(u. a. zu Richtlinien, Anweisungen, Schulung und Verantwortlichkeiten)
Gibt es einen Beauftragten für Informationssicherheit?
Ist der Beauftragte für die Aufgabe geeignet?
Ist ein notwendiger Datenschutzbeauftragter bestellt und hat dieser ein betriebliches Datenschutzkonzept erstellt?
Gibt es Checklisten, was beim Eintritt neuer Mitarbeiter und beim Austritt von Mitarbeitern zu beachten ist?
Gibt es Maßnahmen, welche die Informationssicherheit im Unternehmen gewährleisten?
Werden die Systeme bei Verlassen mit Bildschirmschoner und Kennwort gesichert?
Gibt es eine Passwortrichtlinie?
Werden Festlegungen der Passwortrichtlinie technisch erzwungen?
Sind die Browser und E-Mail-Clients auf eine sinnvolle Sicherheitsstufe konfiguriert?
(u. a. zu vorhanden IT-Systemen, Datensicherung, Notfallvorsorge)
Sind die eingesetzten Systeme (Betriebssysteme, Software, Browser etc.) auf dem neuesten Softwarestand und werden alle zutreffenden Sicherheitsupdates für die gesamte Software zeitnah eingespielt?
Ist der Zugang zum WLAN abgesichert?
Sind Rollen definiert und allen Systembenutzern entsprechend zugeordnet?
Sind die Merkblätter zum Schutz vor Schadsoftware und zum Verhalten beim Eintreten eines Vorfalls allen Mitarbeitern bekannt?
Ist das Unternehmensnetzwerk durch eine Firewall geschützt?
Besteht ein angemessener Schutz der IT-Systeme gegen Feuer, Überhitzung, Wasserschäden, Überspannung, Stromausfall und Einbruch?
Werden Besucher, Handwerker, Servicekräfte etc. begleitet bzw. beaufsichtigt?
Gibt es geeignete Vertretungsregelungen für Verantwortliche und sind die Vertreter mit ihren Aufgaben vertraut?
Werden Datenbestände regelmäßig gesichert?
(u. a. zu Compliance und Leistungen Dritter)
Gibt es einen Überblick über vertragliche und gesetzliche Anforderungen an die Informationsverarbeitung?
Gibt es eine Übersicht, in welcher Form Dritte beim IT-Betrieb beteiligt sind bzw. welche externen Leistungen genutzt werden?