Benutzerverwaltung. Die Benutzerverwaltung ist nicht Bestandteil dieser Leistungsvereinbarung.
Benutzerverwaltung. Die Benutzerverwaltung für die Verfahrensinfrastruktur erfolgt: über die Benutzerverwaltung der Active Directory des Landes: Bremen: xxxx.xx-xxxx.xx Die Benutzerverwaltung ist nicht Bestandteil dieser Leistungsvereinbarung.
Benutzerverwaltung. Die Benutzerverwaltung für die Verfahrensinfrastruktur erfolgt: • Verfahrensintern Die Benutzerverwaltung ist nicht Bestandteil dieser Leistungsvereinbarung.
Benutzerverwaltung. Die Benutzerverwaltung ist nicht Bestandteil dieser Leistungsvereinbarung. • Fachliche Gesamtverantwortung Die Gesamtverantwortung für den Einsatz des IT-Verfahrens liegt beim Auftraggeber.
Benutzerverwaltung. 2.1.1 Wie erfolgt die Vergabe von Benutzerzugängen (-accounts)? (Standardisierter Prozess zur Antragstellung, Genehmigung, Einrichtung, Änderung, Löschung etc.) [Schutz der Vertraulichkeit nach Artikel 32 Abs. 1 lit. b DS-GVO, ISO 27001- Zugangskontrolle] Die Berechtigungen werden rollenbasiert entsprechend der Aufgabe des Mitarbeiters als individuelle, dokumentierte Berechtigung vergeben. Die Freigabe erfolgt durch die Geschäftsführung und den Systemadministrator. Die Systeme sind mehrstufig mit Passwort geschützt. 1. Clientzugang 2. Serverzugang 3. Zugang zur Anwendung Berechtigung zum Zugriff auf Datenbanken haben nur autorisierte Personen. Nr. Prüfungspunkt Antwort
2.1.2 Wie wird die Gültigkeit von Benutzerzugängen (-accounts) überprüft? (bei geänderter Aufgabenstellung, Versetzungen, Austritten; regelmäßige Prüfung etc.) [Schutz der Vertraulichkeit nach Artikel 32 Abs. 1 lit. b DS-GVO, ISO 27001- Zugangskontrolle] Unmittelbar mit Änderungen der Aufgabenstellung / Austritt / Versetzung erfolgt eine Anpassung bzw. Löschung der Berechtigungen bzw. Benutzerzugänge, Dokumentation im Rahmen der Netzwerkdokumentation, regelmäßige Prüfung, zusätzlich vorgegebenes Ablauf-/Deaktivierungsdatum
2.1.3 Wie werden Benutzerzugänge (-accounts) (inkl. Antrags- und Genehmigungsverfahren, Änderungsverfahren) dokumentiert? (Systemprotokollierung, Workflow-Management etc.) [Schutz der Vertraulichkeit nach Artikel 32 Abs. 1 lit. b DS-GVO, ISO 27001- Zugangskontrolle] Schriftliche Dokumentation im Rahmen der Netzwerkdokumentation, schriftliche Dokumentation / Weisungen je nach Berechtigtem
2.1.4 Wie stellen Sie sicher, dass a) die Vergabe von Administrationszugängen auf die notwendige Anzahl beschränkt ist? b) diese Administratoren die fachlich und persönlich geeignet sind?
Benutzerverwaltung. Der Account ist nur für einen begrenzten Zeitraum gültig. Das Einrichten der Gültigkeitsdauer obliegt der für die Vergabe zuständigen Institution.
Benutzerverwaltung. Die Overview-Zugänge für die von der Gesellschaft benannten Personen so- wie die Zugänge zu den jeweiligen Depots (nachfolgend „Arbeitnehmerdepots“ genannt) werden von der ebase eingerichtet. Die für die Einrichtung der Over- view-Zugänge für die Nutzung des Online-Banking erforderlichen Informationen werden der ebase von der Gesellschaft mit der Depot-/Kontoeröffnung mitge- teilt. Die für die Einrichtung der Zugänge für die Nutzung des Online-Banking der jeweiligen Arbeitnehmerdepots/-konten erforderlichen Informationen wer- den der ebase von der Gesellschaft mit der Depot-/Kontoeröffnung oder zu einem späteren Zeitpunkt mitgeteilt. Das Depot/Konto kann mit einem Over- view-Zugang geführt werden. Der Overview-Zugang der Gesellschaft kann nur mit einem Zugang zum Online-Banking inkl. Online-Postkorb, der nicht separat gekündigt werden kann, geführt werden. Die Gesellschaft ist verantwortlich dafür, dass diese Personen in rechtlicher und datenschutzrechtlicher Hinsicht diese Daten einsehen, herunterladen und speichern dürfen und etwaig erforderliche (z. B. datenschutzrechtliche) Einwilli- gungserklärungen vorliegen. Die Einrichtung der Zugänge für die Nutzung des Online-Banking der jeweiligen Arbeitnehmerdepots/-konten kann optional von der Gesellschaft insgesamt für alle Arbeitnehmerdepots/-konten veranlasst werden. Die Gesellschaft hat je- doch das Recht, die Nutzung des Online-Banking für alle eingerichteten Arbeit- nehmerdepots/-konten insgesamt zu kündigen.
Benutzerverwaltung ist im Wesentlichen die Festlegung, welcher Benutzer auf welche Ressourcen in welcher Art und Weise (Lesen, Ändern, Löschen) zugreifen darf. Die Zulässigkeit des Zugriffs richtet sich nach der Erforderlichkeit der einzelnen Benutzer, auf die vorhandenen Ressourcen im Rahmen ihrer Aufgabenerledigung zugreifen zu müssen. Berliner Regelungen zum Schutz personenbezogener Daten, vgl. auch Bundes- datenschutzgesetz (BDSG). im Sinne dieser Dienstvereinbarung sind Personen, die in einem arbeitsvertragli- chen bzw. dienstrechtlichen Verhältnis mit der Freien Universität Berlin stehen, die IT-Systeme auf Anordnung oder in Absprache zur Freien Universität Berlin zur Erfüllung ihrer Aufgaben einsetzen. sind im Sinne dieser Dienstvereinbarung Bildschirme zur Darstellung alphanume- rischer Zeichen oder zur Grafikdarstellung, ungeachtet des Darstellungsverfah- rens. Gesetzliche Regelungen zum Schutz personenbezogener Daten, Gültigkeit für Bundeseinrichtungen, vgl. auch Berliner Datenschutzgesetz.
Benutzerverwaltung. 1. Der Zugang ist nur fu¨r einen begrenzten Zeitraum gu¨ltig. Nach dieser Frist l¨auft der Zugang automatisch ab und wird deaktiviert. Das Einrichten der Gu¨ltigkeitsdauer obliegt der fu¨r die Vergabe zust¨andigen Institution. Zur Vermeidung des Verlusts von individuellen Forschungs- oder Projektdaten er- folgt die Loschung des Zugangs und der damit verbundenen Nutzerangaben nur auf ausdru¨cklichen Wunsch des Nutzers/der Nutzerin.
2. Vor der Vergabe eines Zugangs fu¨r AdministratorInnen muss ein Lizenzvertrag mit xxxxxxxxxx abgeschlossen worden sein. AdministratorInnen sind berechtigt, ohne Ru¨ckfrage bei prometheus pers¨onliche Zug¨ange fu¨r Angehorige der Institu- tion einzurichten. Bei der Einrichtung neuer Zug¨ange haben die AdministratorInnen dafu¨r Sorge zu tragen, dass zuvor die Zugeho¨rigkeit zur Institution u¨berpru¨ft wurde.
3. InhaberInnen von Nutzerzug¨angen ko¨nnen keine weiteren Zug¨ange einrichten.
4. Der Zugang ist nicht u¨bertragbar.
Benutzerverwaltung. Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten durchzuführen. Für die Vergabe von Passwörtern und Medien zur Identifizierung (z. B. Smartcards, SecurID- Karten) sind Verfahren festzulegen und zu veröffentlichen. Standardpasswörter der Hersteller sind unmittelbar nach der Installation von Systemen oder Software entsprechend den geltenden Passwortrichtlinien zu ändern. Für die regelmäßige Überprüfung von Benutzerberechtigungen sind diese dem Leiter einer Organisationseinheit für seinen Zuständigkeitsbereich zur Verfügung zu stellen. Für Mitarbeiter von Partnerfirmen sind Benutzerberechtigungen für die Dauer des Auftrages in den Systemen, soweit technisch möglich, zeitlich zu befristen (maximal ein Jahr). Die folgenden Mindestforderungen bei der Passwortfestlegung sind zu beachten (dieser Absatz gilt nicht für PINs): • Ein Passwortwechsel ist vom System grundsätzlich bei der Erstnutzung und dann mindestens alle 90 Tage zu erzwingen. • Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer definierten Anzahl von Fehlversuchen). • Bei der Authentisierung an Systemen, in denen vertrauliche oder geheime Daten gespeichert sind, sind Passwörter grundsätzlich sicher verschlüsselt zu übertragen. Falls dies nicht möglich ist, sind Einmalpasswörter zu verwenden. Die folgenden Mindestforderungen beim Umgang mit Passwörtern sind zu beachten: • Benutzerkennungen, die mehr als 400 Tage nicht genutzt wurden, sind zu sperren. • Passwörter, die in Systemen voreingestellt sind, müssen durch individuelle Passwörter ersetzt werden. • Eine Speicherung von Passwörtern in Dateien ist nur sicher verschlüsselt zulässig. • Soweit technisch möglich, sind nach 5 Fehlversuchen der Account zu sperren, eine Passworthistorie von mindestens 5 Passwörtern und die Mindestanforderung an die Komplexität im jeweiligen System zu erzwingen. • Jeder Benutzer muss sein Passwort grundsätzlich jederzeit ändern können. • Bei der Eingabe darf das Passwort nicht im Klartext am Bildschirm angezeigt werden.