Richtlinien Policy – Informationssicherheit Informationssicherheits-Policy Version: 1.0 | Owner: IT‑Leitung | Geltungsbereich: Unternehmensweit Ziel Schutz von Vertraulichkeit, Integrität, Verfügbarkeit (VIA) auf Basis eines risikoorientierten Ansatzes. Grundsätze Minimalprinzip (Least Privilege), MFA standard, Netzwerksegmentierung Härtung & Patchen, Protokollierung & Auswertung, Backup/BCM Sensibilisierung & Schulung, Lieferantensteuerung Mindestanforderungen Passwort‑ & MFA‑Vorgaben, Endgeräte‑Verschlüsselung, Admin‑Protokollierung Patchfenster & Schwachstellenbehebung Notfallmanagement inkl. Übungen Verweise TOMs (Art. 32), Notfallhandbuch (BSI 200‑4), GoBD‑Verfahrensdoku, Patch/Vuln‑Prozess Policy – Datenklassifizierung & Schutzbedarf Policy – Datenklassifizierung & Schutzbedarf Klassen: Öffentlich · Intern · Vertraulich · Streng vertraulich Kennzeichnung: Dokument-/System‑Tags, Ordnerstruktur, Watermark (falls möglich) Beispiele: Vertraulich: Mitarbeiter‑, Kunden‑, Finanzdaten Intern: Prozessdokumente, Betriebsanweisungen Schutzbedarf: Auswirkung auf Vertraulichkeit, Integrität, Verfügbarkeit → Maßnahmen ableiten. Policy – Passwort & MFA Policy – Passwort & MFA MFA verpflichtend für Admins, Remote/VPN, Cloud Passwörter: ausreichend lang, Manager empfohlen, keine Wiederverwendung Servicekonten: Kennworttresor, Rotation, keine interaktive Anmeldung Reset‑Prozess: Identitätsprüfung, Protokollierung Policy – Zugriff & Berechtigungen (IAM) Policy – Zugriff & Berechtigungen (IAM) Rollenbasiert (RBAC), Need‑to‑know Joiner‑Mover‑Leaver (JML) Prozess verbindlich Adminrechte nur temporär (Just‑in‑Time), Vier‑Augen‑Prinzip Regelmäßige Rezertifizierung (z. B. halbjährlich), Nachweise dokumentieren Policy – Logging & Aufbewahrung Policy – Logging & Aufbewahrung Pflichtquellen: AD, Firewalls, VPN, kritische Server/Anwendungen Inhalte: An-/Abmeldungen, Admin‑Aktionen, Policy‑Änderungen, Fehler/Eskalationen Aufbewahrung: gem. Schutzbedarf/DSGVO/GoBD Auswertung: Dashboards/Alerts (LibreNMS, Wazuh/OpenSearch/Graylog), Monatsreport als Nachweis