SIMPLE-QUALITY
Quality - Keep it simple...!!
1834
Follower:innenSIMPLE-QUALITY
Quality - Keep it simple...!!
ISO 9001 und IT Datensicherung und Vernichtung
27.05.2019, 15:13 Uhr
MarcS64
Level 1 = Community-Lehrling
Gruppe: Aktivierungsprozess
Mitglied seit: 15.01.2014
Beiträge: 18
Mitglied seit: 15.01.2014
Beiträge: 18
Hallo zusammen, wir sind Maschinen- und Fahrzeugbauer und hatten letzte Woche das externe ISO 9001:2015 Re-Zertifizierungsaudit. Im Bereich IT reklamierte der Auditor im Bezug auf 7.1.3, dass es keine schriftliche Festlegung gab zum Zyklus der regelmäßigen Backups (diese werden aber ständig gemacht) und es auch keine Vorgabe gibt, wie Daten geschreddert werden (Typ des Reisswolfs). Meines Erachtens nach schoss hier der Auditor über die Forderungen der ISO 9001 hinaus. Da unter 7.1.3 hier wenig definiert ist, wollte ich fragen, ob es hierzu belastbare Anforderungen gibt.
Ich freue mich auf die Diskussionen
Gruß
Marc
Ich freue mich auf die Diskussionen
Gruß
Marc
28.05.2019, 14:28 Uhr
the_Raccoon
Level 4 = Community-Meister
Gruppe: Aktivierungsprozess
Mitglied seit: 27.01.2010
Beiträge: 318
Mitglied seit: 27.01.2010
Beiträge: 318
Sicher ist der Typ eines Reisswolfes nicht gefragt, die Backup-Strategie aber schon.
Es gibt schon aus der Automotiv Anforderung den Part der "contingency strategies" also Notfall-Planungen.
Hierbei muss man schon im Vorfeld darlegen wie man mit den Daten umgeht (um bei einem Notfall weitermachen zu können)
In der QZ hat es diesen Bericht gegeben der gut darauf hinweist um was es sich bei diesem Thema noch drehen sollte:
https://www.qz-online.de/qualitaets-managem...it-1160370.html
Legt euch doch zu dem Kapitel der "Infrastruktur" ein IT Handbuch an. Darin könnt Ihr dann Kapitelweise alle Themen beschreiben die euch wichtig sind.
Infrastruktur des Netzwerkes (mit Firewall/ Router/Server) aufzeigen.
Wie werden neue Mitarbeiter mit IT versorgt?
Wie wird Software eingeführt?
Wie werden Telefone vergeben?
Welche Sicherheits-Hard und Software ist vorhanden?
Wie werden Backups (Hard und Software) gemacht bzw. zurückgespielt?
Gibt es eine USV oder Notstrom?
Wer kümmert sich hier um die Einsatzbereitschaft?
Wie geht hier mit Personenbezogenen Daten um?
Wie geht Ihr mit BYOD um? (eigenen USB Sticks)
usw.
Das sollte ihr nicht für den Auditor machen sondern um euch und das Geschäft zu schützen.
Beim Audit hilft das natürlich auch.
the Raccoon
Es gibt schon aus der Automotiv Anforderung den Part der "contingency strategies" also Notfall-Planungen.
Hierbei muss man schon im Vorfeld darlegen wie man mit den Daten umgeht (um bei einem Notfall weitermachen zu können)
In der QZ hat es diesen Bericht gegeben der gut darauf hinweist um was es sich bei diesem Thema noch drehen sollte:
https://www.qz-online.de/qualitaets-managem...it-1160370.html
Legt euch doch zu dem Kapitel der "Infrastruktur" ein IT Handbuch an. Darin könnt Ihr dann Kapitelweise alle Themen beschreiben die euch wichtig sind.
Infrastruktur des Netzwerkes (mit Firewall/ Router/Server) aufzeigen.
Wie werden neue Mitarbeiter mit IT versorgt?
Wie wird Software eingeführt?
Wie werden Telefone vergeben?
Welche Sicherheits-Hard und Software ist vorhanden?
Wie werden Backups (Hard und Software) gemacht bzw. zurückgespielt?
Gibt es eine USV oder Notstrom?
Wer kümmert sich hier um die Einsatzbereitschaft?
Wie geht hier mit Personenbezogenen Daten um?
Wie geht Ihr mit BYOD um? (eigenen USB Sticks)
usw.
Das sollte ihr nicht für den Auditor machen sondern um euch und das Geschäft zu schützen.
Beim Audit hilft das natürlich auch.
the Raccoon
28.05.2019, 15:29 Uhr
MarcS64
Level 1 = Community-Lehrling
Gruppe: Aktivierungsprozess
Mitglied seit: 15.01.2014
Beiträge: 18
Mitglied seit: 15.01.2014
Beiträge: 18
Vielen Dank für die Ausführungen. Diese Themen werden hier auch selbstverständlich gemacht. Ich war nur verwundert, diese Details (Definition Reisswolf und Klärung wie oft die Wirksamkeit der Backup Sicherung getestet wird in einem ISO 9001 Audit geprüft zu bekommen, ich denke das passt mehr in die ISO 27001.
Gruß
Marc
Gruß
Marc
30.05.2019, 16:36 Uhr
Wintzer
Level 3 = Community-Techniker
Gruppe: Aktivierungsprozess
Mitglied seit: 08.03.2017
Beiträge: 291
Mitglied seit: 08.03.2017
Beiträge: 291
Hallo Marc,
hier ist nicht Abschnitt 7.1.3 der ISO 9001 gefragt, sondern 7.5.3.1 a) und b).
Sicherlich gibt es in Eurer Organisation auch "Qualitäts"-Daten (z.B. Verträge, Stücklisten, Rezepturen, Arbeitsanweisungen) , die für "Dritte" nicht zugänglich sein sollten und demnach sowohl in laufender Bearbeitung als auch im Zuge der Entsorgung von Datenträgern nicht lesbar sein sollten.
MfG
Peter Wintzer
hier ist nicht Abschnitt 7.1.3 der ISO 9001 gefragt, sondern 7.5.3.1 a) und b).
Sicherlich gibt es in Eurer Organisation auch "Qualitäts"-Daten (z.B. Verträge, Stücklisten, Rezepturen, Arbeitsanweisungen) , die für "Dritte" nicht zugänglich sein sollten und demnach sowohl in laufender Bearbeitung als auch im Zuge der Entsorgung von Datenträgern nicht lesbar sein sollten.
MfG
Peter Wintzer
03.06.2019, 10:46 Uhr
donald6556
Level 2 = Community-Facharbeiter
Gruppe: Aktivierungsprozess
Mitglied seit: 12.03.2015
Beiträge: 91
Mitglied seit: 12.03.2015
Beiträge: 91
Hallo Marc S64,
zum Thema Datenträgervernichter gibt es die ISO 66399, die je nach eingeteilten Schutzklassen der Dokumente (siehe die Ausführungen von P.Wintzer) auch zu unterschiedlichen Sicherheitsstufen in Teil 2 der ISO 66399 auch auf die Anforderungen an Maschinen zur Datenträgervernichtung detailliert eingeht.(z.B. je nach Datenschutzklassifizierung müssen auch bessere Aktenvernichter der entsprechenden Stufe eingesetzt werden).
Damit diese Unterlagen nicht reproduzierbar sind, sondern auch wirklich vernichtet werden und nicht in falsche Hände gelangen können. Dies gehört schon mit in die Betrachtung der ISO 9001:2015 in Kap.7.5.3,da hat der Auditor nicht zu weit geschossen.
Dieses Thema ist schon sehr wichtig, wird aber oft im Thema Dokumenten Management nicht allumfassend betrachtet, und dann werden Verträge mit einem normalen Shredder der untersten Sicherheitsklasse vernichtet.
Ansonsten sind alle Anmerkungen von Racoon zum Thema IT sicherheit zutreffend, denn auch aus Datenschutzgründen, ist jede Firma zu den üblichen IT Sicherheitstandards verpflichtet und diese sollten auch nachweisbar dokumentiert sein.
Gruß Donald 6556
zum Thema Datenträgervernichter gibt es die ISO 66399, die je nach eingeteilten Schutzklassen der Dokumente (siehe die Ausführungen von P.Wintzer) auch zu unterschiedlichen Sicherheitsstufen in Teil 2 der ISO 66399 auch auf die Anforderungen an Maschinen zur Datenträgervernichtung detailliert eingeht.(z.B. je nach Datenschutzklassifizierung müssen auch bessere Aktenvernichter der entsprechenden Stufe eingesetzt werden).
Damit diese Unterlagen nicht reproduzierbar sind, sondern auch wirklich vernichtet werden und nicht in falsche Hände gelangen können. Dies gehört schon mit in die Betrachtung der ISO 9001:2015 in Kap.7.5.3,da hat der Auditor nicht zu weit geschossen.
Dieses Thema ist schon sehr wichtig, wird aber oft im Thema Dokumenten Management nicht allumfassend betrachtet, und dann werden Verträge mit einem normalen Shredder der untersten Sicherheitsklasse vernichtet.
Ansonsten sind alle Anmerkungen von Racoon zum Thema IT sicherheit zutreffend, denn auch aus Datenschutzgründen, ist jede Firma zu den üblichen IT Sicherheitstandards verpflichtet und diese sollten auch nachweisbar dokumentiert sein.
Gruß Donald 6556
1 Besucher lesen dieses Thema (Gäste: 1)
0 Mitglieder: