TISAX® Kapitel 3.1.4
Inwieweit ist der Umgang mit mobilen IT-Geräten und mobilen Datenträgern gemanagt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Mobile IT-Geräte (z.B. Notebooks, Tablets, Smartphones) und mobile Datenträger (z.B. SD-Cards, Festplatten) werden in der Regel nicht nur in den Räumlichkeiten einer Organisation verwendet, sondern auch mobil eingesetzt. Dies führt zu einem erhöhten Risiko in Bezug auf z.B. Verlust oder Diebstahl.
Anforderungen
- Muss
- Die Anforderungen an mobile IT-Geräte und mobile Datenträger sind ermittelt und erfüllt. Die folgenden Aspekte werden berücksichtigt:
- Muss
- Verschlüsselung
- Muss
- Zugangsschutz (z.B. PIN, Passwort)
- Muss
- Kennzeichnung (auch unter Berücksichtigung von Anforderungen zur Nutzung in Gegenwart von Kunden).
- Sollte
- Registrierung der IT-Geräte.
- Sollte
- Anwender sind über fehlenden Datenschutz auf mobilen Geräten informiert.
- Schutzbedarf hoch
- Allgemeine Verschlüsselung von mobilen Datenträgern oder der darauf gespeicherten Informationswerte: (C, I)
- Schutzbedarf hoch
- Wenn dies technisch nicht durchführbar ist, werden Informationen durch ähnlich wirksame Maßnahmen geschützt.
Umsetzung
Implementierung sicherer Praktiken für mobile IT-Geräte und Datenträger
Die Richtlinien für den Umgang mit mobilen IT-Geräten und Datenträgern beginnen mit der Ermittlung spezifischer Sicherheitsanforderungen, die auf den Einsatz dieser Geräte abzielen. Ein grundlegender Aspekt hierbei ist die Sicherstellung der Datenintegrität und des Datenschutzes durch Verschlüsselung. Hierbei sollte auf eine starke Verschlüsselungsmethode geachtet werden, die den aktuellen Sicherheitsstandards entspricht und so konfiguriert ist, dass sie automatisch bei allen mobilen Geräten und Datenträgern angewandt wird.
Zum Zugangsschutz dieser mobilen Einheiten sind Maßnahmen wie PIN- oder Passworteingaben zu implementieren. Diese Zugangskontrollen müssen stark genug sein, um unbefugten Zugriff effektiv zu verhindern. Stellen Sie sicher, dass alle Nutzer über starke, regelmäßig zu ändernde Passwörter verfügen und biometrische Zugangsoptionen optimal genutzt werden, wenn technisch möglich.
Neben der technischen Sicherung ist die physische Kennzeichnung der Geräte wesentlich. Jedes mobile Gerät und jeder mobile Datenträger sollte klar erkennbar und in einer Weise gekennzeichnet sein, die auch die Anwesenheit in Kundenräumen berücksichtigt. Hierbei kann es sich um spezielle Aufkleber oder Eintragungen in einer Geräteverwaltungssoftware handeln.
Die Registrierung der IT-Geräte in einem zentralen System ermöglicht eine bessere Übersicht und Kontrolle der eingesetzten mobilen Geräte. Durch diese Maßnahme kann schnell auf Sicherheitsvorfälle reagiert werden, da der Verbleib oder der Status eines bestimmten Gerätes sofort ermittelt werden kann.
Informieren Sie zudem alle Anwender regelmäßig über die Risiken und den fehlenden Datenschutz, der durch die Nutzung von nicht gesicherten mobilen Geräten entsteht. Schulungen und Informationsmaterialien helfen dabei, das Bewusstsein zu schärfen und sicherheitsbewusstes Verhalten zu fördern.
Bei hohem Schutzbedarf ist die Verschlüsselung von mobilen Datenträgern oder den darauf gespeicherten Daten zwingend erforderlich. Sollte eine technische Umsetzung der Verschlüsselung nicht möglich sein, müssen alternative Schutzmaßnahmen ergriffen werden, die eine vergleichbare Sicherheit gewährleisten. Möglichkeiten hierzu könnten das Speichern der Daten in sicheren, verschlüsselten Cloud-Speichern oder die Nutzung von speziell gesicherten Applikationen umfassen.
