# Richtlinien # Policy – Informationssicherheit # Informationssicherheits-Policy **Version:** 1.0 | **Owner:** IT‑Leitung | **Geltungsbereich:** Unternehmensweit ## Ziel Schutz von Vertraulichkeit, Integrität, Verfügbarkeit (VIA) auf Basis eines risikoorientierten Ansatzes. ## Grundsätze - Minimalprinzip (Least Privilege), MFA standard, Netzwerksegmentierung - Härtung & Patchen, Protokollierung & Auswertung, Backup/BCM - Sensibilisierung & Schulung, Lieferantensteuerung ## Mindestanforderungen - Passwort‑ & MFA‑Vorgaben, Endgeräte‑Verschlüsselung, Admin‑Protokollierung - Patchfenster & Schwachstellenbehebung - Notfallmanagement inkl. Übungen ## Verweise - TOMs (Art. 32), Notfallhandbuch (BSI 200‑4), GoBD‑Verfahrensdoku, Patch/Vuln‑Prozess # Policy – Datenklassifizierung & Schutzbedarf # Policy – Datenklassifizierung & Schutzbedarf **Klassen:** Öffentlich · Intern · Vertraulich · Streng vertraulich **Kennzeichnung:** Dokument-/System‑Tags, Ordnerstruktur, Watermark (falls möglich) **Beispiele:** - *Vertraulich:* Mitarbeiter‑, Kunden‑, Finanzdaten - *Intern:* Prozessdokumente, Betriebsanweisungen **Schutzbedarf:** Auswirkung auf Vertraulichkeit, Integrität, Verfügbarkeit → Maßnahmen ableiten. # Policy – Passwort & MFA # Policy – Passwort & MFA - **MFA** verpflichtend für Admins, Remote/VPN, Cloud - **Passwörter:** ausreichend lang, Manager empfohlen, keine Wiederverwendung - **Servicekonten:** Kennworttresor, Rotation, keine interaktive Anmeldung - **Reset‑Prozess:** Identitätsprüfung, Protokollierung # Policy – Zugriff & Berechtigungen (IAM) # Policy – Zugriff & Berechtigungen (IAM) - Rollenbasiert (RBAC), **Need‑to‑know** - Joiner‑Mover‑Leaver (JML) Prozess verbindlich - Adminrechte nur temporär (Just‑in‑Time), Vier‑Augen‑Prinzip - Regelmäßige Rezertifizierung (z. B. halbjährlich), Nachweise dokumentieren # Policy – Logging & Aufbewahrung # Policy – Logging & Aufbewahrung **Pflichtquellen:** AD, Firewalls, VPN, kritische Server/Anwendungen **Inhalte:** An-/Abmeldungen, Admin‑Aktionen, Policy‑Änderungen, Fehler/Eskalationen **Aufbewahrung:** gem. Schutzbedarf/DSGVO/GoBD **Auswertung:** Dashboards/Alerts (LibreNMS, Wazuh/OpenSearch/Graylog), Monatsreport als Nachweis