file Frage ISO 9001 und IT Datensicherung und Vernichtung

Mehr
27 Mai 2019 16:13 #28732 von MarcS64
Hallo zusammen, wir sind Maschinen- und Fahrzeugbauer und hatten letzte Woche das externe ISO 9001:2015 Re-Zertifizierungsaudit. Im Bereich IT reklamierte der Auditor im Bezug auf 7.1.3, dass es keine schriftliche Festlegung gab zum Zyklus der regelmäßigen Backups (diese werden aber ständig gemacht) und es auch keine Vorgabe gibt, wie Daten geschreddert werden (Typ des Reisswolfs). Meines Erachtens nach schoss hier der Auditor über die Forderungen der ISO 9001 hinaus. Da unter 7.1.3 hier wenig definiert ist, wollte ich fragen, ob es hierzu belastbare Anforderungen gibt.

Ich freue mich auf die Diskussionen
Gruß
Marc

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
28 Mai 2019 15:28 #28739 von the Raccoon
Sicher ist der Typ eines Reisswolfes nicht gefragt, die Backup-Strategie aber schon.
Es gibt schon aus der Automotiv Anforderung den Part der "contingency strategies" also Notfall-Planungen.

Hierbei muss man schon im Vorfeld darlegen wie man mit den Daten umgeht (um bei einem Notfall weitermachen zu können)

In der QZ hat es diesen Bericht gegeben der gut darauf hinweist um was es sich bei diesem Thema noch drehen sollte:
www.qz-online.de/qualitaets-management/q...herheit-1160370.html

Legt euch doch zu dem Kapitel der "Infrastruktur" ein IT Handbuch an. Darin könnt Ihr dann Kapitelweise alle Themen beschreiben die euch wichtig sind.

Infrastruktur des Netzwerkes (mit Firewall/ Router/Server) aufzeigen.
Wie werden neue Mitarbeiter mit IT versorgt?
Wie wird Software eingeführt?
Wie werden Telefone vergeben?
Welche Sicherheits-Hard und Software ist vorhanden?
Wie werden Backups (Hard und Software) gemacht bzw. zurückgespielt?
Gibt es eine USV oder Notstrom?
Wer kümmert sich hier um die Einsatzbereitschaft?
Wie geht hier mit Personenbezogenen Daten um?
Wie geht Ihr mit BYOD um? (eigenen USB Sticks)
usw.

Das sollte ihr nicht für den Auditor machen sondern um euch und das Geschäft zu schützen.
Beim Audit hilft das natürlich auch. ;-)

the Raccoon
Folgende Benutzer bedankten sich: MarcS64

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
28 Mai 2019 16:29 #28741 von MarcS64
Vielen Dank für die Ausführungen. Diese Themen werden hier auch selbstverständlich gemacht. Ich war nur verwundert, diese Details (Definition Reisswolf und Klärung wie oft die Wirksamkeit der Backup Sicherung getestet wird in einem ISO 9001 Audit geprüft zu bekommen, ich denke das passt mehr in die ISO 27001.

Gruß

Marc

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
30 Mai 2019 17:36 #28749 von Wintzer
Hallo Marc,

hier ist nicht Abschnitt 7.1.3 der ISO 9001 gefragt, sondern 7.5.3.1 a) und b).
Sicherlich gibt es in Eurer Organisation auch "Qualitäts"-Daten (z.B. Verträge, Stücklisten, Rezepturen, Arbeitsanweisungen) , die für "Dritte" nicht zugänglich sein sollten und demnach sowohl in laufender Bearbeitung als auch im Zuge der Entsorgung von Datenträgern nicht lesbar sein sollten.

MfG
Peter Wintzer

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
03 Jun 2019 11:46 #28765 von donald6556
Hallo Marc S64,
zum Thema Datenträgervernichter gibt es die ISO 66399, die je nach eingeteilten Schutzklassen der Dokumente (siehe die Ausführungen von P.Wintzer) auch zu unterschiedlichen Sicherheitsstufen in Teil 2 der ISO 66399 auch auf die Anforderungen an Maschinen zur Datenträgervernichtung detailliert eingeht.(z.B. je nach Datenschutzklassifizierung müssen auch bessere Aktenvernichter der entsprechenden Stufe eingesetzt werden).
Damit diese Unterlagen nicht reproduzierbar sind, sondern auch wirklich vernichtet werden und nicht in falsche Hände gelangen können. Dies gehört schon mit in die Betrachtung der ISO 9001:2015 in Kap.7.5.3,da hat der Auditor nicht zu weit geschossen.
Dieses Thema ist schon sehr wichtig, wird aber oft im Thema Dokumenten Management nicht allumfassend betrachtet, und dann werden Verträge mit einem normalen Shredder der untersten Sicherheitsklasse vernichtet.
Ansonsten sind alle Anmerkungen von Racoon zum Thema IT sicherheit zutreffend, denn auch aus Datenschutzgründen, ist jede Firma zu den üblichen IT Sicherheitstandards verpflichtet und diese sollten auch nachweisbar dokumentiert sein.
Gruß Donald 6556 :-)

Bitte Anmelden oder Registrieren um der Konversation beizutreten.