pantrag_fisi Projektantrag: Planung und Vorbereitung einer IT Security Kampagne für das Unternehmen unter der Berücksichtigung von bereits durchgeführten Security Audits.

[ChoTimberwolf]

Bei meiner IHK muss ich einzelne Textboxen in einem online Formular ausfüllen. Entsprechend habe ich wenig auf Formatierung geachtet. Das dicke unterstrichene sind die Beschriftungen dieser Textboxen mit angefügt der Hilfetext. Die Zahl dabei ist die maximale Zeichenmenge.

Ich hoffe ihr könnt mir sagen ob der Antrag in Ordnung ist und wenn nicht in welchen Bereichen ich den Antrag noch bearbeiten sollte. Vielen Dank schon einmal im Voraus.

 

Thema 

• Planung und Vorbereitung einer IT Security Kampagne für das Unternehmen unter der Berücksichtigung von bereits durchgeführten Security Audits.  

Termin 

Erste November Woche 04. - 08.11 

Projektbeschreibung 8000 (Bitte beschreiben Sie hier die Problemstellung Ihres Projektes und den Geschäftsprozess. Dabei sollen Ist-Zustand, Zielgruppe bzw. Auftraggeber (Kunden oder das eigene Unternehmen) sowie Ziele und Nutzen dargestellt werden. Bitte drücken Sie sich klar und deutlich aus, damit auch Außenstehende verstehen können, was Sie realisieren möchten. Achten Sie darauf, dass der Prüfungsausschuss Ihre persönliche Prüfungsleistung erkennen kann. Die eingebundenen Schnittstellen (z. B. Fremdleistungen) müssen beschrieben sein. Weiterhin soll angegeben werden, welche Mittel (Hard- und Software) Ihnen für die Erledigung zur Verfügung gestellt werden.) 

Die Mitarbeiter in unserem Unternehmen wurden noch nicht strukturiert für das Thema IT Sicherheit sensibilisiert. Die Kampagne zur Sensibilisierung zum Thema IT Sicherheit soll mit diesem Projekt vorbereitet werden. Es wurden und werden, durch externe Firmen, unsere allgemeine Kompetenz zum Thema IT Sicherheit durch sogenannt Security Audits getestet. 

Die Ergebnisse der Security Audits werte ich als erstes aus und analysiere sie, um herauszufinden in welchen Punkten die Mitarbeiter unseres Unternehmens weitergebildet werden müssen. Unter Berücksichtigung dieser Ergebnisse plane ich darauffolgend eine Mitarbeitersensibilisierungskampagne. Das heißt ich werde die durch das Security Audit herausgefundenen Schwachstellen untersuchen und Pläne vorbereiten wie diese Schwachstellen geschlossen werden können. Hierbei werde ich einen klaren Fokus auf die menschlichen Schwachstellen haben. Unter anderem überlege ich mir welche Punkte in das Sicherheitshandbuch hinein gehören. 

Diese Pläne werde ich im nächsten Schritt konkret vorbereiten und bearbeiten. Unter anderem werde ich das Sicherheitshandbuch ausarbeiten und ausformulieren. Die für unser Unternehmen relevanten Punkte werde ich besonders betonen. Um zu sehen wie erfolgreich die Kampagne tatsächlich war werde ich einen Umfragebogen vorbereiten, den ich dann einige Zeit nach Durchführung der Kampagne verteilen werde. Ich formuliere auch einen Zukunftsplan wie die IT Security Kampagne dann tatsächlich umgesetzt werden kann. Dazu stelle ich auch eine Kostenanalyse für meine ausgearbeiteten Ideen auf. 

Beim Erstellen der verschiedenen Pläne achte ich darauf, dass das Ziel ist die Mitarbeiter zu motivieren sich engagiert für die Sicherheit im Unternehmen einzusetzen. Das heißt das bei jedem Plan auch klar werden soll wie er der Sicherheit dient und warum er wichtig ist. Dazu orientiere ich mich unter anderem auch an den Leitfaden, den das “Bundesamt für Sicherheit in der Informationstechnik” zur Verfügung stellt. 

Am Ende werde ich alles vorbereitete in einer Präsentation zusammenfassen und meinem Vorgesetzten vorstellen, wenn dieser das absegnet folgt im Anschluss an das Projekt die tatsächliche Umsetzung der geplanten Aktionen. 

Projektumfeld 3000 (Hier geben Sie bitte an, wo Sie Ihr Projekt bearbeiten werden (Örtlichkeit, ggf. im Ausland). Handelt es sich um einen Kundenauftrag oder ein eigenes Projekt? Hilfreich sind ergänzende Informationen zum Auftraggeber, wie z. B. Anzahl der Mitarbeiter, Anzahl der Systeme, ...) 

Das Projekt wird in der Firma X durchgeführt, direkter Vorgesetzter und Auftraggeber ist X, IT Leiter. Die Firma X hat ungefähr X Mitarbeiter, diese sind auf zwei Standorte aufgeteilt. Der Hauptstandort ist in X, der andere ist in Y. Für das Projekt werde ich in X arbeiten. 

Projektphasen 3000 (Bitte geben Sie hier aussagekräftige Bezeichnungen der einzelnen Projektphasen (mind. 3 Phasen) mit dem geschätzten Zeitbedarf (in Stunden) Ihrer persönlichen Arbeit an (z.B. Ist-Analyse 2 Stunden, Sollkonzept 4 Stunden etc.). Bitte achten Sie darauf, dass inklusive der Dokumentation ein Zeitrahmen von 35 Stunden bzw. bei den Fachinformatikern Anwendungsentwicklung 70 Stunden nicht überschritten werden darf, Sie müssen also die technische, wirtschaftliche und zeitliche Durchführbarkeit beachten. 
Optische Gestaltung und Ausdruck der Dokumentations- und Präsentationsunterlagen zählen nicht zur Bearbeitungszeit.) 

Auswertung der Ergebnisse der Security Audits (4 Stunden) 

Pläne ausarbeiten unter Berücksichtigung der Auswertung der Security Audits (9 Stunden) 

Pläne vorbereiten, Handbuch ausformulieren und gestalten, Kostenanalyse aufstellen (12 Stunden) 

Eine Präsentation vorbereiten und durchführen in der ich meine Pläne meinem Vorgesetzen vorstelle und danach absegnen lasse (4 Stunden) 

Dokumentation (5 Stunden) 

Dokumentation 3000 (Bitte geben Sie hier die geplante Art der Dokumentation an (z. B. prozessorientierter Projektbericht), eine Grobgliederung (mindestens drei Phasen) und welche Anlagen Sie vorgesehen haben.) 

Für die Dokumentation wird während des Projekts Notizen gemacht. Diese werden dann am Ende zusammengefasst zu einer gesamten Dokumentation in Word. Danach wird das zu PDF konvertiert. Aufgeteilt ist die Dokumentation zumindest in: 

• Analysephase 

• Planungsphase 

• Durchführungsphase 

• Fazit 

Wenn die maximale Länge der Dokumentation es zulässt würde ich auch die Präsentation von der Vorstellung mit anhängen. 

Anlagen 2MB PDF 

Präsentationsmittel 250(Sieht die Ausbildungsverordnung eine Präsentation/ein Fachgespräch vor und Sie verwenden eigene Präsentationsmittel, tragen Sie diese hier ein. 

Für die Funktionsfähigkeit von mitgebrachten Präsentationsmitteln sind Sie selbst verantwortlich. 

Stellen Sie sicher, dass die technische Ausrüstung einsatzbereit ist.  

Im Raum steht zur Verfügung: 1 Beamer oder Monitor, 1 Flipchart, 1 Pinnwand und 2 Tische dazu ein VGA Kabel) 

Powerpoint Präsentation unterstützt mit einem Plakat, auf dem die Gliederung steht 

[allesweg]

1. Durchführungszeitraum = 1 Woche. Was, wenn du da krank wirst? Stromausfall ist?
2. welches IT-Problem löst du mit welcher IT-Kompetenz?

[ChoTimberwolf]

vor 6 Minuten schrieb allesweg:

1. Durchführungszeitraum = 1 Woche. Was, wenn du da krank wirst? Stromausfall ist?
2. welches IT-Problem löst du mit welcher IT-Kompetenz?

1. Also sollte ich Durchführungszeitraum einfach bei der maximalen Dauer belassen?

2. Das IT-Problem das die Mitarbeiter im Unternehmen nicht ausreichend zum Thema IT-Sicherheit geschult sind mit der IT-Kompetenz zu wissen welche Lücken relevant sind und welche Möglichkeiten es gibt diese zu schließen.

[allesweg]

(Mangelnde) Mitarbeiterkompetenz ist kein IT-Problem.

Bei Mitarbeiterschulung zeigst du keine IT-Kompetenz.

[Listener]

Dem schließe ich mich an. Das kannst du noch so schön verpacken, das wird nichts...

[mapr]

Das wird so nichts für den FISI.
Ich schließe mich den Vorredner an.
Dazu kommt noch die fehlende fachliche Tiefe und die fehlende Wirtschaftlichkeit.

Rundablage und neues Projekt.

[ChoTimberwolf]

vor 1 Minute schrieb mapr:

Das wird so nichts für den FISI.
Ich schließe mich den Vorredner an.
Dazu kommt noch die fehlende fachliche Tiefe und die fehlende Wirtschaftlichkeit.

Rundablage und neues Projekt.

Leider ist es das bisher geeigneste was wir bisher gefunden haben. Alle anderen möglichen Sachen die im Unternehmen durchgeführt werden, sind entweder simple Installations Anweisung befolgen oder zu stark von externen Firmen abhängig um in unseren Augen ein gutes Projekt zu machen. Wir sind eine rein interne IT und sind damit hauptsächlich mit Wartung, Support etc beschäftigt.

[mapr]

Was wartet ihr, muss da vielleicht was in naher Zukunft ersetzt werden?

[ChoTimberwolf]

Gerade eben schrieb mapr:

Was wartet ihr, muss da vielleicht was in naher Zukunft ersetzt werden?

IT Infrastruktur Server und ähnliches und nein da wird im nächsten halben Jahr nichts ersetzt

[mapr]

Dann wird's, meiner Meinung nach, schwierig.

[charmanta]

ein FiSi arbeitet an einem SYSTEM, nicht an einer Kampagne.

Das ist eher ein Thema für eine Thesis. Beim FiSi wird der Antrag aus formalen Gründen abgelehnt ...

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust ;)

Aus der PO für FiSi

a)Realisieren und Anpassen eines komplexen Systems der Informations- und
Telekommunikationstechnik einschließlich Anforderungsanalyse, Planung,
Angebotserstellung, Inbetriebnahme und Übergabe,
b) Erweitern eines komplexen Systems der Informations- und
Telekommunikationstechnik sowie Einbinden von Komponenten in das
Gesamtsystem unter Berücksichtigung organisatorischer und logistischer
Aspekte einschließlich Anforderungsanalyse, Planung, Angebotserstellung,
Inbetriebnahme und Übergabe

 

 

[ChoTimberwolf]

Ich habe den Antrag so eingreicht und er wurde angenommen. Danke für eure Hilfe