OPS.1.1.2 Ordnungsgemäße IT-Administration
Basis-Anforderungen
OPS.1.1.2.A1 Personalauswahl für administrative Tätigkeiten [Leiter Personal] (B)
OPS.1.1.2.A2 Vertretungsregelungen und Notfallvorsorge (B)
OPS.1.1.2.A3 Geregelte Einstellung von IT-Administratoren (B)
OPS.1.1.2.A4 Beendigung der Tätigkeit als IT-Administrator [Leiter Personal] (B)
OPS.1.1.2.A5 Nachweisbarkeit von administrativen Tätigkeiten (B)
OPS.1.1.2.A6 Schutz administrativer Tätigkeiten (B)
Standard-Anforderungen
OPS.1.1.2.A7 Regelung der IT-Administrationstätigkeit (S)
OPS.1.1.2.A8 Administration von Fachanwendungen (S)
OPS.1.1.2.A9 Ausreichende Ressourcen für den IT-Betrieb (S)
OPS.1.1.2.A10 Fortbildung und Information (S)
OPS.1.1.2.A11 Dokumentation von IT-Administrationstätigkeiten [IT-Betrieb] (S)
OPS.1.1.2.A12 Regelungen für Wartungs- und Reparaturarbeiten [IT-Betrieb] (S)
OPS.1.1.2.A13 ENTFALLEN (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.2.A14 Sicherheitsüberprüfung von Administratoren [Leiter Personal] (H)
OPS.1.1.2.A15 Aufteilung von Administrationstätigkeiten (H)
OPS.1.1.2.A16 Zugangsbeschränkungen für administrative Zugänge (H)
OPS.1.1.2.A17 IT-Administration im Vier-Augen-Prinzip (H)
OPS.1.1.2.A18 Durchgängige Protokollierung administrativer Tätigkeiten (H)
OPS.1.1.2.A19 Berücksichtigung von Hochverfügbarkeitsanforderungen (H)
OPS.1.1.3 Patch- und Änderungsmanagement
Basis-Anforderungen
OPS.1.1.3.A1 Konzept für das Patch- und Änderungsmanagement [Fachverantwortliche] (B)
OPS.1.1.3.A2 Festlegung der Verantwortlichkeiten [Leiter IT] (B)
OPS.1.1.3.A3 Konfiguration von Autoupdate-Mechanismen (B)
Standard-Anforderungen
OPS.1.1.3.A4 Planung des Änderungsmanagementprozesses [Änderungsmanager] (S)
OPS.1.1.3.A5 Umgang mit Änderungsanforderungen [Änderungsmanager] (S)
OPS.1.1.3.A6 Abstimmung von Änderungsanforderungen [Änderungsmanager] (S)
OPS.1.1.3.A7 Integration des Änderungsmanagements in die Geschäftsprozesse [Änderungsmanager] (S)
OPS.1.1.3.A8 Sicherer Einsatz von Werkzeugen für das Patch- und Änderungsmanagement (S)
OPS.1.1.3.A9 Test- und Abnahmeverfahren für neue Hard- und Software (S)
OPS.1.1.3.A10 Sicherstellung der Integrität und Authentizität von Softwarepaketen (S)
OPS.1.1.3.A11 Kontinuierliche Dokumentation der Informationsverarbeitung [Änderungsmanager] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.3.A12 Skalierbarkeit beim Änderungsmanagement (H)
OPS.1.1.3.A13 Erfolgsmessung von Änderungsanforderungen (H)
OPS.1.1.3.A14 Synchronisierung innerhalb des Änderungsmanagements [Änderungsmanager] (H)
OPS.1.1.4 Schutz vor Schadprogrammen
Basis-Anforderungen
OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen (B)
OPS.1.1.4.A2 Nutzung systemspezifischer Schutzmechanismen (B)
OPS.1.1.4.A3 Auswahl eines Virenschutzprogrammes für Endgeräte (B)
OPS.1.1.4.A4 Auswahl eines Virenschutzprogrammes für Gateways und IT-Systeme zum Datenaustausch [Fachverantwortliche] (B)
OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen (B)
OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen (B)
OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer [Benutzer] (B)
Standard-Anforderungen
OPS.1.1.4.A8 Nutzung von Cloud-Diensten zur Detektionsverbesserung (S)
OPS.1.1.4.A9 Meldung von Infektionen mit Schadprogrammen [Benutzer] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.4.A10 Nutzung spezieller Analyseumgebungen (H)
OPS.1.1.4.A11 Einsatz mehrerer Scan-Engines (H)
OPS.1.1.4.A12 Einsatz von Datenträgerschleusen (H)
OPS.1.1.4.A13 Umgang mit nicht vertrauenswürdigen Dateien (H)
OPS.1.1.4.A14 Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe (H)
OPS.1.1.4.A15 Externe Beratung zum Schutz vor Schadprogrammen (H)
OPS.1.1.5 Protokollierung
Basis-Anforderungen
OPS.1.1.5.A1 Erstellung einer Sicherheitsrichtlinie für die Protokollierung [Informationssicherheitsbeauftragter (ISB), Fachverantwortliche] (B)
OPS.1.1.5.A2 Festlegung von Rollen und Verantwortlichkeiten [Leiter IT] (B)
OPS.1.1.5.A3 Konfiguration der Protokollierung auf System- und Netzebene (B)
OPS.1.1.5.A4 Zeitsynchronisation der IT-Systeme (B)
OPS.1.1.5.A5 Einhaltung rechtlicher Rahmenbedingungen [Informationssicherheitsbeauftragter (ISB)] (B)
Standard-Anforderungen
OPS.1.1.5.A6 Aufbau einer zentralen Protokollierungsinfrastruktur (S)
OPS.1.1.5.A7 Sichere Administration von Protokollierungsservern (S)
OPS.1.1.5.A8 Archivierung von Protokollierungsdaten (S)
OPS.1.1.5.A9 Bereitstellung von Protokollierungsdaten für die Auswertung (S)
OPS.1.1.5.A10 Zugriffsschutz für Protokollierungsdaten (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.5.A11 Steigerung des Protokollierungsumfangs (H)
OPS.1.1.5.A12 Verschlüsselung der Protokollierungsdaten (H)
OPS.1.1.5.A13 Hochverfügbare Protokollierungssysteme [Informationssicherheitsbeauftragter (ISB)] (H)
OPS.1.1.6 Software-Tests und -Freigaben
Basis-Anforderungen
OPS.1.1.6.A1 Planung der Software-Tests (B)
OPS.1.1.6.A2 Durchführung von funktionalen Software-Tests [Tester] (B)
OPS.1.1.6.A3 Auswertung der Testergebnisse [Tester] (B)
OPS.1.1.6.A4 Freigabe der Software [Fachverantwortliche] (B)
OPS.1.1.6.A5 Durchführung nicht-funktionaler Software-Tests [Tester] (B)
Standard-Anforderungen
OPS.1.1.6.A6 Geordnete Einweisung der Software-Tester [IT-Betrieb, Fachverantwortliche] (S)
OPS.1.1.6.A7 Personalauswahl der Software-Tester [Personalabteilung] (S)
OPS.1.1.6.A8 Fort- und Weiterbildung der Software-Tester [Leiter Personal] (S)
OPS.1.1.6.A9 Beschaffung von Test-Software [IT-Betrieb, Tester] (S)
OPS.1.1.6.A10 Erstellung eines Abnahmeplans (S)
OPS.1.1.6.A11 Verwendung von anonymisierten oder pseudonymisierten Testdaten [Datenschutzbeauftragter, Tester] (S)
OPS.1.1.6.A12 Durchführung von Regressionstests [Tester] (S)
OPS.1.1.6.A13 Trennung von Test- und Qualitätsmanagement-Umgebung von der Produktivumgebung [IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.1.6.A14 Durchführung von Penetrationstests [Tester] (H)
OPS.1.2.2 Archivierung
Basis-Anforderungen
OPS.1.2.2.A1 Ermittlung von Einflussfaktoren für die elektronische Archivierung [Informationssicherheitsbeauftragter (ISB)] (B)
OPS.1.2.2.A2 Entwicklung eines Archivierungskonzepts [Informationssicherheitsbeauftragter (ISB)] (B)
OPS.1.2.2.A3 Geeignete Aufstellung von Archivsystemen und Lagerung von Archivmedien [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A4 Konsistente Indizierung von Daten bei der Archivierung [Leiter IT, IT-Betrieb, Benutzer] (B)
OPS.1.2.2.A5 Regelmäßige Aufbereitung von archivierten Datenbeständen [Leiter IT] (B)
OPS.1.2.2.A6 Schutz der Integrität der Indexdatenbank von Archivsystemen [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A7 Regelmäßige Datensicherung der System- und Archivdaten [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A8 Protokollierung der Archivzugriffe [Leiter IT, IT-Betrieb] (B)
OPS.1.2.2.A9 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten [Leiter IT, IT-Betrieb] (B)
Standard-Anforderungen
OPS.1.2.2.A10 Erstellung einer Richtlinie für die Nutzung von Archivsystemen [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A11 Einweisung in die Administration und Bedienung des Archivsystems [Leiter IT, IT-Betrieb, Benutzer] (S)
OPS.1.2.2.A12 Überwachung der Speicherressourcen von Archivmedien [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A13 Regelmäßige Revision der Archivierungsprozesse (S)
OPS.1.2.2.A14 Regelmäßige Beobachtung des Marktes für Archivsysteme [Leiter IT] (S)
OPS.1.2.2.A15 Regelmäßige Aufbereitung von kryptografisch gesicherten Daten bei der Archivierung [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A16 Regelmäßige Erneuerung technischer Archivsystem-Komponenten [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A17 Auswahl eines geeigneten Archivsystems [Leiter IT] (S)
OPS.1.2.2.A18 Verwendung geeigneter Archivmedien [Leiter IT, IT-Betrieb] (S)
OPS.1.2.2.A19 Regelmäßige Funktions- und Recoverytests bei der Archivierung [Leiter IT, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.2.A20 Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung [Leiter IT] (H)
OPS.1.2.2.A21 Übertragung von Papierdaten in elektronische Archive (H)
OPS.1.2.4 Telearbeit
Basis-Anforderungen
OPS.1.2.4.A1 Regelungen für Telearbeit [Vorgesetzte, Personalabteilung] (B)
OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner (B)
OPS.1.2.4.A3 Sicherheitstechnische Anforderungen an die Kommunikationsverbindung [IT-Betrieb, Leiter IT] (B)
OPS.1.2.4.A4 Datensicherung bei der Telearbeit [IT-Betrieb, Telearbeiter] (B)
OPS.1.2.4.A5 Sensibilisierung und Schulung der Telearbeiter (B)
Standard-Anforderungen
OPS.1.2.4.A6 Erstellen eines Sicherheitskonzeptes für Telearbeit (S)
OPS.1.2.4.A7 Regelung der Nutzung von Kommunikationsmöglichkeiten bei Telearbeit [IT-Betrieb, Telearbeiter] (S)
OPS.1.2.4.A8 Informationsfluss zwischen Telearbeiter und Institution [Vorgesetzte, Telearbeiter] (S)
OPS.1.2.4.A9 Betreuungs- und Wartungskonzept für Telearbeitsplätze [IT-Betrieb, Leiter IT, Telearbeiter] (S)
OPS.1.2.4.A10 Durchführung einer Anforderungsanalyse für den Telearbeitsplatz [IT-Betrieb, Leiter IT] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.5 Fernwartung
Basis-Anforderungen
OPS.1.2.5.A1 Planung des Einsatzes der Fernwartung (B)
OPS.1.2.5.A2 Sicherer Verbindungsaufbau bei der Fernwartung von Clients [Benutzer] (B)
OPS.1.2.5.A3 Absicherung der Schnittstellen zur Fernwartung (B)
OPS.1.2.5.A4 Regelungen zu Kommunikationsverbindungen (B)
Standard-Anforderungen
OPS.1.2.5.A5 Einsatz von Online-Diensten [Benutzer] (S)
OPS.1.2.5.A6 Erstellung einer Richtlinie für die Fernwartung (S)
OPS.1.2.5.A7 Dokumentation bei der Fernwartung (S)
OPS.1.2.5.A8 Sichere Protokolle bei der Fernwartung (S)
OPS.1.2.5.A9 Auswahl und Beschaffung geeigneter Fernwartungswerkzeuge (S)
OPS.1.2.5.A10 Verwaltung der Fernwartungswerkzeuge [Benutzer] (S)
OPS.1.2.5.A11 ENTFALLEN (S)
OPS.1.2.5.A12 ENTFALLEN (S)
OPS.1.2.5.A13 ENTFALLEN (S)
OPS.1.2.5.A15 ENTFALLEN (S)
OPS.1.2.5.A16 ENTFALLEN (S)
OPS.1.2.5.A17 Authentisierungsmechanismen bei der Fernwartung (S)
OPS.1.2.5.A18 ENTFALLEN (S)
OPS.1.2.5.A19 Fernwartung durch Dritte (S)
OPS.1.2.5.A20 Betrieb der Fernwartung (S)
OPS.1.2.5.A21 Erstellung eines Notfallplans für den Ausfall der Fernwartung (S)
OPS.1.2.5.A24 Absicherung integrierter Fernwartungssysteme (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.1.2.5.A14 Dedizierte Systeme bei der Fernwartung (H)
OPS.1.2.5.A22 Redundante Kommunikationsverbindungen (H)
OPS.1.2.5.A23 ENTFALLEN (H)
OPS.2.1 Outsourcing für Kunden
Basis-Anforderungen
OPS.2.1.A1 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben (B)
Standard-Anforderungen
OPS.2.1.A2 Rechtzeitige Beteiligung der Personalvertretung [Leiter Organisation] (S)
OPS.2.1.A3 Auswahl eines geeigneten Outsourcing-Dienstleisters (S)
OPS.2.1.A4 Vertragsgestaltung mit dem Outsourcing-Dienstleister (S)
OPS.2.1.A5 Festlegung einer Strategie zum Outsourcing (S)
OPS.2.1.A6 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben [Fachverantwortliche] (S)
OPS.2.1.A7 Festlegung der möglichen Kommunikationspartner [Leiter Organisation] (S)
OPS.2.1.A8 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleiters [Leiter Personal] (S)
OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S)
OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S)
OPS.2.1.A11 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S)
OPS.2.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager] (S)
OPS.2.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S)
OPS.2.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S)
OPS.2.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Leiter Beschaffung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.2.1.A16 Sicherheitsüberprüfung von Mitarbeitern (H)
OPS.2.2 Cloud-Nutzung
Basis-Anforderungen
OPS.2.2.A1 Erstellung einer Cloud-Nutzungs-Strategie [Fachverantwortliche, Institutionsleitung, Datenschutzbeauftragter] (B)
OPS.2.2.A2 Erstellung einer Sicherheitsrichtlinie für die Cloud-Nutzung [Fachverantwortliche] (B)
OPS.2.2.A3 Service-Definition für Cloud-Dienste durch den Cloud-Kunden [Fachverantwortliche] (B)
OPS.2.2.A4 Festlegung von Verantwortungsbereichen und Schnittstellen [Fachverantwortliche] (B)
Standard-Anforderungen
OPS.2.2.A5 Planung der sicheren Migration zu einem Cloud-Dienst [Fachverantwortliche] (S)
OPS.2.2.A6 Planung der sicheren Einbindung von Cloud-Diensten [IT-Betrieb] (S)
OPS.2.2.A7 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung [IT-Betrieb] (S)
OPS.2.2.A8 Sorgfältige Auswahl eines Cloud-Diensteanbieters [Institutionsleitung] (S)
OPS.2.2.A9 Vertragsgestaltung mit dem Cloud-Diensteanbieter [Institutionsleitung] (S)
OPS.2.2.A10 Sichere Migration zu einem Cloud-Dienst [Fachverantwortliche, IT-Betrieb] (S)
OPS.2.2.A11 Erstellung eines Notfallkonzeptes für einen Cloud-Dienst [IT-Betrieb] (S)
OPS.2.2.A12 Aufrechterhaltung der Informationssicherheit im laufenden Cloud-Nutzungs-Betrieb [IT-Betrieb] (S)
OPS.2.2.A13 Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung (S)
OPS.2.2.A14 Geordnete Beendigung eines Cloud-Nutzungs-Verhältnisses [Fachverantwortliche, Institutionsleitung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.2.2.A15 Sicherstellung der Portabilität von Cloud-Diensten [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A16 Durchführung eigener Datensicherungen [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A17 Einsatz von Verschlüsselung bei Cloud-Nutzung [IT-Betrieb] (H)
OPS.2.2.A18 Einsatz von Verbunddiensten [Fachverantwortliche, IT-Betrieb] (H)
OPS.2.2.A19 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal] (H)
OPS.3.1 Outsourcing für Dienstleister
Basis-Anforderungen
OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung (B)
Standard-Anforderungen
OPS.3.1.A2 Vertragsgestaltung mit den Outsourcing-Kunden (S)
OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben (S)
OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner [Leiter Organisation, Datenschutzbeauftragter] (S)
OPS.3.1.A5 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleisters [Leiter Personal] (S)
OPS.3.1.A6 Regelungen für den Einsatz von Fremdpersonal [Leiter Personal] (S)
OPS.3.1.A7 Erstellung eines Mandantentrennungskonzeptes durch den Outsourcing-Dienstleister (S)
OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S)
OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S)
OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S)
OPS.3.1.A11 Zutritts-, Zugangs- und Zugriffskontrolle [Leiter Organisation] (S)
OPS.3.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager] (S)
OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S)
OPS.3.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S)
OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Institutionsleitung] (S)
Anforderungen bei erhöhtem Schutzbedarf
OPS.3.1.A16 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal] (H)