...Analyse- & Consulting-Services für die IT-Security...
Servicebeschreibung
IT-Sicherheit ist ein lebendiger Prozess. Deshalb überwacht, analysiert und verbessert der Service die sicherheitsrelevanten Prozesse und Komponenten kontinuierlich.
Das Ziel der organisatorischen IT-Security ist es, Sicherheitsregeln und Maßnahmen zu treffen und zu etablieren, um wertvolle Daten und Informationen der Goethe-Universität zu schützen. Dabei analysiert das HRZ die eingesetzten Systeme, um sicherzustellen, dass digitale Gefahren wie Viren, Schadsoftware, Cyberangriffe und Cybervandalismus, also dem Löschen oder Verändern von Daten (Integrität, Vertraulichkeit und Verfügbarkeit der Informationen), sowie ein Ausspionieren ausgeschlossen sind.
In Zeiten, in denen die Universität mobile Endgeräte und Cloud-Lösungen intensiv nutzt, wird das Schützen großer Datenmengen, die jederzeit abgerufen werden können und müssen, immer komplexer und kritischer.
Zur stetigen Kontrolle wird gemeinsam mit dem Sicherheitsmanagement-Team (SMT) eine universitätsweite umfassende Sicherheitsstrategie entwickelt. Einerseits hat der Service die Aufgabe, die IT-Systeme auf technischem Wege vor Angriffen zu schützen. Andererseits ist er dafür verantwortlich, das Sicherheitsbewusstsein der Universität zu schärfen, indem beispielsweise Mitarbeiter*innen der Universität in den Bereichen Informationssicherheit und Datenschutz geschult werden.
In Zusammenarbeit mit der operativen IT-Security erstellt das HRZ Bedarfsanalysen, führt Tests zur Überprüfung der Sicherheit durch und unterstützt bei der Auswahl und Implementierung neuer IT-Security-Lösungen.
Um diesen Service bereitzustellen, analysiert das HRZ Informationen über mögliche Sicherheitsprobleme und prüft die IT-Infrastruktur auf ihre Aktualität. Jede Einrichtung der Goethe-Universität wurde damit beauftragt, eine solche Analyse ebenfalls für den eigenen Bereich durchzuführen (gemäß der IT-Sicherheitsrichtlinie der Goethe-Universität).
Diese Methodik zeigt auf, welche Lücken es hinsichtlich Standards, wie dem BSI-IT-Grundschutz (auf Basis der Norm ISO/IEC 27001) oder auch der Mindestanforderungen an das Risikomanagement gibt. Anschließend identifiziert und bewertet das HRZ in Kooperation mit dem SMT bzw. dem ihn angegliederten GU-CERT die Risiken und macht Vorschläge, wie sich diese Risiken reduzieren und Lücken gegenüber den Standards schließen lassen.
Dieser Service beinhaltet:
- Beratung der Rechenzentrumsleitung zum Thema IT-Security
- IT-Security-Consulting-Dienstleistungen für die IT
- Erhöhung des Sicherheitsniveaus und Verringerung des Ausfallrisikos sowie der Angriffswahrscheinlichkeiten (oder -möglichkeiten)
- Einhaltung der rechtlichen Vorgaben sowie unserer Governance-, Risk- und Compliance-Regeln (GRC)
- Koordination und Unterstützung des Datenschutzes im HRZ
www.rz.uni-frankfurt.de/it-sicherheit
| Serviceteam | Artikelnummer | Zielgruppen |
|---|---|---|
| IT-Sicherheitsbeauftragter des HRZ | 08-02-00 |
|
| Buchen des Service | Serviceregelungen | Kündigungsbedingungen |
| Dies ist ein Service der Basisversorgung und kann nicht separat gebucht werden | Keine speziellen Serviceregelungen | Dies ist ein Basisdienst, der nicht gekündigt werden kann |
| Bereitstellungszeit | Leistungsübergabepunkt | Monitoring/Reporting |
Bediente Servicezeit: Mo. - Fr.: 09:00 - 12:00 Uhr und 13:00 - 16:00 Uhr |
|
|
| Servicelevel | Servicelevelwerte | Kostenmodell |
| Es gelten keine zusätzlichen Servicelevel | Es gelten keine zusätzlichen Servicelevel | Grundversorgung |
| Dienstleister zum Service | Drittdienstleisterverträge/-beziehungen | |
IT-Sicherheitsbeauftragter des HRZ | Keine Drittdienstleister involviert |
Zuständigkeitsmatrix
| Aufgaben | Nutzer*in | HRZ |
|---|---|---|
Beratungsdienstleistung zur IT-Sicherheit in verschiedenen Gremien (Leitungskreis, Datenschutzmanagement usw.) sowie beim Auswahlverfahren der relevanten IT-Security-Applikationen und -Environments | X | |
Information und Koordination der Weitergabe von IT-relevanten Themen (Mailinglisten, MOTD, ad-hoc Infos etc.) | X | |
Dokumentation und Mitwirkung bei Erstellung und Pflege aller IT-Richtlinien, Regelwerke, Prozessbeschreibungen, Arbeitsanweisungen in welchen IT-relevante Aufgaben beschrieben werden | X | |
| Koordination des Datenschutzes im HRZ | X | |
| Koordination/Mitwirkung bei den IT-Security Managementprozessen im HRZ | X | |
Training und Einweisung neuer HRZ-Mitarbeiter*innen gemäß den Anforderungen der IT-Sicherheit | X | |
| Unterstützung der dezentralen IT-Sicherheitsbeauftragten und der IT-Verantwortlichen | X | |
Durchführung von Strukturanalysen, Schutzbedarfsanalysen und Risikoanalysen für IT-Systeme und Dienstleistungen des HRZ | X | |
| Erkennen von Risiken und Schaffen von Präventivmaßnahmen im HRZ | X | |
| Dokumentation und Informationsverteilung zu IT-Security Themen | X | |
Sicherstellen der Umsetzung der IT-Security-Verfahren gemäß der IT-Sicherheitsrichtlinie der Goethe-Universität und nach allgemein gültigen Standards und Empfehlungen des BSI | X |
4 Comments
Unknown User (sbeetz)
Steven Voigt Was ist denn die "Bediente Servicezeit" hier? Die HRZ-Öffnungszeiten: Mo. - Fr. 09:00 - 12:00 Uhr und 13:00 - 16:00 Uhr
Unknown User (earp)
Ich hab ein paar Probleme mit der Servicebeschreibung. Viele Formulierungen sind noch Scholderer-Gefasel.
Außerdem werden z. B. in der Zuständigkeitsmatrix Gremien wie "Leitungskreis" und "HR" genannt, bei denen ich ziemlich sicher bin, dass die GU das nicht hat (oder es hier anders heißt).
Steven Voigt Hast Du mal Zeit, mir beim Geradeziehen der Formulierungen zu helfen?
Steven Voigt
Serviceteam bzw. Dienstleister zum Service: "IT-Security-Management Team" macht keinen Sinn. Vorschläge wären beispielsweise: "IT-Sicherheitsmanagement-Team" (das wäre dann aber streng genommen nicht mehr das HRZ), "it-sicherheit@uni-frankfurt.de", "Organisatorische IT-Sicherheit", "IT-Security" usw..
Unknown User (sbeetz)
Claudia Earp Steven Voigt Wenn wir durchgängig die deutsche Schreibweise wählen (so wie auch auf der HRZ-Webseite unter IT-Sicherheit), dann müssten wir das auch bei Kap. 8 "IT-Security-Services" und 8.1 Operatives IT-Security-Management durchziehen, damit es einheitlich ist und natürlich in diesem Kapitel noch anpassen
...und in diesem Kapitel 8.2 ist mit "Organisatorische IT-Sicherheit" der Teil des HRZs gemeint, und nicht das SMT, oder?!
Unter Kontakt steht auf der Webseite bei IT-Sicherheit: IT-Sicherheitsteam des Rechenzentrums (daraus würde ich eher IT-Sicherheitsteam HRZ machen) und für das SMT steht: IT-Sicherheitsmanagement-Team