Schutzbedarfsanalyse der IT-Infrastruktur und der Applikationen
- Schutzbedarfsanalyse der IT-Infrastruktur und der Applikationen
-
Die Grundlage für die Analyse zum notwendigen Schutz der Infrastruktur und der Applikationen stellt die Vorlage der Datenschutzbeauftragten mit dem Excel zur Schutzbedarfsanalyse dar. Das Ziel der Schutzbedarfsanalyse ist es, die in Bezug auf das Risiko angemessenen Sicherheitsmassnahmen festlegen zu können. Ausgangspunkt sind daher die zu bearbeitenden Informationen und ihr Schutzbedarf. Daraus wird der Bedarf an Massnahmen in den Bereichen Technik, Organisation, Bau und Pädagogik festgelegt (Übersicht zu den TOBP-Massnahmen und ihr Zusammenhang).
Vorarbeiten zur Schutzbedarfsfeststellung
1. Als Grundlage für die Beurteilung der Risiken stellt die Bestandesaufnahme der vorhandenen Applikationen und Infrastruktur dar. Die Applikationen sind in den meisten Schulen im MDM erfasst. Für die Infrastruktur verfügen die Schule oder der externe Support über eine IT-Inventarliste. In einem ersten Schritt sind diese beiden Listen auf ihre Vollständigkeit und Aktualität zu prüfen.
2. Die Informationen aus dem IT-Inventar und der Applikationsliste wird nun die Schutzbedarfsanalyse durchgeführt. Dazu kann entweder die Vorlage der Datenschutzbeauftragten verwendet werden oder das Dokument aus dem Pilot Informationssicherheit mit erweiterten Hilfestellungen.
3. Für die Vorlage mit der erweiterten Hilfestellung sind die Prozesse der Schule, wie sie in der Vorlage aufgeführt sind zu überprüfen und gegebenenfalls zu ergänzen. Bei jedem Prozess sind die dazugehörigen Prozessverantwortlichen sowie die dazugehörige Applikation festzuhalten bzw. aus dem Applikationsinventar zu übertragen.
Schutzbedarfsfeststellung - einzelne Schritte mit der erweiterten Vorlage
Nachdem die Vorarbeiten geleistet sind, kann mit der eigenlichen Schutzbedarfsfeststellung begonnen werden. Diese ist sowohl für die Anwendungen als auch die Infrastruktur zu erstellen:
1. In der erweiterten Vorlage ist im ersten Reiter die Anleitung zu finden, mit allen Hintergrundinformationen zu den einzelnen zu beurteilenden Kategorien. Hier finden sich ebenfalls vertiefende Informationen zu Vertraulichkeit, Personendaten und besonderen Personendaten, Integrität und Vertraulichkeit.
2. Im zweiten Reiter werden die Anwendungen beurteilt. Die Ausgangslage sind die Prozesse an der Schule. In der Vorlage sind die wichtigsten Prozesse bereits aufgeführt. Für jeden Prozess werden die Verantwortlichkeiten geklärt, die genutzten Anwendungen, die damit verbundenen Daten und ihre Verfügbarkeit und die Anforderungen an die Integrität sowie alles was zur Vereinbarung mit dem Lieferanten gehört. Pro Prozess kann es mehrere Anwendungen und damit mehrere Zeilen geben.
3. Die Erfassung der Infrastruktur erfolgt im dritten Reiter. Die Gruppierung in der ersten Spalte soll helfen, dass die gesamte Infrastruktur erfasst wird.
4. Die Übersicht der Schutzstufen und eine Hilfe, wie diese zugeteilt wird, finden sich im vierten Reiter.
5. Eine Vorlage für die Übersicht der Lieferanten findet sich im 5. Reiter.
6. Die Reiter sechs und sieben sind Beispiele.
Die Schutzbedarfsanalyse ist jährlich oder bei grösseren Veränderungen zu überprüfen. Eine grössere Veränderung kann die Einführung einer neuer Applikation sein. Dabei gilt es zu beachten, dass vor einer Einführung einer Applkation eine Datenschutzfolgeabschätzung durchgeführt wird. Wie das Vorgehen ist, wird unter Datenschutz beschrieben.