M 2.216 Genehmigungsverfahren für IT-Komponenten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Beschaffung, die Installation und der Betrieb von IT-Komponenten aller Art muss koordiniert und genehmigt sein. Es muss geregelt sein, wie IT-Komponenten abgenommen, freigegeben, installiert bzw. benutzt werden. Dies betrifft beispielsweise den Einsatz von Modems, Diskettenlaufwerken, Software und Mobiltelefonen. Eine entsprechende Vorgehensweise für den Bereich Standardsoftware ist in Baustein B 1.10 Standardsoftware beschrieben. Dabei wird der gesamte Lebenszyklus von Standardsoftware betrachtet: Erstellung eines Anforderungskataloges, Vorauswahl eines geeigneten Produktes, Test, Freigabe, Installation, Lizenzverwaltung und Deinstallation. Um eine analoge Vorgehensweise für andere IT-Komponenten zu entwickeln, kann sich ebenfalls an diesem Baustein orientiert werden.

Im Rahmen des Genehmigungsverfahrens von neuen IT-Komponenten müssen

Während des Genehmigungsverfahrens sollten außerdem Installations- bzw. Konfigurationsanleitungen erarbeitet werden, in denen auch alle sicherheitsrelevanten Einstellungen dokumentiert sind. Auch nach der Erstinstallation von IT-Komponenten müssen diese weitergepflegt werden (siehe auch M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen). Vor der Inbetriebnahme neuer IT-Komponenten sind (sofern erforderlich) die Administratoren bzw. die Benutzer in deren Anwendung zu schulen.

Die Installation und Benutzung nicht freigegebener IT-Komponenten muss verboten und die Einhaltung dieses Verbotes regelmäßig kontrolliert werden.

Prüffragen: