+41 (0) 61 302 3031 

IT-Security Audit Basischeck

Beschreibung des Prüfmoduls

Unternehmens- oder bereichsübergreifende organisatorische und technische Anforderungen, die als Standardmassnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind (mittlerer Schutzbedarf).

Prüfthemen der Checkliste

Thematisch zusammenhängende Prüffragen in der Checkliste sind zu Prüfthemen gruppiert. Zur Anzeige der Beschreibung des Prüfthemas tippen Sie bitte auf ein Prüfthema.

01 - Sicherheitspolitik

In diesen Bereich fallen organisatorische Rahmenbedingungen wie z.B. Konzepte, Einbindung des Managements usw.

02 - Reaktion auf Verletzungen der Sicherheitspolitik

Es ist festzulegen, welche Reaktion auf Verletzungen der Sicherheitspolitik erfolgen soll, um eine klare und sofortige Reaktion gewährleisten zu können.

03 - Sicherheitsprozess

IT-Sicherheit ist ein laufender Geschäftsprozess. Zur Sicherstellung des Prozesses müssen Risiken abgeschätzt und bewertet sein.

04 - IT-Sicherheit - Regelungen

Übergreifende Regelungen (auch mündliche und gelebte Regelungen) zur "IT-Sicherheit" müssen für einen geregelten Ablauf festgelegt sein.

05 - IT-Sicherheit - Dokumentation

Regelungen müssen zur Einhaltung und Information schriftlich festgehalten werden. Diese Dokumentation muss den Anforderungen genügen und aktuell (nicht älter als 2 Jahre) sein.

06 - IT-Sicherheit - Information zu Regelungen

Sämtliche Regelungen und Dokumente, die organisatorische oder technische Aspekte abhandeln, die für die Mitarbeiter von Bedeutung sind, sind in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen. Dies trifft jedoch nicht auf technische Einstellungen oder ähnliches zu !

07 - IT-Sicherheit - Überprüfung

Um Unzulänglichkeiten zu finden und die IT-Sicherheit den gegebenen Anforderungen anzupassen müssen Regelungen, Dokumente und die Auswirkung im Geschäftsbetrieb regelmässig (alle 2-5 Jahre) überprüft werden (Audit).

08 - Hard- und Software - Beschaffung und Inventar

Beschaffung und Verwaltung (Inventar) von Hard- und Software (=Betriebsmittel) stellen eine wichtige Grundlage zur Einhaltung der IT-Sicherheit dar.

09 - Hard- und Software - Betrieb

Der richtige produktive Einsatz von Hard- und Software (=Betriebsmittel) ist für die Einhaltung der IT-Sicherheit erforderlich.

10 - Datenträger 

Datenträger (Festplatte, Band, CD, DVD, Diskette, USB-Stick, usw.) sind für Speicherung, Austausch, usw. von Daten / Informationen erforderlich. Der Umgang mit Datenträgern muss angemessen und verantwortungsvoll erfolgen.

11 - Entsorgung von schützenswerten Betriebsmitteln

Betriebsmittel, die schützenswerte Daten enthalten (Festplatten , Bänder, CD's, DVD's, Disketten, Papier ) und nicht mehr gebraucht werden oder aufgrund eines Defektes ausgesondert werden sollen, sind so zu entsorgen, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind.

12 - Wartungs- und Reparaturarbeiten

Für Wartungs- und Reparaturarbeiten (intern, extern, Fernwartung), insbesondere wenn sie durch Externe durchgeführt werden, sind Regelungen über deren Beaufsichtigung zu treffen.

13 - Aufgabenverteilung und Funktionstrennung

Die von dem Unternehmen bzw. der Institution im Zusammenhang mit dem IT-Einsatz wahrzunehmenden Funktionen/Aufgaben sind festzulegen. Ausführende Funktionen und kontrollierende Funktionen sollten nicht von derselben Person wahrgenommen werden.

14 - Vergabe von Zutrittsberechtigungen

Vor der Vergabe von Zutrittsberechtigungen für Personen sind die schutzbedürftigen Räume eines Gebäudes zu bestimmen, z. B. Büro, Serverraum, Rechenzentrum. Es ist festzulegen, welche Person zur Ausübung der wahrgenommenen Funktion welches Zutrittsrecht benötigt. Dabei ist die vorher erarbeitete Funktionstrennung zu beachten. Unnötige Zutrittsrechte sind zu vermeiden.

15 - Vergabe von Zugangsberechtigungen

Zugangsberechtigungen erlauben der betroffenen Person, bestimmte IT-Systeme bzw. System-Komponenten und Netze zu nutzen. Dies ist für jede nutzungsberechtigte Person aufgrund ihrer Funktion, unter Beachtung der Funktionstrennung, im einzelnen festzulegen.

16 - Vergabe von Zugriffsrechten

Über Zugriffsrechte wird geregelt welche Person, im Rahmen ihrer Funktion, IT-Anwendungen oder Daten nutzen darf. Die Zugriffsrechte (z. B. Lesen, Schreiben, Ausführen) auf IT-Anwendungen, Teilanwendungen oder Daten sind von der Funktion abhängig, die die Person wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-to-know-Prinzip"). Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT-Systems.

17 - Passwort

Werden in einem IT-System Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des Systems entscheidend davon abhängig, dass das Passwort korrekt gebraucht wird. Dafür ist es empfehlenswert, eine Regelung zum Passwortgebrauch einzuführen und den IT-Benutzer diesbezüglich zu unterweisen.

18 - Softwareentwicklung, Applikationssicherheit

Die Entwicklung und Freigabe von Software und deren Einsatz birgt ein hohes Risiko und muss sorgfältig erfolgen. Für eine detaillierte Untersuchung steht die Checkliste "Applikationssicherheit" zur Verfügung.

19 - Betreuung, Beratung und Schulung von IT-Benutzern

Der Einsatz von IT-Systemen erfordert eine umfassende Betreuung der IT-Benutzer. Neben der Schulung, die die IT-Benutzer in die Lage versetzt, die eingesetzte Informationstechnik sachgerecht einzusetzen, bedarf es einer Betreuung und Beratung der IT-Benutzer für die im laufenden Betrieb auftretenden Probleme.

20 - Arbeitsplatz

Jeder Mitarbeiter sollte dazu angehalten werden, seinen Arbeitsplatz "aufgeräumt" zu hinterlassen. Ein IT-Benutzer hat dafür Sorge zu tragen, dass bei Verlassen seines Arbeitsplatzes entsprechende Vorkehrungen getroffen sind, dass Unbefugte keinen Zugang zu IT-Anwendungen oder Zugriff auf Daten erhalten.

21 - Häuslicher Arbeitsplatz (Home Office)

IT-Mitarbeiter oder der Aussendienst arbeiten häufig von zu Hause aus. Seit Beginn der Pandemie Covid-19 im Jahr 2020 sind auch "normale" Arbeitsplätze sehr stark von Home Office betroffen. Sensible Firmendaten müssen auch im privaten Zuhause der Mitarbeitenden besonders geschützt sein.

22 - Virenschutz

Computerviren gehören zu den häufigsten Schadensereignissen.

23 - Datensicherung

Datensicherung ist eine wichtige IT-Sicherheitsmassnahme.

24 - Notfallvorsorge

In der Notfallvorsorge sind alle Massnahmen, die nach Eintritt eines notfallauslösenden Ereignisses zu ergreifen sind, und alle dazu erforderlichen Informationen zu dokumentieren. Das Notfall-Handbuch ist so zu gestalten, dass ein sachverständiger Dritter in der Lage ist, die im Handbuch spezifizierten Notfallmassnahmen durchzuführen.

25 - Business Continuity

Business Continuity bedeutet, dass der Geschäftsbetrieb auch in Krisensituationen aufrecht erhalten werden kann. Dies bedeutet eine Erweiterung der Notfallvorsorge.

26 - Technische IT-Sicherheit - Infrastruktur

In diesen Bereich fallen bauliche, räumliche und sonstige physikalische Sicherheitsmassnahmen. Beispiele sind Zutritt zu Verteilern, Brandabschottung bei Trassen, Anordnung von schützenswerten Gebäudeteilen, usw. Diese Massnahmen sind Teil eines umfassenden Sicherheitskonzeptes und bedürfen ggf. einer besonderen Aufmerksamkeit.

27 - Technische IT-Sicherheit - Einsatz von IT-Sicherheitstechnik

Der Einsatz von technischen Hilfsmitteln (Firewall, Verschlüsselung, ...) stellt die technische Sicherheit her und ergänzt und unterstützt entsprechende organisatorische Konzepte.