Informationssicherheitsleitlinie für Externe
Präambel
Diese Leitlinie für Externe ist ein Auszug aus der internen Leitlinie zur Informationssicherheit der RealCore.
Geschäftsprozesse, Informationstechnik, Bedrohungsszenarien und Sicherheitstechnik unterliegen einem kontinuierlichen Wandel, ebenso das äußere Umfeld, in dem eine Organisation tätig ist, zum Beispiel durch neue Gesetze und Verordnungen. Informationssicherheit ist für die RealCore daher ein wichtiger Prozess, dessen Angemessenheit und Wirksamkeit eine Schlüsselrolle für den Erfolg unserer Organisation spielt. Durch diese Leitlinie für Informationssicherheit wird die Übernahme der Gesamtverantwortung durch den gebildeten Lenkungsausschuss zum ISMS der RealCore manifestiert. Durch dieses Bekenntnis zur Informationssicherheit wird die zukünftige Arbeit des Informationssicherheits-Managements ermöglicht und verbindlich.
Bedeutung der Informationssicherheit
In nahezu allen Bereichen unserer Organisation werden Daten und Informationen elektronisch verarbeitet, gespeichert und übermittelt. Diese Daten spiegeln die zu schützenden Werte der RealCore wieder. In allen Abteilungen spielt Informationstechnik eine tragende Rolle, sowohl in der Kommunikation mit Kunden als auch mit Geschäftspartnern und anderen Organisationen. Der Stellenwert der Informationssicherheit wird in den folgenden Beispielen deutlich:
- In unserer Personalabteilung und in vielen Arbeitsbereichen werden personenbezogene Daten verarbeitet. Diese Informationen müssen im Interesse der Betroffenen und aus gesetzlichen Gründen geschützt werden.
- Durch Geschäftsbeziehungen mit Partnern und Kunden werden an vielen Stellen unserer Organisation vertrauliche Informationen vorrätig gehalten und verarbeitet. Ein Missbrauch dieser Informationen schadet nicht nur dem Ansehen und dem geschäftlichen Erfolg unserer Organisation, sondern kann auch rechtliche Folgen und Schadensersatzansprüche verursachen. Dieser Missbrauch ist daher zu verhindern.
- Der Erfolg unserer Organisation basiert auf unseren innovativen Ideen und Technologien und den eingesetzten Prozessen. Diese Informationen unterliegen daher der Geheimhaltung und sind sowohl intern als auch extern vor unberechtigten Zugriffen zu schützen.
- Der Schutz zukünftiger Entwicklungs- und Investitionsvorhaben ist ebenfalls ein wichtiger Erfolgsfaktor und hilft, unsere Wettbewerbsfähigkeit zu erhalten und zu verbessern. Diese Informationen über Zukunftsvorhaben unterliegen daher der Geheimhaltung und sind unter anderem vor Wirtschaftsspionage zu schützen.
Dadurch wird deutlich, dass eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr, wesentliche Voraussetzungen für den Geschäftserfolg sind. Es gilt, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu gewährleisten. Durch diese Leitlinie für Informationssicherheit übernimmt die oberste Leitung die Gesamtverantwortung innerhalb der RealCore. Aus dieser Verantwortung für die Informationssicherheit heraus haben wir einen Informationssicherheitsmanagementprozess eingeführt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie und eines Sicherheitskonzepts. Zu diesem Sicherheitskonzept gehören auch die Einhaltung der Leitlinie sowie die regelmäßige Überprüfung des Sicherheitskonzepts auf seine Wirksamkeit und Angemessenheit.
Geltungsbereich
Diese Leitlinie zur Informationssicherheit gilt verbindlich für die RealCore und soweit anwendbar für externe Mitarbeiter und Dienstleister. Diese Leitlinie wird durch Informationssicherheitsrichtlinien etc. ausgestaltet.
Verpflichtung jedes einzelnen Mitarbeiters
Jeder Mitarbeiter ist dazu aufgefordert, die Prinzipien der Informationssicherheit zu achten. Die einzelnen Geschäftsführer der RealCore sind dafür verantwortlich, ihre Mitarbeiter entsprechend zu verpflichten, die Leitlinie einzuhalten.
Prinzipien der Informationssicherheit
Für die RealCore gelten folgende Grundprinzipien der Informationssicherheit:
Prinzip „Vertraulichkeit“
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Prinzip „Verfügbarkeit“
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT- Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
Prinzip „Integrität”
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet. Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
Sicherheitsziele der Sicherheitsstrategie
Die Informationstechnik bei der RealCore ist die notwendige Voraussetzung für alle unsere Organisationsbereiche und operativen Tätigkeiten. Unsere Daten und die Daten unserer Kunden werden in Hinblick auf die definierten Schutzziele so gesichert, dass ein Ausfall wichtiger IT-Systeme tolerierbar ist und unsere Organisation, Mitarbeitern und Kunden daraus kein Schaden entsteht.
Kernziele der Sicherheitsstrategie
In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands an Personal und Finanzmitteln sind uns die folgenden Aspekte zur Informationssicherheit besonders wichtig:
- Die Vertraulichkeit und Integrität der für die Organisation wichtigen Informationen sind zu schützen. Im Umgang mit elektronischen Dokumenten und Informationen sind Geheimhaltungsanweisungen strikt zu befolgen.
- Die für die Organisation relevanten Gesetze und Vorschriften (z. B. Strafgesetzbuch, Betriebsverfassungsgesetz, Handelsgesetzbuch, Sozialgesetzbuch, Gesetze und Regelungen zum Datenschutz) sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden.
- Geschäftsprozesse, Anwendungen und Informationstechnik müssen sorgfältig durchdacht werden und einfach zu steuern sein. Komplexe Strukturen, die zu unnötigen Risiken führen, sind zu vermeiden.
- Alle Mitarbeiter müssen sich möglicher Gefährdungen bewusst sein und sich sicherheitsgerecht verhalten.
- Verursachte Ersatzansprüche, Schadensregulierungen und Imageschäden durch Sicherheitsmängel im Umgang mit der IT müssen vorgebeugt werden.
- Gebäude und Räumlichkeiten unserer Organisation werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu den IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Informationen durch ein restriktives Berechtigungskonzept geschützt.
- Es ist darauf zu achten, dass bei Investitionen die Belange der Informationssicherheit angemessen berücksichtigt sind.
- Die Kommunikation mit externen Netzen ist besonders zu schützen. Dies betrifft sowohl Zugriffe von außen auf unser Netzwerk (z. B. Heimarbeitsplätze oder Partnernetzzugänge) als auch Zugriffe aus unserem Netzwerk in fremde Systeme. Zugriffe und durchgeführte Aktionen sind vom System zu protokollieren.
Bei der Entwicklung von Konzepten und der Einführung von Maßnahmen zur Informationssicherheit orientieren wir uns an allgemein anerkannten Standards der ISO 27000 Reihe.
Informationssicherheitsmanagementsystem
Die RealCore implementiert ein Informationssicherheitsmanagementsystem, welches sich an die Phasen eines Planen-Durchführen-Überprüfen-Agieren (PDCA) Kontrollprozesses orientiert.
- Der Informationssicherheitsprozess wird vom Lenkungsausschuss durch die Verabschiedung einer Leitlinie zur Informationssicherheit initiiert.
- Es gilt ein einheitliches Berichtswesen.
- Nachvollziehbare Dokumentation des Vorgehens und eine einheitliche Informationskategorisierung und Informationsklassifizierung.
- Durchführung regelmäßiger Kontrollen der Wirksamkeit gemäß den Maßnahmen.
Informationssicherheitsrichtlinien
Informationssicherheitsrichtlinien dienen der thematischen Regelung und Steuerung der Informationssicherheit. Diese Richtlinien werden im Rahmen des Informationssicherheitsprozesses angepasst, ergänzt oder außer Kraft gesetzt. Die Informationssicherheitsrichtlinien sind für alle Beschäftigten frei zugänglich und einsehbar zur Verfügung zu stellen. Für Externe relevante Dokumente werden im Einzelfall bestimmt und entsprechend zur Verfügung gestellt
Informationssicherheitsorganisation
Eine tragfähige Umsetzung der Informationssicherheit ist nur in Teamarbeit unter aktiver Mitarbeit jedes einzelnen Beschäftigten möglich.
Dazu ist es erforderlich, die Ziele der Informationssicherheit und die daraus folgenden Maßnahmen zu definieren und umzusetzen.
Die oberste Leitung ist für die Einhaltung der Informationssicherheit der internen Organisationseinheiten und ggf. verbundener Unternehmen verantwortlich, verabschiedet die vorliegende Informationssicherheitsleitlinie.
Als zentrale Informationssicherheitsinstanz ist ein zentraler ISB von der obersten Leitung berufen worden und berichtet entsprechend an diese.
(Bei Fragen zur Informationssicherheit ist dieser unter (infosec@realcore.de) zu erreichen.)
Leitaussagen zur Durchsetzungs- und Erfolgskontrolle
Die Durchsetzung dieser Leitlinie wird für die RealCore durch die oberste Leitung geregelt. Bestandteil dieser Regelung ist die Leitlinie zur Informationssicherheit sowie die dazugehörigen Richtlinien. Jeder Beschäftigte verpflichtet sich, sorgfältig mit den ihm zur Verfügung stehenden Informationen umzugehen. Grobfahrlässige Verletzung der Informationssicherheit kann zu disziplinarischen Folgen bis hin zur Kündigung des Arbeitsverhältnisses führen; straf- und zivilrechtliche Konsequenzen sind nicht ausgeschlossen. Bei finanziellen Schäden werden Haftungsansprüche und Regressforderungen geltend gemacht.
Aktualisierung der Leitlinie für Informationssicherheit
Das Sicherheitskonzept wird vom Informationssicherheitsbeauftragten jährlich auf seine Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst. Die oberste Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter und Externe sind angehalten, mögliche Verbesserungen oder Schwachstellen an den Informationssicherheitsbeauftragten (ISB) weiterzugeben. Durch ein kontinuierliches Controlling der Regelungen und deren Einhaltung werden das angestrebte Sicherheitsniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der Sicherheitstechnik zu halten.