37414
12.04.2021
4755
23
0
Wie sieht eine korrekte IT-Organisation aus?
Hallo,
da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss.
Zur Zeit sind Wirtschaftsprüfer bei uns (bzw. virtuell) und stellen mir nun viele Fragen.
Es geht um:
- IT-Strategie
- Investitionen im IT-Umfeld
- Budgetplanung
- IT-Projekte
- Notfallplan
- Backup-Konzept
- formalisiertes Berechtigungskonzept
- Berechtigungsvergabe
- Change-Management-Konzept
- Kennwortrichtlinie
etc.
Da wir nur eine kleine Stiftung sind mit weniger als 20 MA, haben wir all das nicht... oder nicht so, wie es erforderlich wäre.
Deshalb stelle ich mir gerade die Frage, was ist denn ein MUSS und wo kann ich nachlesen, was denn wirklich in der IT nötig ist?
Sicher könnt Ihr mir weiterhelfen...
Danke und schöne Grüße,
imebro
da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss.
Zur Zeit sind Wirtschaftsprüfer bei uns (bzw. virtuell) und stellen mir nun viele Fragen.
Es geht um:
- IT-Strategie
- Investitionen im IT-Umfeld
- Budgetplanung
- IT-Projekte
- Notfallplan
- Backup-Konzept
- formalisiertes Berechtigungskonzept
- Berechtigungsvergabe
- Change-Management-Konzept
- Kennwortrichtlinie
etc.
Da wir nur eine kleine Stiftung sind mit weniger als 20 MA, haben wir all das nicht... oder nicht so, wie es erforderlich wäre.
Deshalb stelle ich mir gerade die Frage, was ist denn ein MUSS und wo kann ich nachlesen, was denn wirklich in der IT nötig ist?
Sicher könnt Ihr mir weiterhelfen...
Danke und schöne Grüße,
imebro
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665650
Url: https://administrator.de/forum/wie-sieht-eine-korrekte-it-organisation-aus-665650.html
Ausgedruckt am: 04.04.2025 um 12:04 Uhr
23 Kommentare
Neuester Kommentar
Moin,
Ich würde mich als erstes mit den Themen Backup-Strategie und Notfall-Planung beschäftigen.
Beim Notfallplan in jedem Fall die übrigen verantwortlichen ins Boot holen. Die sollten wissen, was wir dringend benötigt wird, wenn mal alles nicht bereit steht.
Denn die brauchst du, wenn die Hütte brennt.
Im zweiten Schritt das Thema IT-Sicherheit angehen, welches die Themen Berechtigungen, Kennwortrichtlinien, etc. beinhaltet.
Den ganzen kaufmännischen Kram (Budget-/ Investitionsplan) hängt ansonsten von eurer Stiftungsorganisation ab:
Wenn du alles "on Demand" kaufen kannst - optimal.
Ansonsten auf Basis der aktuellen Ist-Situation und dem avisierten Backup-/ Sicherheitsziel einen Plan für erforderliche Investitionen entwickeln und mit der Heeresleitung abstimmen.
Am Ende ist es, aus meiner Sicht, wichtig, erstmal irgendeinen Plan zu haben - egal wie detailliert wer ist. Wenn externe dann Verbesserungen sehen, werden die nachgezogen. Das ist aber OK, schließlich ist es deren Aufgabe, "Schwachstellen" zu finden und um Nachbesserung zu "bitten".
Frage am Rande: Seid ihr nach eine Norm (9001) Zertifiziert?
Ich würde mich als erstes mit den Themen Backup-Strategie und Notfall-Planung beschäftigen.
Beim Notfallplan in jedem Fall die übrigen verantwortlichen ins Boot holen. Die sollten wissen, was wir dringend benötigt wird, wenn mal alles nicht bereit steht.
Denn die brauchst du, wenn die Hütte brennt.
Im zweiten Schritt das Thema IT-Sicherheit angehen, welches die Themen Berechtigungen, Kennwortrichtlinien, etc. beinhaltet.
Den ganzen kaufmännischen Kram (Budget-/ Investitionsplan) hängt ansonsten von eurer Stiftungsorganisation ab:
Wenn du alles "on Demand" kaufen kannst - optimal.
Ansonsten auf Basis der aktuellen Ist-Situation und dem avisierten Backup-/ Sicherheitsziel einen Plan für erforderliche Investitionen entwickeln und mit der Heeresleitung abstimmen.
Am Ende ist es, aus meiner Sicht, wichtig, erstmal irgendeinen Plan zu haben - egal wie detailliert wer ist. Wenn externe dann Verbesserungen sehen, werden die nachgezogen. Das ist aber OK, schließlich ist es deren Aufgabe, "Schwachstellen" zu finden und um Nachbesserung zu "bitten".
Frage am Rande: Seid ihr nach eine Norm (9001) Zertifiziert?
Ich bin jetzt kein Wirtschaftsexperte aber seid ihr in der Größenordnung und gerade als Stiftung überhaupt prüfungspflichtig?
Siehe hier: https://www.wirtschaftsforum.de/news/wirtschaftspruefung-und-die-gmbh-ke ...
Siehe hier: https://www.wirtschaftsforum.de/news/wirtschaftspruefung-und-die-gmbh-ke ...
Zitat von @Ex0r2k16:
Ich bin jetzt kein Wirtschaftsexperte aber seid ihr in der Größenordnung und gerade als Stiftung überhaupt prüfungspflichtig?
Siehe hier: https://www.wirtschaftsforum.de/news/wirtschaftspruefung-und-die-gmbh-ke ...
Auch Vereine müssen sich ab einer gewissen Größe einer Wirtschaftsprüfung unterziehen...Ich bin jetzt kein Wirtschaftsexperte aber seid ihr in der Größenordnung und gerade als Stiftung überhaupt prüfungspflichtig?
Siehe hier: https://www.wirtschaftsforum.de/news/wirtschaftspruefung-und-die-gmbh-ke ...
Kenne das von der Hilfsorganisation, in der ich als Helfer mitwirke.
Allerdings haben wir neben den ehrenamtlichen auch in Teilen Hauptamtliche beschäftigt - es ist also kein kleiner Turnverein...
Hallo,
Pauschal ist das schwerlich zu beantworten, da hier immer viele Faktoren aufeinander treffen.
IT-Strategie, Investitionen im IT-Umfeld, Budgetplanung, IT-Projekte - kümmert die wenigsten, da wird nur Investiert wenns sein muss
Notfallplan und Backupkonzept sollte auch ein muss sein aber leider sieht auch hier die Realität anders aus, der Rest klappt meist eher zufällig wie gewollt da es grundfunktionen in den genutzen OS sind.
Wie gesagt, die korrekte bzw. perfekte IT-Organisation die überall anwendbar ist gibts nicht, das sollte immer auf den Betrieb entsprechend zugeschnitten werden, am besten wendet Ihr euch mal hierfür an einen Ortsansässigen Dienstleister oder Stellt hierfür jemand ein.
Beste Grüße
Pauschal ist das schwerlich zu beantworten, da hier immer viele Faktoren aufeinander treffen.
IT-Strategie, Investitionen im IT-Umfeld, Budgetplanung, IT-Projekte - kümmert die wenigsten, da wird nur Investiert wenns sein muss
Notfallplan und Backupkonzept sollte auch ein muss sein aber leider sieht auch hier die Realität anders aus, der Rest klappt meist eher zufällig wie gewollt da es grundfunktionen in den genutzen OS sind.
Wie gesagt, die korrekte bzw. perfekte IT-Organisation die überall anwendbar ist gibts nicht, das sollte immer auf den Betrieb entsprechend zugeschnitten werden, am besten wendet Ihr euch mal hierfür an einen Ortsansässigen Dienstleister oder Stellt hierfür jemand ein.
Beste Grüße
Servas
Echt "notwendig" ist ...... gar nichts 😊 Alles geht auch irgendwie anders. Die Frage ist eher: Was woltt IHR mit dem Werkzeug / Arbeitsmittel IT anfangen?
Um mit Deinen obigen Punkten anzufangen:
- Wenn ihr prinzipiell die IT einsetzen wollt ..... Backup und Notfallpläne wären sicher eines der ersten Dinge ....
- IT-Projekte? Könnt's nur ihr wissen ..... somit ergibt sich auch das Budget, ich würde es auf kurz- mittel- und langfristig teilen.
Alles kann, nichts muß sein.
Echt "notwendig" ist ...... gar nichts 😊 Alles geht auch irgendwie anders. Die Frage ist eher: Was woltt IHR mit dem Werkzeug / Arbeitsmittel IT anfangen?
Um mit Deinen obigen Punkten anzufangen:
- Wenn ihr prinzipiell die IT einsetzen wollt ..... Backup und Notfallpläne wären sicher eines der ersten Dinge ....
- IT-Projekte? Könnt's nur ihr wissen ..... somit ergibt sich auch das Budget, ich würde es auf kurz- mittel- und langfristig teilen.
Alles kann, nichts muß sein.
moin...
Es geht um:
- IT-Strategie
wie ist deine Strategie?
Da wir nur eine kleine Stiftung sind mit weniger als 20 MA, haben wir all das nicht... oder nicht so, wie es erforderlich wäre.
ja.. dann mach mal... bist ja lang genug admin 
Deshalb stelle ich mir gerade die Frage, was ist denn ein MUSS und wo kann ich nachlesen, was denn wirklich in der IT nötig ist?
Ob alles ein Muss ist, wird dir dein Externer Datenschutzfuzzi sagen können... und müssen!
ich sag mal ja!
Sicher könnt Ihr mir weiterhelfen...
klar... besorgt euch endlich mal nen admin....
Danke und schöne Grüße,
Gerne...
Zitat von @37414:
Hallo,
da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss.
sagtest du nicht, das es einen neuen IT- Admin (systemhaus) geben wird!Hallo,
da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss.
Zur Zeit sind Wirtschaftsprüfer bei uns (bzw. virtuell) und stellen mir nun viele Fragen.
OHA...Es geht um:
- IT-Strategie
- Investitionen im IT-Umfeld
was wird noch gebraucht, was kosten Software und wartungen im Jahr?- Budgetplanung
was wür zukünftig gebraucht?- IT-Projekte
was wollt ihr zukünftig machen? (außer an einem admin sparen)?- Notfallplan
wie den hast du nicht?- Backup-Konzept
wie machst du deine Datensicherung?- formalisiertes Berechtigungskonzept
habt ihr nicht... oder?- Berechtigungsvergabe
und... wer darf was?- Change-Management-Konzept
und?- Kennwortrichtlinie
ist blödsinn...etc.
hört sich eher nach Datenschutz an....Da wir nur eine kleine Stiftung sind mit weniger als 20 MA, haben wir all das nicht... oder nicht so, wie es erforderlich wäre.
Deshalb stelle ich mir gerade die Frage, was ist denn ein MUSS und wo kann ich nachlesen, was denn wirklich in der IT nötig ist?
ich sag mal ja!
Sicher könnt Ihr mir weiterhelfen...
Danke und schöne Grüße,
imebro
Bitte mit so Aussagen wie
und
sehr vorsichtig sein.
Es gibt durchaus rechtliche Grundlagen, die es erforderlich machen Geschäftsprozesse auf bestimmte Weisen zu dokumentieren und sich mal für 2 Mark Gedanken zu machen. Allein das Thema Datenschutz / DSGVO sieht hier schon einiges vor.
VG
und
Alles kann, nichts muß sein.
sehr vorsichtig sein.
Es gibt durchaus rechtliche Grundlagen, die es erforderlich machen Geschäftsprozesse auf bestimmte Weisen zu dokumentieren und sich mal für 2 Mark Gedanken zu machen. Allein das Thema Datenschutz / DSGVO sieht hier schon einiges vor.
VG
Moin,
einige deiner Fragen beantwortet der BSI Grundschutzkatalog. Schau dich mal auf deren Website um...
lg,
Slainte
einige deiner Fragen beantwortet der BSI Grundschutzkatalog. Schau dich mal auf deren Website um...
lg,
Slainte
Ich würde (und habe auch schon) das IT-Grundschutz-Kompendium/BSI querlesen. Damit hast Du – abgesehen vom Bullshit-Bingo - zumindest ne Struktur und erkennst besser die Problemfelder.
Das ist in einigen Dingen natürlich etwas "überkandidelt" aber es zeigt Dir, auf welche Punkte Du Dein Augenmerk legen solltest und Du entscheidest dann, welche Du "hinten anstellst" und hast Dir dann aber auch Gedanken gemacht warum.
Nachdem Wirtschaftsprüfer auch keine Praktiker sind, könnte ich mir vorstellen. dass Du die mit dem Bezug auf die BSI-Struktur gut abholen könntest
VG
Das ist in einigen Dingen natürlich etwas "überkandidelt" aber es zeigt Dir, auf welche Punkte Du Dein Augenmerk legen solltest und Du entscheidest dann, welche Du "hinten anstellst" und hast Dir dann aber auch Gedanken gemacht warum.
Nachdem Wirtschaftsprüfer auch keine Praktiker sind, könnte ich mir vorstellen. dass Du die mit dem Bezug auf die BSI-Struktur gut abholen könntest
VG
Zitat von @Visucius:
[...]
Nachdem Wirtschaftsprüfer auch keine Praktiker sind, könnte ich mir vorstellen. dass Du die mit dem Bezug auf die BSI-Struktur gut abholen könntest
VG
[...]
Nachdem Wirtschaftsprüfer auch keine Praktiker sind, könnte ich mir vorstellen. dass Du die mit dem Bezug auf die BSI-Struktur gut abholen könntest
VG
Funfact; Die wollen von mir immer Screenshots. :D
Screenshots, Excellisten, Datenblätter. Hauptsache unterlagen die beweisen das Sie nachgefragt haben und ihre Arbeit erledigt.
Ich hab Mittwoch wieder meinen Termin. Ist ne Tasse Kaffee und ne verschwendete Stunde.
Ne das Thema bei mir ist eigentlich immer sehr entspannt. Da werden ein paar Listen durchgangen die Viele zum ankreuzen. Ein paar kleine Frage die die Datensicher aussieht, wird ne Wiederherstellung getestet. Gab's Probleme. Was ist geplant.
Alles eigentlich sehr Easy, wenn du was nicht weißt kann man das auch nachreichen.
Beim ersten mal könnte man auch kurz eueren Dienstleister mit dazu holen.
Also keine Schlaflosen Nächte deswegen haben.
Zitat von @Tezzla:
Es gibt durchaus rechtliche Grundlagen, die es erforderlich machen Geschäftsprozesse auf bestimmte Weisen zu dokumentieren und sich mal für 2 Mark Gedanken zu machen. Allein das Thema Datenschutz / DSGVO sieht hier schon einiges vor.
Es gibt durchaus rechtliche Grundlagen, die es erforderlich machen Geschäftsprozesse auf bestimmte Weisen zu dokumentieren und sich mal für 2 Mark Gedanken zu machen. Allein das Thema Datenschutz / DSGVO sieht hier schon einiges vor.
Das kann aber auch der Aktenschrank sein. Zumindest bei uns ist es nicht vorgeschrieben ....... es ist mit der IT (meist) nur einfacher und weniger personalintensiv.
auch wenns ein wenig OT ist. Was bringt diese IT Prüfung überhaupt? Die Listen sind absolut nicht authentisch und kann jeder auch aus dem nichts erstellen. Wenn jemand will, kann er die komplett verarschen (Wirecard?).
Solange sich nicht jemand mit erhöhten Rechten die Systeme selbst anschaut, finde ich das immer nur wien großes Kasperle Theater.
Solange sich nicht jemand mit erhöhten Rechten die Systeme selbst anschaut, finde ich das immer nur wien großes Kasperle Theater.
Das "Wo" steht ja nirgendwo in Stein gemeißelt.
Aber es quasi als optional zu empfehlen halte ich für fahrlässig bzw. in diesem Falle sogar falsch. Denn nach meinem Kenntnisstand ist es durchaus verpflichtend: Siehe hierzu bspw. Notfallkonzept, Berechtigungskonzept, Datensicherung sowie Sicherheitsmaßnahmen nach Stand der Technik. Das schließt eine Kennwortpolicy mit >= 8 Zeichen eigentlich auch mit ein.
Aber es quasi als optional zu empfehlen halte ich für fahrlässig bzw. in diesem Falle sogar falsch. Denn nach meinem Kenntnisstand ist es durchaus verpflichtend: Siehe hierzu bspw. Notfallkonzept, Berechtigungskonzept, Datensicherung sowie Sicherheitsmaßnahmen nach Stand der Technik. Das schließt eine Kennwortpolicy mit >= 8 Zeichen eigentlich auch mit ein.
Zitat von @Ex0r2k16:
auch wenns ein wenig OT ist. Was bringt diese IT Prüfung überhaupt? Die Listen sind absolut nicht authentisch und kann jeder auch aus dem nichts erstellen. Wenn jemand will, kann er die komplett verarschen (Wirecard?).
auch wenns ein wenig OT ist. Was bringt diese IT Prüfung überhaupt? Die Listen sind absolut nicht authentisch und kann jeder auch aus dem nichts erstellen. Wenn jemand will, kann er die komplett verarschen (Wirecard?).
Weiten wir die Frage mal aus und sagen was bringt der Wirtschaftsprüfer, den man ja selbst bestellen muss.
Es kommt darauf an. Wenn man die Sache ernst nimmt ist einfach jemand da der nicht Betriebsblind ist und dir teilweise hilfreiche Tipp's gibt wo die Firma Verbessungspotential hat. Und wenn man das ein paar Jahre lang macht ist es wirklich einfach und schnell erledigt
Oder man winkt es einfach irgendwie durch, gibt Geld aus und hat nichts davon.
Jop da bin ich voll bei dir. Trotzdem gucken die Bilanzprüfer sich ja auch die Zahlen an und schauen genauer hin als die IT Prüfer. Die machen das gefühlt immer nur "mitm halben ar*". Ich fänds halt manchmal echt angebracht, dass mal genauer hingeschaut wird. Verbessert eventuell die Datensicherheit und/oder verhindert vielleicht sogar einen Super Gau. Nur Screenshots, Listen und Fragen finde ich persönlich etwas mau.
Da kann er auch gleich fragen: "Wollen Sie bestehen?" "-jo" "ok".
Naja ggf. fehlt dafür aber auch die gesetzliche Grundlage oder so. Sind bei unserem Bereich ja nicht nur Zahlen, sondern auch User Accounts etc. pp.
Da kann er auch gleich fragen: "Wollen Sie bestehen?" "-jo" "ok".
Naja ggf. fehlt dafür aber auch die gesetzliche Grundlage oder so. Sind bei unserem Bereich ja nicht nur Zahlen, sondern auch User Accounts etc. pp.
War das nicht Ernst&Young, die Ihre "Teams-Kommunikation" just in dem Moment unwiederbringlich verloren, als man ihre Wirecard-"Expertise" hinterfragen wollte?!
Was ist Ernst&Young nochmal?! Ach ja, die Crème de la Crème, the Big Four, die "Besten der Besten" der (jetzt nen Tusch(!)) ... Wirtschaftsprüfer bzw. Beratungsfirmen.
Ja, ist klar. Wer, wenn nicht solche Leute können das beurteilen. 😂
Was sie aber nachweislich beherrschen: Rechtsberatung in eigener Sache und ne nachhaltige "Risiko-Chance-Analyse".
Was ist Ernst&Young nochmal?! Ach ja, die Crème de la Crème, the Big Four, die "Besten der Besten" der (jetzt nen Tusch(!)) ... Wirtschaftsprüfer bzw. Beratungsfirmen.
Ja, ist klar. Wer, wenn nicht solche Leute können das beurteilen. 😂
Was sie aber nachweislich beherrschen: Rechtsberatung in eigener Sache und ne nachhaltige "Risiko-Chance-Analyse".
1
Vielen Dank für die vielen Kommentare.
Ich komme tatsächlich erst heute dazu, hier rein zu schauen und war echt überrascht.
Vieles von Euren Tipps kann ich verwerten und ins Gesamtkonzept einfließen lassen.
In der Zukunft soll es nämlich mehr Übersicht in unserer IT-Landschaft geben.
Der IT-Verantwortliche (der ja gehen musste...) hatte ja NICHTS dokumentiert und das fiel erst auf, nachdem er gegangen war.
Dann hat man mir den "Schwarzen Peter" zugeschoben, nach dem Motto "Du kennst Dich doch ganz gut mit EDV und so aus... also mach mal"
Da ich keine IT-Ausbildung oder -Schulung etc. habe, bin ich also lediglich Autodidakt. Das nur mal zur Erklärung, warum ich diese Fragen stelle.
Wie gesagt... Eure Antworten helfen gut weiter und da wir zum Glück ja auch einen externen IT-Dienstleister haben, habe ich diesen auch schon darauf angesprochen. Werde das dann mit denen gemeinsam machen und ggf. auch den (ebenfalls externen) DS-Beauftragten hinzuziehen.
Danke Euch und schöne Grüße,
imebro
Ich komme tatsächlich erst heute dazu, hier rein zu schauen und war echt überrascht.
Vieles von Euren Tipps kann ich verwerten und ins Gesamtkonzept einfließen lassen.
In der Zukunft soll es nämlich mehr Übersicht in unserer IT-Landschaft geben.
Der IT-Verantwortliche (der ja gehen musste...) hatte ja NICHTS dokumentiert und das fiel erst auf, nachdem er gegangen war.
Dann hat man mir den "Schwarzen Peter" zugeschoben, nach dem Motto "Du kennst Dich doch ganz gut mit EDV und so aus... also mach mal"
Da ich keine IT-Ausbildung oder -Schulung etc. habe, bin ich also lediglich Autodidakt. Das nur mal zur Erklärung, warum ich diese Fragen stelle.
Wie gesagt... Eure Antworten helfen gut weiter und da wir zum Glück ja auch einen externen IT-Dienstleister haben, habe ich diesen auch schon darauf angesprochen. Werde das dann mit denen gemeinsam machen und ggf. auch den (ebenfalls externen) DS-Beauftragten hinzuziehen.
Danke Euch und schöne Grüße,
imebro
Zitat von @37414:
nach dem Motto "Du kennst Dich doch ganz gut mit EDV und so aus... also mach mal"
Da ich keine IT-Ausbildung oder -Schulung etc. habe, bin ich also lediglich Autodidakt. Das nur mal zur Erklärung, warum ich diese Fragen stelle.
nach dem Motto "Du kennst Dich doch ganz gut mit EDV und so aus... also mach mal"
Da ich keine IT-Ausbildung oder -Schulung etc. habe, bin ich also lediglich Autodidakt. Das nur mal zur Erklärung, warum ich diese Fragen stelle.
Jungfrauen und Kinder 😂
Deine Frage ist, meiner Meinung nach, zu allgemein gestellt.
Die erste Frage ist, welche Bereiche, Tätigkeiten wollt ihr mit dem Arbeitsmittel EDV abdecken bzw deckt ihr ab und dann wie setzt man das am besten um. Das erste könnts nur Ihr wissen, beim zweiten Teil ..... einfach fragen.
Übersacht das wir tatsächlich auch mal helfen können 😉.
Jaja am besten zu wenig erwarten als zu viel und dann enttäuscht werden.
Jaja am besten zu wenig erwarten als zu viel und dann enttäuscht werden.
Danke für die weiteren Antworten.
Habe gestern schon mit dem IT-Dienstleister das weitere Vorgehen besprochen.
- IT Organigramm
- IT Strategie
- Backup-Konzept
- Berechtigungskonzept
- Kennwortrichtlinie
habe ich gestern bereits erstellt mit deren Hilfe.
Den Rest machen wir, sobald es wieder etwas ruhiger geworden ist.
Zur Zeit sind wir noch mitten in 2 größeren IT-Projekten.
Interessant wäre auf jeden Fall auch mal zu erfahren, wie Ihr das umgesetzt habt. Also ich meine jetzt nicht, dass Ihr hier Eure Unterlagen präsentieren sollt sondern einfach mal beschreiben, was von den aufgeführten Themen es bei Euch gibt und wie Ihr das erstellt habt?
Danke und Gruß,
imebro
Habe gestern schon mit dem IT-Dienstleister das weitere Vorgehen besprochen.
- IT Organigramm
- IT Strategie
- Backup-Konzept
- Berechtigungskonzept
- Kennwortrichtlinie
habe ich gestern bereits erstellt mit deren Hilfe.
Den Rest machen wir, sobald es wieder etwas ruhiger geworden ist.
Zur Zeit sind wir noch mitten in 2 größeren IT-Projekten.
Interessant wäre auf jeden Fall auch mal zu erfahren, wie Ihr das umgesetzt habt. Also ich meine jetzt nicht, dass Ihr hier Eure Unterlagen präsentieren sollt
sondern einfach mal beschreiben, was von den aufgeführten Themen es bei Euch gibt und wie Ihr das erstellt habt?Danke und Gruß,
imebro
Geben tut es bei mir alles davon.
Der Prüfer hat aber einen Standartisierten Fragebogen wo er seine Punkte abfrägt. Je mehr du Dokumentieren kannst um so lieber ist es ihm. Und er wird dir dann aus sagen wo man nachbessern kann.
Hab mich gestern auch mit meinem unterhalten und wie das bei anderen Firmen so ist.
Der Prüfer hat aber einen Standartisierten Fragebogen wo er seine Punkte abfrägt. Je mehr du Dokumentieren kannst um so lieber ist es ihm. Und er wird dir dann aus sagen wo man nachbessern kann.
Hab mich gestern auch mit meinem unterhalten und wie das bei anderen Firmen so ist.
Ich war mal ein Admin und sag mal was wir damals für ungefähr 30 User gemacht hatten
- IT-Strategie
wenn was kaputtgeht wird neu gekauft, minimalistisch
bei neuen Major releases werden anlaßbedingt Updatepläne für Hard/Software erstellt
Aber nach den wichtigsten Sachen haben die garnicht gefragt oder das ist im etc enthalten...
IT Sicherheitskonzepte (hier kommen so Themen rein wie Security drills, Disaster recovery drills, Alarmkonzepte bei Hacks u.s.w.)
Datensicherheitskonzepte (DSVGO Implementierung, Datenverantwortlicher, Prozesse für Verstoßmeldungen - das ist extrem wichtig weil teuer wenn man nachträglich erwischt wird)
- IT-Strategie
- Investitionen im IT-Umfeld
x Euro (den Betrag solltet ihr wissen)- Budgetplanung
y Euro- IT-Projekte
keine nur Tagesbetriebbei neuen Major releases werden anlaßbedingt Updatepläne für Hard/Software erstellt
- Notfallplan
gibts nicht. Wenn was kaputt geht wird es repariert- Backup-Konzept
täglich auf Band, manuell gewechselt- formalisiertes Berechtigungskonzept
Need to kow Prinzip- Berechtigungsvergabe
macht der Admin persönlich- Change-Management-Konzept
gibts nicht, siehe IT Projekte- Kennwortrichtlinie
Windows StandardAber nach den wichtigsten Sachen haben die garnicht gefragt oder das ist im etc enthalten...
IT Sicherheitskonzepte (hier kommen so Themen rein wie Security drills, Disaster recovery drills, Alarmkonzepte bei Hacks u.s.w.)
Datensicherheitskonzepte (DSVGO Implementierung, Datenverantwortlicher, Prozesse für Verstoßmeldungen - das ist extrem wichtig weil teuer wenn man nachträglich erwischt wird)
