rahmenbedingungen und die entsprechenden Schutzmaßnahmen informiert halten
- Auch Sie müssen sich regelmäßig über die rechtlichen Rahmenbedingungen Informieren (siehe auch Leitfaden "Rechtliche Pflichten für IT-Sicherheit")
- Definieren Sie Sicherheitsrichtlinien und informieren Sie Ihre Mitarbeiter darüber
- Organisieren Sie für Ihre Mitarbeite regelmäßige Sicherheitstrainings
|
- Verpflichten Sie ihre Mitarbeiter schriftlich, dass sie die aufgestellten IT-Sicherheitsrichtlinien befolgen und definieren Sie Sanktionen bei Verstößen fest (ggf. mit dem Betriebsrat abstimmen)
- Aufstellen einer Checkliste, welche Maßhamen beschreibt, was beim Eintritt bzw. Austritt von Mitarbeitern in Sachen IT-Sicherheit zu beachten und zu veranlassen ist
- Erstellen Sie einen IT-Notfallplan, der einen Teil des Sicherheitskonzeptes bildet und legen Sie dabei Verantwortlichkeiten und Vertretungsregelungen fest. Klären Sie dabei folgende wichtige Fragen: wer kennt sich aus, wo lagern Backups, wie lauten die Hotlines der Dienstleister, wer verfügt über die Zugangsdaten, etc.
- Informieren Sie sich rechtzeitig in Handbücher und Dokumentationen, um bei Produkt- oder Software-Einführungen eine sichere Konfiguration zu gewährleisten
- Erstellen Sie eine ausführliche Installations- und Systemdokumentation.
- Versichern Sie sich, dass auch die mobilen Geräte von den regelmäßigen Sicherheitsupdates erreicht werden. Stellen Sie sich, dass Anwender Sicherheitseinstellungen nicht ändern oder deaktivieren können
- Lassen Sie die IT-Sicherheit in Ihrem Unternehmen regelmäßig von einem qualifizierten externen Dienstleister überprüfen (Security Audit - Penetrationtest)
|