M 2.117 Regelung der Zugriffsmöglichkeiten des Telearbeiters
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: Administrator, Vorgesetzte
Erfordert die Telearbeit den Zugriff auf die IT der Institution (zum Beispiel auf einen Server), muss zuvor festgelegt werden, welche Objekte (Daten, IT) der Telearbeiter tatsächlich für die Erfüllung seiner Aufgaben benötigt. Entsprechend sind die notwendigen Rechte wie Lese- und Schreibrechte auf diese Objekte zuzuweisen. Auf Objekte, die der Telearbeiter für seine Aufgabenwahrnehmung nicht braucht, sollte er auch nicht zugreifen können. Dies gilt sowohl für den Zugriff auf Daten wie auf in der Institution verfügbare IT. Damit soll erreicht werden, dass der Schaden, der aufgrund eines Hacker-Angriffs auf den Kommunikationsrechner entstehen kann, minimiert wird. Für die Erteilung der Zugangs- und Zugriffsrechte siehe M 2.7 Vergabe von Zugangsberechtigungen und M 2.8 Vergabe von Zugriffsrechten.
Ergänzende Kontrollfragen:
- Ist dem Administrator bekannt, auf welche Objekte der Telearbeiter zugreifen darf?
- Welche Voraussetzungen müssen vor einer Vergabe oder Änderungen von Zugriffsrechten erfüllt sein?
- Ist der Server so administriert, dass der Telearbeiter nur auf die erlaubten Objekte zugreifen kann?