Abteilung - EDV


...

Weitere Managementthemen in diesem Kontext:

 

 

Erfahren Sie mehr über diese Abteilung:

Informationen:

  • Ziel und Zweck:
    • Ziel dieser Abteilung ist es, eine konforme und sichere IT-Landschaft im Unternehmen am jeweiligen Arbeitsplatz zur Verfügung zu stellen
  • Verantwortung:
    • Leitung der IT
  • Ausführende Mitarbeiter:
    • Mitarbeiter IT
  • Mitwirkende:
    • Mitarbeiter der Bereiche
  • Information an:
    • Geschäftsführung

Aufgaben:

  • Beachtung der IT-Sicherheit und der Datenschutzanforderungen
  • Administration der IT-Landschaft
  • Support für Mitarbeiter im Hinblick der Hard- und Software

Relevante Prozesse

  • Umgang mit Kundendaten
  • Umgang mit Mitarbeiterdaten
  • Instandhaltung
  • Infrastuktur / Facility-Management
  • Gesamte Prozesslandschaft

Verbindliche Anforderungen (gesetzliche- & behördliche Anforderungen / Kundenanforderungen)

  • Datschutz Grundverordnung (technischer und organisatorischer Datenschutz)
  • Telemediengesetzt
  • Telekommunikationsgesetz
  • Beachtung der IT spezifischen Compliance
  • Schutz von Entwicklungs-Know-How

Abteilungsrisiken (Risiken und Chancen)

Qualitätsmanagement:

  • Revisionssicherheit der QM Dokumente nicht gewährleistet
  • Zugriff auf wichtige Dokumente nicht möglich
  • Nichtbeachtung der IT-Sicherheit im Rahmen von Notfallplänen

Umweltmanagement:

  • Umweltrelevante Messdaten werden nicht bzw. fehlerhaft aufgezeichnet
  • Vorgabedokumente sind nicht zugänglich

Energiemanagement:

  • Keine bzw. fehlerhafte Messdatenaufzeichnung
  • Kein Zugriff auf relevante VOrgabedokumente sichergestellt

Arbeitssicherheitsmanagement:

  • Keine Gefährdungsbeurteilung am Arbeitsplatz vorhanden
  • Reparaturen an EDV Geräten werden unsachgemäß durchgeführt (Qualifikation der Mitarbeiter)

IT-Sicherheitsmanagement:

  • Nichtbeachtung der Datenschutzanforderungen (gesetzlich und behördlich)
  • Hacker-Angriff
  • Ausfall der IT-Landschaft
  • Keine bzw. fehlerhafte Backups
  • Nicht qualifizierte Mitarbeiter
  • Revisionssicherheit der Datenaufzeichnungen nicht gewährleistet
  • Zugang zur Serverlandschft nicht abgesichert (Zutrittskontrolle)

Laboratorien:

  • Messdatenaufzeichnung fehlerhaft
  • Revisionssicherheit der Dokumentation nicht gewährleitet

Social Compliance:

  • Illegale Mitarbeiterüberwachung
  • Datenschutzverstöße im Hinblick personenbezogener Daten

IST-Situation:

  • Übernehmen Sie die aufgeführten potentiellen Risiken und definieren Sie nun, ob diese Risiken bei Ihnen im Unternehmen auftreten können bzw. eventuell bereits abgesichert sind
  • Definieren Sie die derzeitig etablierten Vermeidungs- und Entdeckungsmaßnahmen
  • Bewerten Sie die Risiken z. B. mit der FMEA-Methode

Planung:

  • Definieren Sie einen Maßnahmenplan, um die derzeitigen Risiken abzumildern bzw. zu beseitigen („Chancen“)
  • Beachten Sie die Wirksamkeitsprüfung getroffener Maßnahmen
  • Die veränderte Situation stellt nun die neue Ist-Situation dar

Notwendige Umsetzung

Qualitätsmanagement:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen
  • Definition eines Notfallplans im Hinblick eventueller Cyberattacken 

Umweltmanagement:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen

Energiemanagement:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen
  • Sicherstellung der Datenaufzeichnungen in Bezug des Messstellenkonzeptes
  • Beachtung des Energieeinsatzes bei neu anzuschaffenden EDV-Infrastrukturen

Arbeitssicherheitsmanagement:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen
  • Unterweisung der Mitarbeiter in Bezug der Gefährdungen am Arbeitsplatz

IT-Sicherheitsmanagement:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen
  • Definition von Arbeitsanweisungen
  • Dokumentation der Netzwerkstrukturen
  • Dokumentation der Sicherheitszonen des Unternehmens - Defnition entsprechender Vorgaben je Sicherheitszone
  • Definition der relevanten Vermögenswerte (Assets) des Unternehmens
  • Abstimmung der Nutzerbrerechtigungen
  • Implementierung eines Meldesystems für Mitarbeiter in Bezug von IT-Sicherheits- bzw. Datenschutzverstößen
  • Definition von Zutrittsberechtigungen für Sicherheitszonen oder auch Serverraum
  • Festlegung von Kriterien zur Bewertung für neu anzuschaffende Infrastrukturen
  • Definition von IT-Sicherheitsrichtlinien für Mitarbeiter in Bezug der Nutzung mobiler Endgeräte, Verwendung von Passwörtern, Nutzung und Weitergabe von Informationen
  • Definition geeigneter Vorgaben den Einsatz von Drittanbietern z. B. Cloud-Diensten
  • Sicherstellung der organisatorischen und technischen Datensicherheit
  • Beachtung der gesetzlichen und behördlichen Vorgaben - mit entsprechender Nachweisführung

Laboratorien:

  • Definition der Archivierungsfristen und Orte für Aufzeichnungen
  • Revisionssichere Datenarchivierung sicherstellen

Social Compliance:

  • Prüfung der Datenschutzkonformität im Hinblick einer illegalen Mitarbeiterüberwachung