WinFuture-Forum.de: DSGVO und passwortaufbewahrung - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

DSGVO und passwortaufbewahrung


#1 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 182
  • Beigetreten: 16. November 05
  • Reputation: 1

geschrieben 20. März 2018 - 00:28

hallo zusammen,

da ende mai immer naeher rueckt wollte ich mich mal erkundigen wie ihr im betrieblichen bereich auf die neue DSGVO vorbereitet seid.

wie handhabt ihr office dokumente (word, excel usw.) mit kundenspezifischen daten? physikalisch getrennt vom eigentlichen internen datenbestand? wie klassifiziert ihr die daten und regelt die zugriffsrechte/metadaten? sharepoint?

wie geht ihr mit privaten mitarbeiter-geraeten um die via vpn ins interne netz verbunden sind?


abseits dessen.. habt ihr sinnvolle tipps zur aufbewahrung von passwoertern? einerseits im admin bereich (div. system-zugangskennwoerter), andererseits mitarbeiter-konten bei externen diensten (z.b. google, microsoft, amazon usw.). keepass und co (wie werden die masterpasswoerter aufbewahrt?) oder etwas ganz anderes?
0

Anzeige



#2 Mitglied ist offline   guardian@geißenweide 

  • Gruppe: aktive Mitglieder
  • Beiträge: 165
  • Beigetreten: 20. Dezember 05
  • Reputation: 9

geschrieben 20. März 2018 - 12:49

Das ist ein riesiger Themenkomplex (mit der EU-DSGVO hat sich die Beraterindustrie ihre Lizenz zum Gelddrucken geschaffen).

Zur Vorbereitung auf den Starttermin der DSGVO zum 25.5.2018 wurde bei uns ein CFT (Cross Functional Team) aus DSB, Recht, IT, Orga und weiteren Fachabteilungen vor über einem Jahr gebildet. Dort werden Punkte wie Überarbeitung der Datenschutzerklärung, VVT, DSFA, GAP-Analyse, Überarbeitung Löschkonzepte, Betroffenenrechte, ADVs etc. abgearbeitet.

Die Klassifizierung von Daten erfolgt bei uns auf der Grundlage von ISO 27001 (Schutz von Unternehmenswerten), DIN-Norm 66398 "Löschkonzept" und natürlich den gesetzlichen Anforderungen (z.B. Aufbewahrungsfristen HGB § 257).

BYOD befindet sich bei uns noch in der Umsetzung - bisher wurden mobile Endgeräte immer durch das Unternehmen bereit gestellt (VPN mit RSA SecurID Token).

In Sachen Passwörtern gelten bei uns die Vorgaben des BSI. Ein Berechtigungskonzept mit entsprechenden Rollen ist bei uns selbstverständlich (Einhaltung des Least-Privilege-Prinzips, arbeiten unter anonymen Administrator- / Root-Accounts nur in Ausnahmefällen und aktiviertem Sessionlogging).

Sowas wie Keepass wird im Kleinen durchaus eingesetzt bei uns. "Masterpassworte" werden so oder so im guten alten Tresor verschlossen und 2FA mit Keycards / PIN gibt es auch.
"Es gibt keine Zauberei – nur Illusion. Die Dinge verändern sich nur, wenn wir sie verändern. Aber man muss es geschickt tun – im Verborgenen. Dann wirkt es wie Zauberei."
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0