Eindeutige Authentifizierung für Produktionsdatenbanken

Das Unternehmen verlangt für die Authentifizierung an Produktionsdatenspeichern autorisierte, sichere Authentifizierungsmechanismen, wie z. B. eindeutige SSH-Schlüssel.

Zugriff auf Verschlüsselungsschlüssel beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf Verschlüsselungsschlüssel auf autorisierte Benutzer mit geschäftlicher Notwendigkeit („Need-to-know“-Prinzip).

Eindeutige Benutzer-Authentifizierung

Das Unternehmen verlangt für die Authentifizierung an Systemen und Anwendungen eindeutige Benutzernamen und Passwörter oder autorisierte SSH-Schlüssel.

Zugriff auf Produktionsanwendungen beschränkt

Der Systemzugriff ist ausschließlich auf autorisierte Zugriffe beschränkt.

Verfahren zur Zugriffskontrolle etabliert

Die Zugriffskontrollrichtlinie des Unternehmens dokumentiert die Anforderungen für folgende Funktionen:
‍
- Hinzufügen neuer Benutzer
- Änderung von Benutzerrechten
- und/oderEntzug des Zugriffs bestehender Benutzer.

Zugriff auf Produktionsdatenbanken beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf Datenbanken auf autorisierte Benutzer mit geschäftlicher Notwendigkeit.

Zugriff auf Firewalls beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf die Firewall auf autorisierte Benutzer mit geschäftlicher Notwendigkeit.

Zugriff auf Produktions-Betriebssysteme beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf das Betriebssystem auf autorisierte Benutzer mit geschäftlicher Notwendigkeit.

Zugriff auf das Produktionsnetzwerk beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf das Produktionsnetzwerk auf autorisierte Benutzer mit geschäftlicher Notwendigkeit.

Zugriffsentzug bei Austritt

Das Unternehmen führt Checklisten für das Offboarding durch, um sicherzustellen, dass der Zugriff für ausgeschiedene Mitarbeiter innerhalb der festgelegten SLAs entzogen wird.

Eindeutige Netzwerk-Authentifizierung

Das Unternehmen verlangt für die Authentifizierung im „Produktionsnetzwerk“ die Verwendung eindeutiger Benutzernamen und Passwörter oder autorisierter SSH-Schlüssel.

MFA für Fernzugriff (Remote Access) erzwungen

Auf die Produktionssysteme des Unternehmens kann nur von autorisierten Mitarbeitern zugegriffen werden, die über eine gültige Multi-Faktor-Authentifizierung (MFA) verfügen.

Verschlüsselter Fernzugriff erzwungen

Auf die Produktionssysteme des Unternehmens kann nur von autorisierten Mitarbeitern über eine genehmigte, verschlüsselte Verbindung zugegriffen werden.

Einsatz von Intrusion Detection & Prevention Systemen

Das Unternehmen verwendet ein System zur Erkennung von Eindringversuchen (IDS), um das Netzwerk kontinuierlich zu überwachen und potenzielle Sicherheitsverletzungen frühzeitig zu erkennen.

Log-Management im Einsatz

Das Unternehmen nutzt ein Log-Management-Tool, um Ereignisse zu identifizieren, die potenzielle Auswirkungen auf die Erreichung der Sicherheitsziele des Unternehmens haben könnten.

Überwachung der Infrastruktur-Performance

Ein Infrastruktur-Monitoring-Tool wird eingesetzt, um Systeme, Infrastruktur und Leistung zu überwachen und Warnungen zu generieren, wenn bestimmte vordefinierte Schwellenwerte erreicht werden.

Netzwerksegmentierung implementiert

Das Netzwerk des Unternehmens ist segmentiert, um unbefugten Zugriff auf Kundendaten zu verhindern.

Überprüfung der Netzwerk-Firewalls

Das Unternehmen überprüft seine Firewall-Regelsätze mindestens einmal jährlich. Erforderliche Änderungen werden bis zum Abschluss nachverfolgt.

Zugriff auf Produktionsdatenbanken beschränkt

Das Unternehmen beschränkt den privilegierten Zugriff auf Datenbanken auf autorisierte Benutzer mit geschäftlicher Notwendigkeit.

Einsatz von Netzwerk-Firewalls

Das Unternehmen setzt Firewalls ein und konfiguriert diese so, dass unbefugter Zugriff verhindert wird.

Standards zur Härtung von Netzwerken und Systemen

Die Standards des Unternehmens zur Systemhärtung sind dokumentiert, basieren auf bewährten Branchenpraktiken und werden mindestens jährlich überprüft.

Wartung der Service-Infrastruktur

Das Unternehmen patcht die die Dienste unterstützende Infrastruktur im Rahmen routinemäßiger Wartungsarbeiten sowie infolge identifizierter Schwachstellen, um sicherzustellen, dass die Server gegen Sicherheitsbedrohungen gehärtet sind.

Inventar der Produktionssysteme

Das Unternehmen führt ein formelles Inventar der Vermögenswerte (Assets) der Produktionssysteme.

Verschlüsselung tragbarer Medien

Das Unternehmen verschlüsselt tragbare und wechselbare Datenträger bei deren Verwendung.

Einsatz von Anti-Malware-Technologie

Das Unternehmen setzt Anti-Malware-Technologie in Umgebungen ein, die häufig anfällig für böswillige Angriffe sind, und konfiguriert diese so, dass sie routinemäßig aktualisiert, protokolliert und auf allen relevanten Systemen installiert wird.

Hintergrundüberprüfungen bei Mitarbeitern

Das Unternehmen führt Hintergrundüberprüfungen bei neuen Mitarbeitern durch.

Verhaltenskodex (Code of Conduct) für Auftragnehmer

Das Unternehmen verlangt, dass Verträge mit Auftragnehmern einen Verhaltenskodex oder einen Verweis auf den Verhaltenskodex des Unternehmens enthalten.

Verhaltenskodex für Mitarbeiter

Das Unternehmen verlangt von Mitarbeitern, bei der Einstellung einen Verhaltenskodex anzuerkennen. Mitarbeiter, die gegen den Verhaltenskodex verstoßen, unterliegen Disziplinarmaßnahmen gemäß der Disziplinarrichtlinie.

Vertraulichkeitsvereinbarung für Auftragnehmer

Das Unternehmen verlangt von Auftragnehmern die Unterzeichnung einer Vertraulichkeitsvereinbarung zu Beginn des Auftragsverhältnisses.

Vertraulichkeitsvereinbarung für Mitarbeiter

Das Unternehmen verlangt von Mitarbeitern die Unterzeichnung einer Vertraulichkeitsvereinbarung während des Onboardings.

Durchführung von Leistungsbeurteilungen

Führungskräfte des Unternehmens sind verpflichtet, mindestens einmal jährlich Leistungsbeurteilungen für ihre direkten Mitarbeiter durchzuführen.

Passwortrichtlinie durchgesetzt

Das Unternehmen verlangt, dass Passwörter für relevante Systemkomponenten gemäß der Unternehmensrichtlinie konfiguriert werden.

Einsatz von MDM-Systemen

Das Unternehmen verfügt über ein Mobile Device Management (MDM)-System, um mobile Geräte, die den Dienst unterstützen, zentral zu verwalten.

Besucherverfahren durchgesetzt

Das Unternehmen verlangt, dass Besucher sich anmelden, einen Besucherausweis tragen und von einem autorisierten Mitarbeiter begleitet werden, wenn sie Sicherheitsbereiche betreten.

Sicherheitsschulungen (Awareness Training)

Das Unternehmen verlangt von Mitarbeitern, innerhalb von dreißig Tagen nach Einstellung und danach mindestens jährlich an Schulungen zum Sicherheitsbewusstsein teilzunehmen.

Verfahren zur Entsorgung von Assets

Elektronische Medien, die vertrauliche Informationen enthalten, werden gemäß bewährten Verfahren bereinigt oder zerstört, und für jedes zerstörte Gerät wird ein Vernichtungszertifikat ausgestellt.

Datenverschlüsselung genutzt

Die Datenspeicher des Unternehmens, die sensible Kundendaten enthalten, sind im Ruhezustand (Data at Rest) verschlüsselt.

Durchführung von Selbstbewertungen (Self-Assessments)

Das Unternehmen führt mindestens einmal jährlich Kontroll-Selbstbewertungen durch, um sicherzustellen, dass Kontrollen vorhanden sind und effektiv funktionieren. Basierend auf relevanten Ergebnissen werden Korrekturmaßnahmen ergriffen.

Verschlüsselte Datenübertragung

Das Unternehmen verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten bei der Übertragung über öffentliche Netzwerke zu verschlüsseln.

Verfahren für Schwachstellen- und Systemüberwachung

Die formellen Richtlinien des Unternehmens beschreiben die Anforderungen für folgende IT-/Engineering-Funktionen:

- Schwachstellenmanagement (Vulnerability Management)
- Systemüberwachung.

Kontinuitäts- und Notfallwiederherstellungspläne (BC/DR)

Das Unternehmen verfügt über Business Continuity- und Disaster Recovery-Pläne, die Kommunikationspläne umfassen, um die Informationssicherheit auch bei Ausfall von Schlüsselpersonal aufrechtzuerhalten.

Testung der Kontinuitäts- und Notfallpläne

Das Unternehmen verfügt über einen dokumentierten Business Continuity/Disaster Recovery (BC/DR)-Plan und testet diesen mindestens einmal jährlich.

Vendor Management Programm etabliert

Das Unternehmen verfügt über ein Lieferantenmanagement-Programm. Komponenten sind:

- Inventar kritischer Drittanbieter
- Sicherheits- und Datenschutzanforderungen an Anbieter
- Mindestens jährliche Überprüfung kritischer Drittanbieter.

Datenaufbewahrungsverfahren etabliert

Das Unternehmen verfügt über formelle Aufbewahrungs- und Entsorgungsverfahren, um die sichere Aufbewahrung und Entsorgung von Unternehmens- und Kundendaten zu regeln.

Löschung von Kundendaten bei Vertragsende

Das Unternehmen bereinigt oder entfernt Kundendaten, die vertrauliche Informationen enthalten, aus der Anwendungsumgebung gemäß Best Practices, wenn Kunden den Dienst verlassen.

Datenklassifizierungsrichtlinie etabliert

Das Unternehmen verfügt über eine Datenklassifizierungsrichtlinie, um sicherzustellen, dass vertrauliche Daten ordnungsgemäß gesichert und auf autorisiertes Personal beschränkt sind.