Fragenliste Platinum-Label
Bitte beschreiben Sie ihr Regelwerk (zB. Informationssicherheitsrichtlinie, Policy o.ä.), und inwiefern dieses die Ziele der Sicherheit ihrer Netz- und Informationssysteme inklusive Maßnahmen zur Umsetzung adressiert, allen Mitarbeitern bekannt und von der obersten Geschäftsleitung formal beschlossen ist.
Bitte beschreiben Sie ihre Rollen und Verantwortlichkeiten für Informationssicherheit und ob eine Person gegenüber den Leitungsorganen direkt für Fragen der Sicherheit von Netz- und Informationssystemen verantwortlich ist.
Bitte beschreiben Sie ihr Informationssicherheits-Risikomanagementsystem, und inwiefern dieses in das Gesamtrisikomanagement des Unternehmens integriert ist und dabei sämtliche für das Unternehmen relevanten Informationssicherheitsrisiken identifiziert, bewertet und in angemessener Weise behandelt.
Bitte beschreiben Sie, ob und wie Sie regelmäßig die Einhaltung ihrer Konzepte, Vorgaben und Richtlinien zur Informationssicherheit überprüfen und ob Sie die Ergebnisse an ihre oberste Geschäftsleitung berichten.
Bitte beschreiben Sie, ob und wie Sie regelmäßig unabhängige Überprüfungen ihres Ansatzes für das Management der Sicherheit von Netz- und Informationssystemen und dessen Umsetzung vornehmen lassen und die Ergebnisse an ihre oberste Geschäftsleitung berichten.
Bitte beschreiben Sie ihr Konzept bzw. ihren Prozess zur Erkennung, Analyse und Bewältigung von Sicherheitsvorfällen, die zugehörigen Verantwortlichkeiten, und wie sie dies in regelmäßigen Abständen testen und aktualisieren.
Bitte beschreiben Sie, welche Protokollierungsmaßnahmen bei ihren Systemen eingerichtet sind, welche Ereignisse diese umfassen und ob und wie sie diese in kontinuierlicher Art und Weise überwachen? Bitte machen Sie dabei auch Angaben zur Aufbewahrungsdauer der Protokolle.
Bitte beschreiben Sie den Mechanismus wie verdächtige Ereignisse bei ihnen gemeldet werden können und inwiefern Anbieter und Kunden über diesen Mechanismus zur Einmeldung informiert werden.
Bitte beschreiben Sie ihren Mechanismus zur Bewertung und Klassifizierung von Ereignissen.
Bitte beschreiben Sie wie Sie zeitnahe auf Sicherheitsvorfälle reagieren, ihre Reaktion dokumentieren und dabei ihren eigenen Verfahrensrichtlinien bei Sicherheitsvorfällen gemäß 3.1 folgen.
Bitte beschreiben Sie, ob und wie Sie nach Sicherheitsvorfällen eine Nachbetrachtung durchführen, dabei die Ursachen des Vorfalls und die Angemessenheit ihrer Reaktion betrachten und daraus ggf. Verbesserungen für die Zukunft ableiten.
Bitte beschreiben Sie ihren Notfallplan für die Aufrechterhaltung und Wiederherstellung des Betriebs, und inwiefern dieser auf einer Szenarioanalyse und einer Auswirkungsanalyse (BIA) beruht sowie regelmäßig getestet und aktualisiert wird.
Bitte beschreiben Sie ihr Backup- und Redundanz-Konzept, das ihnen die gemäß Risikoanalyse erforderlichen Wiederherstellungszeiten ermöglicht und inwiefern sie die Wirksamkeit testen.
Bitte beschreiben Sie ihr Krisenmanagement inklusive geeigneter Rollen und Verantwortlichkeiten und Kommunikationsmittel und inwiefern dieses regelmäßig getestet und aktualisiert wird.
Bitte beschreiben Sie ihr Vorgaben bzw. Prozess für die Sicherheit der Lieferkette und inwiefern dieses auf Basis einer Risikobewertung die Qualität und Resilienz der IKT-Produkte und -Dienste im Bereich der Cybersicherheit bei ihren direkte Lieferanten überprüft und auch vertraglich einfordert.
Bitte beschreiben Sie ihr Verzeichnis ihrer Anbieter und Diensteanbieter und inwiefern dieses alle IKT-Produkte, -Dienste und -Prozesse umfasst.
Bitte beschreiben Sie ihr Verfahren zur Sicherstellung geeigneter Sicherheitsmaßnahmen beim Erwerb von IKT-Diensten oder IKT-Produkten, inklusive definierter Sicherheitsanforderungen.
Bitte beschreiben Sie ihre Vorgaben und zugehörigen Prozess zur sicheren Softwareentwicklung, und inwiefern dieser alle Entwicklungsphasen umfasst, einschließlich Spezifikation, Konzeption, Entwicklung, Umsetzung und Tests.
Bitte beschreiben Sie ihr Konfigurationsmanagement, und inwiefern dieses Sicherheitskonfigurationen von Hardware, Software, Diensten und Netzen festlegt, dokumentiert, umsetzt und überwacht.
Bitte beschreiben Sie ihr Änderungsmanagement, und inwiefern dieses geplante und ungeplante Änderungen (Emergency Changes) an den Netz- und Informationssystemen vor ihrer Umsetzung auf ihre Risiken überprüft.
Bitte beschreiben Sie ihre Vorgaben und Verfahren für Prüfungen der Sicherheit, inwiefern dieses auf Basis einer Risikobewertung (gemäß 2.1) beruht und daraus ggf. Risikominderungsmaßnahmen angewendet werden.
Bitte beschreiben Sie ihr Sicherheits-Patchmanagement und inwiefern dieses die Anwendung von Sicherheits-Patches innerhalb einer angemessenen Frist sicherstellt.
Bitte beschreiben Sie ihre Maßnahmen für Netzwerksicherheit und inwiefern diese die Kommunikation innerhalb ihres Netzes sowie den Zugriff von außen auf das notwendige Minimum beschränken und dabei auch die Integrität und Vertraulichkeit auf Netzwerkebene sicherstellen.
Bitte beschreiben Sie wie sie eine Netzwerksegmentierung umgesetzt haben und inwiefern diese in geeigneter Weise Systeme unterschiedlicher Sicherheitsanforderungen voneinander trennt.
Bitte beschreiben Sie inwiefern sie Software zur Erkennung und Verhinderung von Schadsoftware verwenden.
Bitte beschreiben Sie inwiefern sie Software zur Erkennung und Verhinderung von nicht genehmigter Software verwenden.
Bitte beschreiben Sie ihre Verfahren zur Erkennung, Bewertung und Behandlung von Schwachstellen.
Bitte beschreiben Sie ihre Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit.
Bitte beschreiben Sie ihre Sensibilisierungsmaßnahmen und inwiefern diese sicherstellen, dass sich ihre Mitarbeiter, einschließlich der Mitglieder von Leitungsorganen, der Risiken der Cybersicherheit bewusst sind und grundlegende Verfahren der Cyberhygiene anwenden.
Bitte beschreiben Sie ob und inwiefern sie rollenspezifische Sicherheitsschulungen durchführen, welche alle für die jeweilige Rolle erforderlichen sicherheitsrelevante Fähigkeiten und Fachkenntnisse vermitteln.
Bitte beschreiben Sie ihre Konzepte und Verfahren in Bezug auf Kryptografie und inwiefern diese Art, Stärke und Qualität der kryptografischen Maßnahmen sowie des Schlüsselmanagements definieren.
Bitte beschreiben Sie wie Sie gewährleisten, dass ihre Mitarbeiter und gegebenenfalls ihre direkten Anbieter und Diensteanbieter ihre Verantwortlichkeiten gemäß ihrer Rollen im Bereich der Sicherheit verstehen und einhalten.
Bitte beschreiben Sie ob und wie Sie Backgroundchecks ihrer Mitarbeiter durchführen, wenn dies für ihre Rolle erforderlich ist.
Bitte beschreiben Sie ihre vertraglichen Festlegungen mit ihren Mitarbeitern betreffend Sicherheit und Vertraulichkeit und ob diese auch nach Beendigung des Beschäftigungsverhältnisses oder des Vertrags gültig bleiben.
Bitte beschreiben Sie ob und welche Verfahren sie für den Umgang mit Verstößen gegen die Konzepte für die Sicherheit von Netz- und Informationssystemen haben.
Bitte beschreiben Sie ihr Konzept für die logische und physische Kontrolle des Zugangs zu ihren Netz- und Informationssystemen für alle Personen und wie dieses eine angemessene Authentifizierung vorsieht.
Bitte beschreiben Sie ob und inwiefern sie ein dokumentiertes und protokolliertes Management von Zugangs- und Zugriffsrechten haben, welches Rechte nur gemäß von „Need-to-know“ und „Need-to-use“ vergibt und auch wieder entzieht.
Bitte beschreiben Sie ihr Konzept zum Management von privilegierten Konten und Systemverwaltungskonten haben, welches Systemverwaltungsrechte so weit wie möglich individuell festlegt und einschränkt und starke Authentifizierungsverfahren (zB. Multifaktor-Authentifizierung) vorsieht.
Bitte beschreiben Sie ob sie Systemverwaltungssysteme ausschließlich für die Zwecke der Systemverwaltung verwenden und wie sie den Zugang zu diesen durch Authentifizierung und Verschlüsselung schützen.
Bitte beschreiben Sie ob und inwiefern sie Identitäten über ihren gesamten Lebenszyklus hinweg verwalten und sicherstellen, dass jede Kennung immer mit einem eindeutigen Nutzer verbunden ist bzw. bei (unbedingt erforderlichen) gemeinsamen Kennungen eine Genehmigung und Nachvollziehbarkeit der Verwendung gewährleistet ist.
Bitte beschreiben Sie welche sichere Authentifizierungsverfahren sie verwenden und inwiefern diese Authentifizierungsverfahren der Kritikalität der zugegriffenen Assets angemessen sind.
Bitte beschreiben Sie ob und inwiefern sie Multifaktor-Authentifizierung verwenden, wenn es der Kritikalität der zugegriffenen Assets angemessen ist.
Bitte beschreiben Sie wie sie eine laufende Asset-Klassifizierung durchführen, welche für alle Assets auf Basis von Vertraulichkeits-, Integritäts-, Authentizitäts- und Verfügbarkeitsanforderungen den entsprechend ihrer Kritikalität und ihres Risikos erforderlichen Schutz angibt.
Bitte beschreiben Sie ihr Konzept für die ordnungsgemäße Behandlung von Assets (einschließlich Informationen) über ihren gesamten Lebenszyklus (einschließlich Erwerb, Verwendung, Speicherung, Transport und Entsorgung) hinweg, auf Basis der Klassifikation der Assets.
Bitte beschreiben Sie ihr Konzept für das Management von Wechseldatenträgern im Hinblick auf Sicherheit.
Bitte beschreiben Sie wie sie ein vollständiges, genaues, aktuelles und kohärentes Inventar ihrer Assets pflegen.
Bitte beschreiben Sie wie Sie die Abgabe, Rückgabe oder Löschung von Assets bei Beendigung von Beschäftigungsverhältnissen auf dokumentierte Weise sicherstellen.
Bitte beschreiben Sie ihr Konzept und ihre Maßnahmen zur Verhinderung der Unterbrechungen ihres Betriebs aufgrund des Ausfalls bzw. der Störung unterstützender Versorgungsleistungen wie zum Beispiel Strom und Telekommunikation und inwiefern sie diese regelmäßig testen.
Bitte beschreiben Sie ihr Konzept zum Schutz vor physischen Bedrohungen und Bedrohungen aus dem Umfeld und inwiefern sie dieses regelmäßig testen.
Bitte beschreiben Sie ob und inwiefern sie ihren Perimeter schützen und mit geeigneten Maßnahmen unbefugten physischen Zutritt zu, Beschädigungen von und Eingriffe in ihre Netz- und Informationssysteme verhindern und inwiefern sie diese Schutzmaßnahmen regelmäßig testen.