M 2.116 Geregelte Nutzung der Kommunikationsmöglichkeiten
Verantwortlich für Initiierung: IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Telearbeiter
Grundsätzlich verfügt ein Telearbeitsrechner über elektronische Kommunikationsmöglichkeiten. Im Sinne der IT-Sicherheit muss geregelt werden, auf welche Weise die vorhandenen Kommunikationsmöglichkeiten genutzt werden dürfen. Grundsätzlich sollte die private Nutzung der Kommunikationsmöglichkeiten untersagt werden.
Zu klären sind zumindest folgende Punkte:
-
Datenflusskontrolle
- Welche Dienste dürfen zur Datenübertragung genutzt werden?
- Welche Dienste dürfen explizit nicht genutzt werden?
- Welche Informationen dürfen an wen versendet werden?
- Welcher Schriftverkehr darf über E-Mail abgewickelt werden?
- Falls der Telearbeitsrechner ein Faxmodem besitzt oder wenn am Telearbeitsplatz ein Faxgerät vorhanden ist, so ist zu klären, welche Informationen per Fax an wen übermittelt werden dürfen.
- Der elektronische Versand welcher Informationen bedarf der vorherigen Zustimmung der Institution?
-
Informationsgewinnung
- Welche elektronischen Dienstleistungen (Datenbankabfragen, elektronische Recherchen) dürfen vom Telearbeitsrechner aus in Anspruch genommen werden? Beispielsweise können aus der Art der Abfragen unter Umständen Rückschlüsse auf Unternehmensstrategien gezogen werden.
- Welches Budget steht für elektronische Dienstleistungen zur Verfügung?
-
IT-Sicherheitsmaßnahmen
- Für welche Daten sollen welche Verschlüsselungsverfahren eingesetzt werden?
- Für welche Daten ist eine Löschung nach erfolgreicher Übertragung notwendig? Dies kann beispielsweise für personenbezogene Daten gelten.
- Von welchen Daten soll trotz der erfolgreichen Übertragung eine Kopie der Daten auf dem Telearbeitsrechner verbleiben?
- Wird vor Versand oder nach Erhalt von Daten ein Computer-Viren-Check der Daten durchgeführt?
- Für welche Datenübertragung eine Protokollierung erfolgen soll? Falls eine automatische Protokollierung nicht möglich sein sollte, ist festzulegen, ob und in welchem Umfang eine handschriftliche Protokollierung vorzusehen ist.
-
Internet-Nutzung
- Wird die Nutzung von Internet-Dienst generell verboten?
- Welche Art von Daten darf aus dem Internet geladen werden? Werden Daten von fremden Servern geladen, so besteht die Gefahr, dass Computer-Viren importiert werden.
- Welche Optionen dürfen im Internet-Browser aktiviert werden?
- Welche Sicherungsverfahren sollen im Internet-Browser aktiviert werden?
- Ist die Zustimmung der Institution erforderlich, wenn der Telearbeiter sich am Informationsaustausch mittels Newsgruppen beteiligen will? Ggf. ist eine anonyme Nutzung erforderlich.
-
Unterschriftenregelung
- Ist eine Unterschriftenregelung für die Kommunikation vorgesehen?
- Werden gesetzkonforme digitale Signaturen eingesetzt?
- Werden andere Authentisierungsverfahren für den Schriftverkehr genutzt?
Ergänzende Kontrollfragen:
- Ist der Telearbeiter über die Regelungen bzgl. der Nutzung der Kommunikationsmöglichkeiten informiert?
- Bestätigt der Telearbeiter die Belehrung über die Nutzung der Kommunikationsmöglichkeiten durch eine Unterschrift?