M 2.154 Erstellung eines Computer-Virenschutzkonzepts
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um für eine gesamte Organisation einen effektiven Computer-Virenschutz zu erreichen, sind abgestimmte und angemessene Schutzmaßnahmen auszuwählen und umzusetzen. Dies setzt eine konzeptionelle Vorgehensweise voraus, um sämtliche betroffenen IT-Systeme mit geeigneten Maßnahmen zu versehen und durch Aktualisierung den notwendigen Schutz aufrechtzuhalten.
Nachfolgend wird das Inhaltsverzeichnis eines Computer-Virenschutzkonzeptes aufgezeigt.
Inhaltsverzeichnis Computer-Virenschutzkonzept
Teil A: Sensibilisierung
- Abhängigkeit der Institution vom IT-Einsatz
- Beschreibung des Gefährdungspotentials
- Computer-Viren
- Makro-Viren
- Trojanische Pferde
- Hoax
- Schadensszenarien
- Potentiell betroffene IT-Systeme
Teil B: Erforderliche Schutzmaßnahmen
- Computer-Virenschutz-Strategie
- Nicht-vernetzte IT-Systeme
- Vernetzte Endgeräte
- Server
- Aktualisierung der Computer-Viren-Suchprogramme
- Nicht-vernetzte IT-Systeme
- Vernetzte Endgeräte
- Server
Teil C: Regelungen
- Regelungen zum Schutz vor Computer-Viren
- Nutzungsverbot nicht freigegebener Software
- Schulung der IT-Benutzer
- Umstellung der Boot-Reihenfolge
- Anlegen einer Notfalldiskette
- Verhaltensregeln bei Auftreten eines Computer-Virus
- Maßnahmen bei nicht-resident virenkontrollierten IT-Systemen
- Regelmäßiger Einsatz eines Computer-Viren-Suchprogramms
- Virenkontrolle bei Datenträgeraustausch und Datenübertragung
- Prüfung eingehender Dateien auf Makro-Viren
- Regelung der Verantwortlichkeiten
- Ansprechpartner für Computer-Viren
- Verantwortlichkeit von Administratoren
- Verantwortlichkeit des einzelnen IT-Benutzers
- Verantwortlichkeit des IT-Sicherheitsmanagements
Teil D: Hilfsmittel
- Verhaltensregeln bei Auftreten eines Computer-Virus
- Meldewege bei Auftreten eines Computer-Virus
- Benutzerhandbuch des Computer-Viren-Suchprogramms
Die nachfolgenden Maßnahmen erläutern, wie einige wichtige Teile dieses Konzepts erstellt werden können.
Ergänzende Kontrollfragen:
- Ist das Computer-Virenschutzkonzept vom Management in Kraft gesetzt worden?
- Ist das Computer-Virenschutzkonzept allen Betroffenen bekannt?