Bundesamt für Sicherheit in der Informationstechnik

M 2.117 Erstellung eines Sicherheitskonzeptes für Telearbeit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation, Vorgesetzte

Damit Telearbeit in einem sicheren Rahmen erfolgen kann, müssen verschiedene Rahmenbedingungen geklärt werden. Es sollte ein Sicherheitskonzept für Telearbeit erstellt werden, in dem die Sicherheitsziele, der Schutzbedarf der bei der Telearbeit zu bearbeitenden Informationen sowie die Risiken und Sicherheitsmaßnahmen aufgezeigt werden.

Bei Telearbeit werden Informationen außerhalb der geschützten Betriebsumgebung verarbeitet. Eine Schutzbedarfsfeststellung der betroffenen Informationen, Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume (vor allem der Telearbeitsplätze) bezüglich Vertraulichkeit, Integrität und Verfügbarkeit ist daher im Vorfeld durchzuführen. Aus dem Schutzbedarf der zu bearbeitenden Daten am Telearbeitsplatz leiten sich die Sicherheitsziele und damit die sicherheitstechnischen Anforderungen an die Telearbeiter, die Telearbeitsrechner und die Telearbeitsplätze ab.

Neben einem Überblick über die Gefährdungslage und den organisatorischen, infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein:

  • Umgang mit Daten und schützenswerten Betriebsmitteln wie Dokumenten und Speichermedien, insbesondere Regelungen zum Anfertigen von Kopien und zum Löschen bzw. Vernichten von Datenträgern
  • Absicherung der Kommunikation (z. B. durch Verschlüsselung, elektronische Signatur) zwischen Institution und Telearbeitsplatz, um vertrauliche Daten zu schützen
  • Authentisierungsmechanismen
  • Regelungen für weitere Netzanbindungen
  • Regelungen für den Datenaustausch
  • Datensicherung

Zur Ausgestaltung der Telearbeit sind zusätzlich diverse Gesetze und Vorschriften zu beachten (siehe M 2.113 Regelungen für Telearbeit ).

Die Anforderungen, Ziele und die zu ergreifenden Maßnahmen zur Sicherheit bei Telearbeit sind zu dokumentieren. Das Sicherheitskonzept zur Telearbeit ist mit dem übergreifenden Sicherheitskonzept der Institution abzustimmen und zu harmonisieren. Außerdem muss es regelmäßig aktualisiert werden und an Änderungen in der Organisation oder der Technik angepasst werden.

Die von den Telearbeitern umzusetzenden Sicherheitsmaßnahmen sind in einer Sicherheitsrichtlinie zur Telearbeit zielgruppengerecht zusammenzufassen.

Prüffragen:

  • Liegt ein Sicherheitskonzept zur Telearbeit vor?

  • Ist das Sicherheitskonzept zur Telearbeit aktuell?

  • Sind im Sicherheitskonzept zur Telearbeit alle Sicherheitsanforderungen und -maßnahmen ausreichend detailliert beschrieben?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK