ORP.1 Organisation
Basis-Anforderungen
ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen [Institutionsleitung] (B)
ORP.1.A2 Zuweisung der Verantwortung [Institutionsleitung] (B)
ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen [Mitarbeiter] (B)
ORP.1.A4 Funktionstrennung zwischen unvereinbaren Aufgaben (B)
ORP.1.A5 Vergabe von Berechtigungen [Leiter IT] (B)
Standard-Anforderungen
ORP.1.A6 Schutz von sensiblen Informationen am Arbeitsplatz [Mitarbeiter] (S)
ORP.1.A7 Geräteverwaltung [Leiter IT, Leiter Produktion und Fertigung, Leiter Haustechnik] (S)
ORP.1.A8 Betriebsmittelverwaltung [Leiter IT] (S)
ORP.1.A9 ENTFALLEN (S)
ORP.1.A10 Reaktion auf Verletzungen der Sicherheitsvorgaben [Informationssicherheitsbeauftragter (ISB)] (S)
ORP.1.A11 Rechtzeitige Beteiligung der Personalvertretung [Leiter IT] (S)
ORP.1.A12 Regelungen für Wartungs- und Reparaturarbeiten [IT-Betrieb, Haustechnik, ICS-Informationssicherheitsbeauftragter] (S)
ORP.1.A13 Sicherheit bei Umzügen [Leiter IT, Leiter Haustechnik] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.1.A14 Kontrollgänge [Haustechnik, Informationssicherheitsbeauftragter (ISB)] (H)
ORP.2 Personal
Basis-Anforderungen
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte] (B)
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb] (B)
ORP.2.A3 Festlegung von Vertretungsregelungen [Vorgesetzte] (B)
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal (B)
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal (B)
Standard-Anforderungen
ORP.2.A6 Überprüfung von Kandidaten bei der Auswahl von Personal (S)
ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern (S)
ORP.2.A8 Aufgaben und Zuständigkeiten von Mitarbeitern [Informationssicherheitsbeauftragter (ISB)] (S)
ORP.2.A9 Schulung von Mitarbeitern (S)
ORP.2.A10 Vermeidung von Störungen des Betriebsklimas (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.2.A11 Analyse der Sicherheitskultur (H)
ORP.2.A12 Benennung einer Vertrauensperson (H)
ORP.2.A13 Sicherheitsüberprüfung (H)
ORP.3 Sensibilisierung und Schulung
Basis-Anforderungen
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit [Vorgesetzte, Institutionsleitung] (B)
ORP.3.A2 Ansprechpartner zu Sicherheitsfragen (B)
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung, IT-Betrieb] (B)
Standard-Anforderungen
ORP.3.A4 Konzeption eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit (S)
ORP.3.A5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme (S)
ORP.3.A6 Planung und Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit (S)
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz (S)
ORP.3.A8 Messung und Auswertung des Lernerfolgs [Personalabteilung] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen (H)
ORP.4 Identitäts- und Berechtigungsmanagement
Basis-Anforderungen
ORP.4.A1 Regelung für die Einrichtung und Löschung von Benutzern und Benutzergruppen [IT-Betrieb] (B)
ORP.4.A2 Regelung für Einrichtung, Änderung und Entzug von Berechtigungen [IT-Betrieb] (B)
ORP.4.A3 Dokumentation der Benutzerkennungen und Rechteprofile [IT-Betrieb] (B)
ORP.4.A4 Aufgabenverteilung und Funktionstrennung [IT-Betrieb] (B)
ORP.4.A5 Vergabe von Zutrittsberechtigungen [IT-Betrieb] (B)
ORP.4.A6 Vergabe von Zugangsberechtigungen [IT-Betrieb] (B)
ORP.4.A7 Vergabe von Zugriffsrechten [IT-Betrieb] (B)
ORP.4.A8 Regelung des Passwortgebrauchs [Benutzer, IT-Betrieb] (B)
ORP.4.A9 Identifikation und Authentisierung [IT-Betrieb] (B)
ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)
ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)
Standard-Anforderungen
ORP.4.A10 Schutz von Benutzerkennungen mit weitreichenden Berechtigungen [IT-Betrieb] (S)
ORP.4.A11 Zurücksetzen von Passwörtern [IT-Betrieb] (S)
ORP.4.A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen [IT-Betrieb] (S)
ORP.4.A13 Geeignete Auswahl von Authentisierungsmechanismen [IT-Betrieb] (S)
ORP.4.A14 Kontrolle der Wirksamkeit der Benutzertrennung am IT-System bzw. Anwendung [IT-Betrieb] (S)
ORP.4.A15 Vorgehensweise und Konzeption der Prozesse beim Identitäts- und Berechtigungsmanagement [IT-Betrieb] (S)
ORP.4.A16 Richtlinien für die Zugriffs- und Zugangskontrolle [IT-Betrieb] (S)
ORP.4.A17 Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen [IT-Betrieb] (S)
ORP.4.A18 Einsatz eines zentralen Authentisierungsdienstes [IT-Betrieb] (S)
ORP.4.A19 Einweisung aller Mitarbeiter in den Umgang mit Authentisierungsverfahren und -mechanismen [Benutzer, IT-Betrieb] (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.4.A20 Notfallvorsorge für das Identitäts- und Berechtigungsmanagement-System [IT-Betrieb] (H)
ORP.4.A21 Mehr-Faktor-Authentisierung [IT-Betrieb] (H)
ORP.5 Compliance Management (Anforderungsmanagement)
Basis-Anforderungen
ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen [Leiter Organisation, Institutionsleitung] (B)
ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen [Vorgesetzte, Leiter Organisation, Institutionsleitung] (B)
ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [Vorgesetzte, Personalabteilung] (B)
Standard-Anforderungen
ORP.5.A4 Konzeption und Organisation des Compliance Managements [Institutionsleitung] (S)
ORP.5.A5 Ausnahmegenehmigungen [Vorgesetzte, Informationssicherheitsbeauftragter (ISB)] (S)
ORP.5.A6 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung] (S)
ORP.5.A7 ENTFALLEN (S)
ORP.5.A8 Regelmäßige Überprüfungen des Compliance Managements (S)
Anforderungen bei erhöhtem Schutzbedarf
ORP.5.A9 ENTFALLEN (H)
ORP.5.A10 ENTFALLEN (H)
ORP.5.A11 ENTFALLEN (H)