1. Richtlinien
    1. ISO / IEC 17799
      1. Sammlung von Massnahmen der Informationssicherheit
    2. IT-Grundschutzhandbuch
      1. Durch standardisierte Sicherheitsmassnahmen soll ein standardisiertes Sicherheitsniveau entstehen.
        1. - Bestimmung des Schutzbedarfes
        2. - Festlegung des Schutzes
        3. - Realisierung mit Standard-Sicherheits-Mittel
  2. Gesetze
    1. Datenschutzgesetz DSG
      1. Schützt Personen Persönlichkeits-Individualrecht
      2. Verhinderung von Missbarch von Informationen und Daten
      3. Natürliche Personen
      4. Juristische Personen
      5. Besonders schützenswerte Daten
    2. Strafgesetzbuch StGB
      1. Urkundenfälschung
      2. Unbefugte Datenbeschaffung
      3. Unbefugtes Eindringen in Systeme
      4. Spionage
      5. Beschädigung
      6. Missbrauch
      7. Leistung erschleichen
  3. Datenschutz
    1. Schutz vor personenbezogenen Informationen. Schutz vor Missbrauch, Einsicht, Verfälschung. Schutz der Privatsphäre. Vertraulichkeit --> Schutz der Personen
  4. Massnahmen
    1. Infrastruktur
      1. Zutrittschutz
      2. Sturm / Notstrom (USV)
      3. Blitzschutz
      4. Brandschutz
      5. Alarmanlage
      6. Klimatisierung
    2. Personal
      1. Weisungen festlegen
      2. Schulungen
      3. Sorgfaltspflicht
      4. Vertretungsregelungen
      5. Sensibilisierungen
    3. Organisation
      1. Sicherheitsdienst
      2. Konzepte / Standards / Handbücher
      3. Verantwortlichkeitsregelungen
      4. Kontrollmassnahmen / Audits
    4. Hardware und Software
      1. Flächendeckender Virenschutz
      2. Firewall / RAS
      3. Verschlüsselung
      4. Anmeldung / Passworte
      5. Schutz von Notebooks
    5. Kommunikation
      1. Verkabelung
      2. Router, Switch / Modem
      3. Remote-Zugang
      4. Mobiltelefone, WLAN
    6. Notfallvorsorge
      1. redundante Betriebsmittel
      2. Notfallkonzept BCP
      3. Datensicherung / Archivierung
      4. Lieferanten -Vereinbarungen / Versicherung
      5. Notfallübungen
      6. Alarmierungs -Plan
  5. Risiken / Gefahren
    1. Höhere Gewalt
      1. Blitz
      2. Feuer
      3. Wasser
      4. Stromausfall
      5. Sturm
    2. Menschliches Fehlverhalten
      1. Konfigurations- und Bedienungsfehler
      2. Vertraulichkeits - Intägritätsverlust
      3. Fahrlässige Zerstörung
      4. Fehlerhafte Administration
      5. Unbeabsichtigte Datenmanipulation
      6. Sorglosigkeit im Umgang mit Informationen
    3. Technisches Versagen
      1. Ausfall der Stromversorgung
      2. Ausfall von Systemkomponenten
      3. Defekte Datenträger
      4. Softwareschwachstelle oder Softwarefehler
      5. Ausfall oder Störung von Netzkomponenten
    4. Vorsätzliche Handlung
      1. Manipulation/Zerstörung von IT-Geräten oder Zubehör
      2. Manipulation an Daten oder Software
      3. Vandalismus
      4. Unbefugtes Eindringen in ein Gebäude
    5. Organisatorische Mängel
      1. fehlende Konzepte (z.B. kein Backupkonzept)
      2. fehlende Verantwortung
      3. Unzureichende Kontrolle
      4. Fehlende oder unzureichende Dokumentation
      5. Fehlende oder unzureichende Regelungen
  6. Datensicherheit
    1. Gesamtheit aller technischen und organisatorischen Massnahmen zum Schutz der Daten. Programme, Datenverarbeitungsanlagen gegen Verlust, Verfälschung, Zugriff, technischen Pannen, menschliches Versagen, mutwilligen Eingriffen. Integrität Verfügbarkeit --> Schutz der Daten
  7. Grundwerte IT-Sicherheit
    1. Vertraulichkeit
      1. Nur berechtigte Personen haben Zugriff auf vertrauliche Daten und Informationen
    2. Integrität
      1. Informationen sind vollständig, unverfälscht und korrekt
    3. Verfügbarkeit
      1. Systemverfügbarkeit Messbar in Wartezeiten, Verarbeitungsgeschwindigkeit
    4. Verbindlichkeit
      1. Einhaltung gesetzlicher und vertraglicher Bstimmungen. Nachweisbarkeit, juristische Akzeptanz von Rechtsgeschäften.