Bemerkung: Aus Sicherheitsgründen liefere ich Ihnen kein Word-, LibreOffice- noch RTF-Dokument. Sie können das Formular einfach als Text kopieren und formatieren.
Angaben zum Projekt
- Identifikationsnummer:
- Bezeichnung:
- Auftraggeber:
- Product Owner/Projektleiter:
Beschreibung der Architektur
- Ziel des Systems:
- Diagramm der Server auf der Produktion
- Code und Funktion der beteiligten Systeme und Microservices:
Schutzmaßnahmen
- Wie wurden diese Systeme abgesichert/geschützt?
- Welche Netzwerkprotokolle werden verwendet?
- Welche Authentifizierungsmethoden finden Anwendung?
- Wie erfolgt die Benutzerverwaltung und wer ist dafür zuständig?
- Welche Berechtigungsgruppen werden zu welchem Zweck eingerichtet?
- Welche Datenübertragungen und -übernahmen (Schnittstellen) finden Anwendung und welche Sicherheitsmaßnahmen werden implementiert?
- Werden präventive Sicherheitsmaßnahmen, z. B. Backups und Notfallmaßnahmen, ergriffen?
- Wer ist verantwortlich für das regelmäßige Testen der Wiederherstellung des Systems aus dem Backup?
- Wie oft wird das Testing der Wiederherstellung des Systems aus dem Backup durchgeführt?
- Sind Änderungen (Daten, Konfiguration etc.) nachvollziehbar dokumentiert?
- Werden Kontrollen/Stichprobenprüfungen durchgeführt und wenn ja, wo, wann und von wem?
- Gibt es kompensierende Kontrollhandlungen, die eine Risikoerkennung frühzeitig ermöglichen?
- Anlagen wie Netzwerkplan und Berechtigungskonzept
Klassifizierung der Daten
Welche Arten von Daten werden verarbeitet?
Wie kritisch sind die Daten für andere Geschäftsprozesse der Firma?
Wie kritisch ist es aus Sicht des Kunden, wenn Daten unbeabsichtigt öffentlich gemacht werden, entwendet, geändert oder gelöscht werden?
Werden die personenbezogenen Daten in anderen Systemen gespeichert?
Kann die Funktion des Systems ohne die Verarbeitung personenbezogener Daten erfüllt werden?
Folgende Datenarten werden erhoben und verarbeitet:
- Personenbezogene Daten (Kunden-/Mitarbeiterdaten)
- Geschäftliche, sensible Informationen
- Öffentliche Daten
Zugriffe zu den Systemen
| aus dem Unternehmensnetzwerk | aus dem Internet über VPN | aus dem Internet ohne VPN | |
|---|---|---|---|
| Interne Mitarbeiter | Ja/Nein | Ja/Nein | Ja/Nein |
| Externe Dienstleister | Ja/Nein | Ja/Nein | Ja/Nein |
| Geschäftspartner | Nicht möglich | Ja/Nein | Ja/Nein |
| Kunden | Nicht möglich | Nicht möglich | Ja/Nein |
Standorte der IT-Systeme
- DMZ: Geschütztes Netzwerk mit Zugriff aus dem LAN u. aus Internet
- Internes Netzwerk
- Extern gehostete Systeme: Beschreibung des Data-Centers oder public Cloud
Detaillierte Risikobewertung
Diese Risiken müssen sowohl mit dem Auftraggeber als auch mit dem Datenschutzbeauftragter und Informationssicherheitsbeauftragter abgestimmt werden. Und diese Maßnahmen müssen im Projektplan berücksichtigt werden.
| Bereich | Geplante Schutzmaßnahmen | Restrisiken | Bewertung des Restrisikos |
|---|---|---|---|
| Daten | |||
| Systeme | |||
| Netzwerk | |||
| Schnittstellen | |||
| Nutzer |
Kommentare zur Freigabe
Das Projekt wurde vorab geprüft und wird vorbehaltlich, unter Realisierung der umzusetzenden Maßnahmen,
- freigegeben
- nicht freigegeben
Erfolgen nach dem Zeitpunkt der Risikobewertung nachträglich technische Änderungen, ist die Risikobewertung erneut durchzuführen.
Unterschriften
| Datum, Unterschrift | Datum, Unterschrift | Datum, Unterschrift |
| Projekt-Verantwortlicher | Datenschutzbeauftragter | Informationssicherheitsbeauftragter |
License
This work is marked CC0 1.0 Universal
