Sonstiges > Offtopic

Dokumentationen gem. BSI

<< < (2/3) > >>

Marinero Atlántico:
Ist vielleicht eine v.a. hierzulande verbreitete Psychose, dass nicht wenige mittelmässige Einfallspinsel, die sich endlich ein *Amt* erschlichen haben, dieses dazu ausnützen, um damit ihre nicht sehr realistische und undifferenzierte Weltsicht durchzudrücken.
Dies sollte einen aber nicht von der eigentlichen Arbeit abhalten.

pd:
Eine rechtsgrundlage ist der Grundschutz vom BSI sicher nicht, aber ein deFacto-Standard. Wie schon beschrieben standardisiert er diverse Dinge und schlägt (idR) praxisnahe Massnahmen vor.

Wenn ihr mit dem Grundschutz an sich angefangen habt, würde ich es aber konsequent fortsetzen, sonst kann man sichs eigentlich schenken.

Evtl. gibt es bei euch noch andere Prüfgremien und Anweisungen (OPDV)


Gruß, Patrick

grisu_stern:
Danke schon mal für die Antworten.

Ich denke, ich muß noch mal konkretere Infos geben.

Ich dokumentiere schon Benutzer- und Entwicklungs-Infos.

Meine Frage zielt eher darauf ab, was darüberhinaus wirklich sein muß, da die Empfehlungen des BSI sich nicht nur auf Notes-DB beziehen.

Zum Thema Revision:
Unsere Interne Revision ist mit dem was ich dokmentiere zufrieden. Unser Verband (RWGV, ja Genossen Patrick  ;)...)  legt das ganze sehr eng aus. Daher meine Frage nach der Rechtsverbindlichkeit. Denn nicht alles was die meinen, macht wirklich Sinn und ist rechtlich notwendig.

Grüße aus Soest
Tanja

pd:
Hab ich mir doch gedacht ;-)


Dann muss ich mal andersrum fragen ;-)

Fragestellung ist schwierig, wie eh das ganze Thema IT-Sicherheit. Wem genau soll die Doku genügen? Interne Revision ist ja glücklich, Verbandsrevision legt es eng aus, wie du sagst.
Ich habe bei unserem Verband angefragt, was die sich genau vorstellen. Ergebnis war, dass im Prinzip keiner so richtig weis, was man überhaupt will. Verwiesen wird man immer auf das, was bei uns OPDV heißt, worin geregelt ist was ne Anwendung ist und wie eine entsprechende Freigabe dafür zu erfolgen hat (mal grob zusammengefasst). Eventuell gibt es sowas bei euch auch.

Soweit mir das GSHB geläufig ist findet sich darin nichts, das übermäßig in die Tiefe für eine LoNo DB geht, hier würde ich nicht weitersuchen (da sehe ich wie du), zumal es ja grundsätzlich auch keine rechtlichsverbindliche Relevanz hat. Wirklich relevant ist wohl erstmal was dein Verband will, und das ist mit Sicherheit, wie du sagst "nicht alles sinnhaft und rechtlich notwendig".


Vielleicht weis Armin (cococo69) noch was, der ist ein badischer blauer Notesentwickler, müsste also auch schon mit einigen Prüfungen konfrontiert worden sein. Und die Verbände werden sich ja irgendwie austauschen, d.h. ähnliche Anforderungen haben.


Jetzt bin ich wieder ein bisschen drumrumgeschippert...

Was MUSS darüberhinaus noch sein? Man könnte sich mal schlau machen, was das BAFin noch so verlangt. Ich gehe davon aus, dass sich die Frage nur in Richtung prüfende Stellen richtet, was aus Notessicht für die Praxis wirklich sein muss, weist du ja selber.


Gruß, Patrick (der hofft dich verstanden zu haben...)

Marinero Atlántico:
Evtl. ein bischen offtopic.
Diese hohen und offenbar auch noch unsicheren Hürden führen letztlich auch dazu, dass die einzelne Spaßkasse ihr Zeug von dem zentrallen Rechenzentrum bezieht.

Schliesslich erzeugt dort die unerreichte Elite einen großartigen code von erlesener Qualität unter hervorragenden Arbeitsbedingungen und gemeinsam mit innovativen und kompetenten Projektmanagern, die niemals schlafen.
Diese Helden der neuen Zeit kämpfen derart besessen um die Erfüllung der eigentlich kaum zu erreichenden Qualitätsansprüche, dass an Schlaf nicht zu denken ist.
Unterstützt wird das Ganze von internen Administratoren, die einfach jeden Trick kennen und die ZUSAMMENARBEIT, TRANSPARENZ und VERTRAUEN in ganz großen Buchstaben schreiben.
Sowieso Zusammenarbeit. Gerade gestern habe ich von einem Wirtschaftsinformatik-Dozenten von einer Diplom-Arbeit über eins eurer Rechenzentren gehört, in der besonders die gute Zusammenarbeit zwischen den Abteilungen lobend erwähnt wurde. Das deckt sich vollkommen mit meinen eigenen Eindrücken, denen meine Augen gewahr werden durften (ein Privileg). Kleinliche, persönliche Karriereziele kennen die gar nicht. Trifft Mitarbeiter von Abteilung A MItarbeiter von Abteilung B grüssen die sich mit einem fröhlichen "Was kann ich für dich tun?".
Diese Leute haben alle mindestens 4 abgeschlossene Studien von Eliteuniversiäten aus 3 Ländern. Sonst werden die gar nicht genommen.

Gruß Axel ;D

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete