HCS Human Capital System

Virtuelles Lebenswerk von Heinrich Keßler, Appenweier

E. Schritt 138: Zugangsrechte und Zugangspflichten festlegen.

Zugangsrechte dürfen niemals ein Statussymbol sein oder werden: Die Sekretärin benötigt die modernste Technik, nicht der Chef.

Generelle Ziele, die auch sowohl stetige, permanente und finale Ziele sind, d.h. immer(!!!) offene Ziele bleiben.

  1. Personen schützen.
  2. Sachen schützen.
  3. Objekte schützen.
  4. Daten schützen.
  5. Nur bestimmte Verwendungen und Nutzungen ermöglichen und zulassen.
  6. Kooperation ermöglichen.
  7. Schaden abwenden.
  8. Fehlverhalten vermeiden.
  9. Fehlverhalten verhindern.
  10. Bestandsschutz.
  11. Kriminelles verhindern.
  12. Den Eintritt von Risiken verhindern.
  13. Kontrollen ermöglichen, sicherstellen, erzwingen.
  14. Schwachstellen konsequent beseitigen.
  15. Schaden begrenzen.
  16. Die Rechte durchsetzen und wahren.
  17. Sicher und wirksam Unbefugte abwehren.
  18. Sabotage abwehren und verhindern.
  19. Spionage abwehren und verhindern.

Die Ziele sind Vermeidungsziele, d.h. erreicht, wenn "nichts passiert".

Die Zugangsrechte und -pflichten können geregelt werden (müssen) für z.B.

  1. Zugang zu Personen,
  2. Zugang zu Grundstücken, Gebäuden, Räumen,
  3. Zugang zu Einrichtungen, Vorrichtungen, Maschinen, Geräten,
  4. Zugang zu Hilfsmitteln, Datenträgern, Eingabe- und Ausgabegeräten, Anzeigegeräte,
  5. Zugang zu Informationen,
  6. Zugang zu offenen Fragen, Anliegen, Problemen, Lösungen, Antworten,
  7. Zugang zu Archiven, Wissen, Patenten, Beschreibungen, Anleitungen, Vorlagen,
  8. Zugang zu Ergebnissen, Zwischenergebnissen,
  9. Zugang zu Gremien, Treffen, Besprechungen,
  10. Zugang zu Schlüsselpersonen wie Experten, Entscheidern, Vorgesetzten, Aufsichtspersonen, Kontrollpersonen.

Die Zugangsrechte und -pflichten können ermöglicht, erleichtert, durchgesetzt, erzwungen, überwacht und angepasst werden z.B. durch:

  1. Gestaltung der Räume,
  2. formale Organisation, wie Hierarchie, Anforderungen an die Zugehörigkeit, Mitgliedschaft, Sonderrechte,
  3. Eignungstests, Prüfungen, Überprüfungen, Mitgliedsbedingungen, Ausschlussbedingungen,
  4. Auswahlverfahren, Zulassungsverfahren, Genehmigungsverfahren,
  5. Technische Vorkehrungen wie z.B. Codes, Kennkarten, Anmeldeverfahren, Passwörter,
  6. Regeln und Spielregeln wie z.B. Ehrenkodex, Vorschriften, Gesetze, Haftungsregeln, Verhalten bei Gefährdungen und in Gefahren, Meldepflichten,
  7. Persönliche, öffentliche Verpflichtungen wie z.B. durch Schwur, Anerkennung der Verfassung, Vereidigung, Verleihungen von Titeln, Ernennungen,
  8. Persönliche Verpflichtungen der Anerkennungen und Einhaltung von Regeln und Spielregeln, wie z.B. durch Uniformen, Umgang mit Einrichtungen, Ausrüstungen, Waffen, Vorrechten, Sonderrechten, Abzeichen,
  9. Kontrollen von z.B. Ausweisen, Umgang mit den erteilten Rechten und auferlegten Pflichten, Berechtigung der (weiteren) Eignung und Zuverlässigkeit,
  10. Sanktionen und Konsequenzen bei Fehlverhalten.

Während die Zugangsrechte und -pflichten der offensichtlich Betroffenen und Beteiligten häufig geregelt werden, werden vielfach die faktisch bestehenden Zugangsmöglichkeiten von Dritten übersehen, z.B. von

  1. Besuchern, Delegationen, Gästen, Kollegen und Kolleginnen aus anderen Fachgebieten, Bereichen, Zuständigkeiten, Vorgesetzten, Mitarbeitenden,
  2. Servicepersonal, z.B. für technische und elektrische Anlagen, Reinigungspersonal,
  3. Handwerker, Beauftragte für Reparaturen, Pflege, Wartungen,
  4. Hilfsorganisationen wie Provider, Anbieter von Clouds, gemeinsame Daten- und Dokumentenverwaltungen, IT-Services, Suchmaschinen, so genannte Wikis (Datenbanken, "Wissensdatenbanken"), Archiven,
  5. Beratern, Trainern, Coaches, externe Experten, Wissenschaftlern, Steuerberatern, Wirtschaftsprüfern, Kontrolleuren, Zertifizierern,
  6. Personen, die direkt oder indirekt mit den Kontrollen und Überwachungen beauftragt werden wie Personenschützer, Objektschützer, Wachpersonal, Überwachungspersonal, Kontrollpersonal,
  7. Hilfspersonen wie Studenten, Praktikanten, Hilfskräften, Aushilfskräften, Mitarbeitende in der Verwaltung, Administration, Kommunikation und Information, Verpflegung,
  8. internen und externen Dienstleistenden aller Art wie Rechtsabteilung, Vertragswesen, Personalwesen, Controlling, Qualitätsmanagement, Logistik, Beschaffung, Transport, Abrechnung, Behörden, Wartungsdiensten, Lieferanten, Boten, Sicherungsdiensten, Notfalleinrichtungen, Hilfseinrichtungen, Sozialen Einrichtungen, Müllabfuhr,
  9. Experten wie Programmierer, IT-Systempfleger, Personen im Datenschutz und in der Datensicherung,
  10. Entsorger von nicht mehr genötigten, defekten oder überholten Geräten, Einrichtungen, Vorrichtungen, Datenträger, Medien.

In den Krimis, Romanen sowie Berichten über tatsächliche Schadensereignisse und in Gerichtsverfahren wird ausreichend anschaulich behandelt, wie Dritte zu schädigendem Verhalten eingesetzt werden bzw. wurden: Die Gefährdungen sind also immer gegeben. Wachheit, Wachsamkeit und Aufmerksamkeit sind und bleiben immer erforderlich und entscheiden auch darüber, ob die Regelungen der Zugangsrechte und -pflichten in der jeweils gegebenen Situation wirken (können).

Anleitungen für die Zugriffsrechte und -pflichten:

  1. Ermitteln Sie, wozu Sie Zugang haben müssen.
  2. Ermitteln Sie, von welchem erforderlichen Zugang Sie ausgeschlossen sind.
  3. Ermitteln Sie, wer darüber entscheidet, ob Ihnen Zugang gewährt oder verwehrt oder nur unter bestimmten Bedingungen zugelassen wird.
  4. Ermitteln Sie, wie Sie gegebenenfalls die Informationen erhalten und die Personen rechtzeitig erreichen, zu denen Ihnen der Zugang verwehrt ist bzw. bleibt.
  5. Ermitteln Sie die notwendigen Vereinbarungen, Regeln und Spielregeln.
  6. Vereinbaren Sie das Notwendige mit den zuständigen und verantwortlichen Personen.
     
  7. Ermitteln Sie, wem Sie Zugang gewähren müssen.
  8. Ermitteln Sie, wie der Zugang auf die ausgewählten Personen begrenzt werden kann.
  9. Ermitteln Sie, wie offensichtlich wird, wenn die ausgewählten Personen Dritten einen unerlaubten Zugang gewähren.
  10. Ermitteln Sie die Schwachstellen, die zugangsberechtigte Personen hindern, die erlaubten Zugänge zu nutzen.
  11. Ermitteln Sie die Strategien, die zugangsberechtigte Personen entwickeln könnten, um auch andere als die erlaubten Zugänge nutzen bzw. sich verschaffen könnten.
  12. Ermitteln Sie, wie Sie die erlaubten Zugänge vereinbaren.
  13. Ermitteln Sie, wie Sie wirksam und ohne Vorankündigung bisher bestehende Zugänge sofort und absolut wirksam beenden können.
     
  14. Ermitteln Sie, wem Sie einen Zugang in jedem Falle verwehren.
  15. Ermitteln Sie die Schwachstellen, an welchen Unbefugte dennoch Zugang erhalten bzw. sich verschaffen könnten.
  16. Ermitteln Sie die notwendigen Sicherungsmaßnahmen, die einen Versuch vereiteln, ergebnislos oder zumindest nachweisbar machen.
  17. Ermitteln Sie, wie Sie den ausgeschlossenen Personen die dennoch benötigten Informationen zur Verfügung stellen.
  18. Ermitteln Sie, wie Sie den ausgeschlossenen Personen in Ausnahmefällen einen kontrollierten Zugang zu den gewünschten Personen gewähren und gestalten können.
  19. Ermitteln Sie, durch welche Vereinbarungen, Regeln und Spielregeln die Schlüsselpersonen die Zugangsbeschränkungen beachten (können und müssen).
     
  20. Ermitteln Sie, wie Sie die Art und Weise des Umgangs mit erlaubten Zugängen kontrollieren und überwachen können.
  21. Ermitteln Sie, wo zufällige oder regelmäßige Begegnungen den Austausch von Informationen ohne jegliche Zugangsbeschränkungen und Kontrollmöglichkeiten erlauben.

Mahnungen, Tipps:

Die Inhalte der Ziele ändern sich permanent. Es gibt keine endgültigen Kriterien für die Messbarkeit der Zielerreichung. Beobachtbar und messbar sind immer nur die Handlungen, jedoch nicht deren Tauglichkeit und Wirksamkeit: Die Ziele sind (jeweils) erreicht, wenn "nichts passiert", gleichgültig, weshalb. Versäumnisse und Fehler werden erst offensichtlich, wenn "etwas passiert". Dann ist eine sofortige Schadensbegrenzung immer wichtiger als eine "Suche nach den Schuldigen und Verantwortlichen".

Wer unbedingt an eine bestimmte Information oder eine Zielperson herankommen will, schafft dies auch: Die im Zweifelsfall kreative oder gar kriminelle Energie lässt früher oder später immer Wege finden.

Alle Zugangskontrollen erfordern einen Aufwand. Die jeweils zeitlichen Verzögerungen bzw. Kontrollen und Sicherungsmaßnahmen können erheblich sein.

In der Regel sind alle Zugangskontrollen auch von der Mithilfe Dritter und / oder von funktionierenden technischen Vorrichtungen abhängig.

Die generellen Zugänge werden in der Regel durch organisatorische oder technische Lösungen ermöglicht, erzwungen, kontrolliert, erschwert oder verhindert. Die Lösungen können für das Projekt oder das Projektmanagement ausreichen oder sich als unzweckmäßig erweisen.

Eine erwartete "Arbeitserleichterung" darf niemals ein hinreichender Grund sein, um Zugänge für Unbefugte zu nutzen oder zu ermöglichen.

Zugangsrechte und Zugangspflichten sind gerne genutzte Quellen der Machtausübung. Sie kann angemessen oder unangemessen erfolgen.

Teilnehmerkreis:

Die Zugangsrechte und Zugangspflichten sind immer mit den für die Sicherheit, Organisation und den Bestand der Organisation verantwortlichen Personen zu ermitteln, zu gestalten und gegebenenfalls projektspezifisch anzupassen. Die Regelungen, Regeln und Spielregeln sowie technischen und organisatorischen Maßnahmen sind für jedes Projekt spezifisch festzulegen und durchzusetzen.

Aufgaben des Projektmanagements:

Wiederkehrende Aufgaben des Projektmanagements sind z.B.

  1. Ermitteln Sie die Informationen, zu denen ein Zugang ausschließlich mit ausdrücklicher Genehmigung des Projektmanagements gewährt wird.
  2. Ermitteln Sie die Art und Weise, wie Sie diese Informationen von allen anderen Zugängen separieren können: Organisatorisch, technisch, persönlich.
  3. Ermitteln Sie die Art und Weise, wie sie den separaten Zugang gestalten.
  4. Ermitteln Sie die Regeln und Spielregeln sowie die Vereinbarungen mit den Personen, denen Sie Zugang gewähren.
  5. Ermitteln Sie, wie Sie die Art und Weise des Umgangs mit den gewährten Zugangsrechten kontrollieren können.
  6. Ermitteln Sie die Art und Weise, wie Sie Personen sofort wirksam von gewährten Zugängen ausschließen können.
  7. Ermitteln Sie die Art und Weise, wie Sie die weiterhin zugangsberechtigten Personen von den Ausschlüssen informieren und deren Beachtung erzwingen können.
  8. Ermittlung von Hinweisen auf Informationsquellen, die dem Projektmanagement verschlossen sind oder vor ihm sogar geheim gehalten werden.
  9. Ermitteln Sie die Art und Weise, wie Sie Informationen und Zugang zu Schlüsselpersonen erhalten (können), zu welchen Ihnen ein direkter Zugang verwehrt ist und bleibt.
  10. Ermitteln Sie die Art und Weise des Daten-, Dokumenten und Informationsmanagements, die niemals mehr Informationen bereitstellt bzw. zugänglich macht, als jeweils für die zugangsberechtigten Personen erforderlich ist.
  11. Ermitteln Sie, an welchen Stellen und Schnittstellen unbefugte Dritte Zugang zu Informationen und Personen erhalten können, z.B. auch in Clouds, sozialen Medien, Kommunikationsmedien.
  12. Ermitteln Sie die Art und Weise der Erzwingung von Legitimationen bei einem Zugang, z.B. Passwörter, Identifizierungskarten, Codes.
  13. Ermitteln Sie die Art und Weise der Erzwingung von Begrenzungen von Zugängen, z.B. Fristen, Laufzeiten.
  14. Ermitteln Sie die Art und Weise der Erzwingung der Prüfungen von Legitimationen bei Verlängerungen von bestehenden Zugängen.

Mehr zum Thema "Zugangsrechte und Zugangspflichten":

  1. Vertiefungen, Vernetzungen, Verbindungen, Verortung dieses Arbeitsschrittes in der Projektmatrix: 03_370_000
    Koordination der Prozesse der Regelkommunikation: 70_340_000
    Rollen, Funktionen und Verantwortungen: 36_036_000

  2. Verwandte Themen: (ID in der Projektmatrix bzw. für das Mentoring)
    Führung im Projekt: 41_000_000
    IT, Netz, Sicherheit: 36_250_000
    Verantwortung für Risiko: 70_036_200
    Personalarbeit: 36_540_000
    Projektoffice, PMU: 36_440_000
    Wissensmanagement: 36_460_000
    Services: 36_550_000
    Verantwortung für Dienste: 70_036_500
    Portale, Cloud: 36_630_000
    Netzwerke: 36_640_000
    Projektmatrix: 90_000_000
    Verträge und Vereinbarungen: 06_670_000
    Regelkommunikation: 03_340_000
    Dienstleistungen: 03_360_000
    Termine: 16_000_000
    Dokumentation: 14_000_000
    Warnsignale: 06_660_000
    Berichtswesen: 13_000_000
    Dokumentation: 14_000_000
    Verhalten: 50_000_000
    Hilfsmittel: 06_610_000
    Aktuelle Stände: 17_000_000
    Notizen: 19_000_000
    Methoden: 60_000_000
    Risiko-, Konflikt- und Krisenmanagement: 03_370_000
    Projektsteuerung: 32_000_000
    Schnittstellen: 99_100_000

  3. Empfohlene Suchbegriffe:
    Datenschutz
    Datensicherheit
    Regelkommunikation
    Geheimhaltung
    Verteilerlisten
    Verträge und Vereinbarungen
    Vertretungsmacht
    Formale Rollen in Organisationen
    Spielregeln in Organisationen
    AGB, Allgemeine Geschäftsbedingungen
    Usancen, Gewohnheitsrechte
    Heimliche und unheimliche Regeln und Spielregeln

 

Durchführung. Ausführung. Operatives Projekt-management.

E. Durchführung. Ausführung. Operatives Projektmanagement

Allgemeines zur Schrittfolge im operativen Projektmanagement.

Anleitungen zur Schrittfolge:

Schrittfolge 25: Worum geht es?

Anleitung Schrittfolge 25 - Datenschutz und Datensicherheit.

Anleitungen zu den einzelnen Schritten:

135. Datensicherheit sichern.

136. Datenschutz sichern.

137. Geheimhaltung sichern.

138. Zugangsrechte und -pflichten festlegen.

 

| Weitere wichtige und generelle Informationen, Impressum, Datenschutz |


Freiwillige Anerkennung.


Copyright © 2015-2022 Heinrich Keßler. Alle Rechte vorbehalten.