Richtlinien für EDV

Moin,

ich war mir nicht so sicher wo ich die Frage stellen soll, aber da hier wohl einige Admins mitlesen und in der Brettbeschreibung auch die Administration genannt wird, denke ich hier passt es.

Ich möchte eine Richtlinie für die EDV in der Firma erstellen und habe da auch einige Punkte im Auge. Da ich mir vorstelle das es wohl in den meisten grösseren (oder auch kleineren?) Betrieben Richtlinien für die User bezüglich der Benutzung gibt, wollte ich mal fragen wie es bei euch gehandhabt wird.
Folgendes ist geplant:

Verbot betriebsfremde Software zu installieren
Verbot fremde Datenträger (USB-Stick, CD/DVD) zu benutzen
Protokollierung von Fehlern/Fehlermeldungen durch User
Verbot der privaten Nutzung incl. e-mail und Internet
Verbot Dateien zu kopieren und ausser Haus zu bringen
Hinweis auf Protokollierung des Internet-/Mailverkehrs
Verbot der Manipulation des PC

Leider muss das Wort „Verbot“ hier oft auftauchen, da einige MA den PC nicht als Arbeitsgerät sondern als zur Verfügung gestelltes Spielzeug ansehen. Einer hat über ein mitgebrachtes Notebook bereits einen Virus „eingeschleust“.
Natürlich lässt sich das eine oder andere durch restriktive Einschränkung der Rechte regeln, ist aber in einigen Fällen aus bestimmten Gründen in der Praxis schwer anwendbar.
Bei einigen Dingen befindet sich der Admin ja in einer rechtlichen Grauzone (z.B. was die Protokollierung betrifft). Zum einen ist der Datenschutz berechtigterweise da, zum anderen die Interessen des Betriebes und die Sicherstellung der Lauffähigkeit des Systems.

Wie handhabt ihr das? Was für Richtlinien gibt es bei euch?
Rechtliche Aspekte?
Dankbar für Tipps, Links und Hinweise.

Gruss Jakob

Hallo Jakob,

ich bin mit meinem echten Namen hier und mit dem möchte ich nicht öffentlich antworten. Mail genehm?

Gruß, Rainer

Hi,

Wie handhabt ihr das? Was für Richtlinien gibt es bei euch?
Rechtliche Aspekte?

ganz, ganz wichtig:

  1. Profis ins Boot holen und mit denen zusammen eine Security Policy entwickeln. Die zu bedenkenden Themen sind so zahlreich, das können wir hier kaum abhandeln. Außerdem kommen die Details auf eure individuellen Anforderungen an.

  2. Am Ende unbedingt von eurem Hausjuristen abnehmen lassen.

Wenn Du konkretere Fragen hast, können wir die sicher hier diskutieren.

Gruß,

Malte

Hallo,

Verbot betriebsfremde Software zu installieren
Verbot fremde Datenträger (USB-Stick, CD/DVD) zu benutzen
Protokollierung von Fehlern/Fehlermeldungen durch User
Verbot der privaten Nutzung incl. e-mail und Internet
Verbot Dateien zu kopieren und ausser Haus zu bringen
Hinweis auf Protokollierung des Internet-/Mailverkehrs
Verbot der Manipulation des PC

hier mal ein Auszug aus unseren Vorschriften als Beispiel:

Es dürfen nur die von der IT-Abteilung vorher freigegebenen Verfahren und Programme verwendet werden.

Die Installation der Softwareprodukte erfolgt durch die IT-Abteilung oder durch eine autorisierte Softwarefirma nach Abstimmung mit der IT-Abteilung.

Betriebssysteme, Standard- und sonstige Software dürfen aus Gründen des Urheberschutzes auch innerhalb der Firma nicht weitergegeben, kopiert, auf andere als für den Ersteinsatz bestimmte PCs installiert oder geändert werden.

Die dem Benutzer zur Verfügung gestellte PC-Technik und Software dürfen nur für die in diesem Zusammenhang festgelegten Aufgaben am dienstlich bestimmten Ort eingesetzt werden.

Plant der Anwender eine weitergehende Nutzung des vorhandenen Systems, ist hierzu die Zustimmung durch die IT-Abteilung
einzuholen.

Die Nutzung der PC-Technik für private Zwecke ist nicht zulässig. Für genehmigte Heimarbeitsplätze bedarf es einer gesonderten vertraglichen Regelung.

Die Benutzung / Installation privater PC-Technik und Programme sind untersagt.

Dienstliche Datenträger und Dateien dürfen nicht auf privaten Personalcomputern oder mit privater Software erstellt oder weiterverarbeitet werden.

Eine private Erhebung, Verarbeitung und Nutzung dienstlicher Daten ist unzulässig.

Speziell zum Internet:

Die Nutzung des Internet (einschließlich des Verfassens, Versendens und Empfangens von E-Mail) ist nur zu dienstlichen Zwecken gestattet.
a. Nutzung von Web-Inhalten
Das World Wide Web kann zur Informations-Recherche genutzt werden.
b. Download von Programmen und Dokumenten
Das Downloaden und das Installieren von ablauffähigen Programmen und Modulen aus dem Internet ist aus Sicherheitsgründen verboten. Falls solche Software benötigt und nur auf diesem Wege beschafft werden kann, hat dies in Absprache mit der IT-Abteilung und i.d.R. durch diese zu erfolgen.

Jeglicher Datenverkehr wird automatisch registriert und kann bei Bedarf innerhalb von 4 Wochen protokolliert nachgewiesen werden. Damit ist jede Nutzung des Internets und anderer Kommunikationswege nachweisbar.

Beatrix

Moin Beatrix,

das ist doch schon mal ein Ansatz. Vielen Dank.

Gruss Jakob

Moin Malte,

  1. Profis ins Boot holen und mit denen zusammen eine Security
    Policy entwickeln. Die zu bedenkenden Themen sind so
    zahlreich, das können wir hier kaum abhandeln. Außerdem kommen
    die Details auf eure individuellen Anforderungen an.

Entwickelt liegt es quasi schon in der Schublade. Bevor wir jedoch damit auf die Mitarbeiter losgehen wollte ich noch ein paar Erfahrungen und Tipps anderer sammeln.

  1. Am Ende unbedingt von eurem Hausjuristen abnehmen lassen.

Klar, das Ganze wird vorher juristisch abgeklopft.
Zum einen wollen wir die MA ja nicht gängeln, zum anderen soll es ja wasserdicht sein.

Wenn Du konkretere Fragen hast, können wir die sicher hier
diskutieren.

Danke, ich werde jetzt noch ein wenig sammeln und die Entwürfe dahingehend prüfen.

Gruss Jakob

Moin Rainer,

ich bin mit meinem echten Namen hier und mit dem möchte ich
nicht öffentlich antworten. Mail genehm?

Ja gerne. Bin für alle Tipps dankbar.

Gruss Jakob