Informationssicherheit

Leitlinie zur Informationssicherheit

Im Interesse von Kunden und Mitarbeitern der apro.gmbh Computer & Dienstleistung müssen Daten und IT-Prozesse durchgängig und wirksam vor Missbrauch und dem Verlust der Integrität, Vertraulichkeit und Verfügbarkeit bewahrt werden. Informationsverarbeitung spielt damit eine Schlüsselrolle für unsere Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen.

Ziele

A. Übergreifende Ziele

Angemessene Informationssicherheit ist integraler Bestandteil der Geschäftspolitik und leistet einen unverzichtbaren Beitrag zum Erfolg der apro.gmbh Computer & Dienstleistung. Informationssicherheit ist an den Geschäftszielen ausgerichtet und wird von der Geschäftsleitung verantwortet. Unsere Daten und unsere IT-Systeme in allen technikabhängigen und kaufmännischen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Standard-Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen. Schadensfälle mit hohen finanziellen Auswirkungen müssen verhindert werden.

Alle Mitarbeiter des Unternehmens halten die einschlägigen Gesetze (z. B. Strafgesetzbuch, Betriebsverfassungsgesetz, Handelsgesetzbuch, Sozialgesetzbuch, Gesetze und Regelungen zum Datenschutz) und vertraglichen Regelungen ein. Negative finanzielle und immaterielle Folgen für das Unternehmen sowie für die Mitarbeiter durch Gesetzesverstöße sind zu vermeiden. Alle Mitarbeiter und die Unternehmensführung sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften. Das Management und alle Mitarbeiter der apro.gmbh Computer & Dienstleistung sind zur Einhaltung der IT-Sicherheitsmaßnahmen verpflichtet. Externe Vertragspartner sind entsprechend zu verpflichten.

B. Detailziele

Verspätete oder fehlerhafte Managemententscheidungen können weitreichende Folgen nach sich ziehen. Daher ist für das Management bei wichtigen Entscheidungen der Zugriff auf aktuelle Steuerungsdaten wichtig. Für diese Informationen ist ein hohes Sicherheitsniveau in Bezug auf Verfügbarkeit und Integrität sicher zu stellen. Die Datenschutzgesetze und die Interessen unserer Mitarbeiter verlangen eine Sicherstellung der Vertraulichkeit der Mitarbeiterdaten. Die Daten und die IT-Anwendungen der Personalabteilung werden daher einem hohen Vertraulichkeitsschutz unterzogen. Gleiches gilt für die Daten unserer Kunden und Geschäftspartner. Für die apro.gmbh Computer & Dienstleistung ist die Aufrechterhaltung der Kommunikation nach außen zu den Kunden und Geschäftspartnern und der Zugriff auf die Kundendaten elementar.

Die Geschäftsabwicklung darf nicht verzögert oder gar gefährdet werden. Wenn vertraglich festgelegte Fristen nicht eingehalten werden können, kann dies weitreichende negative Folgen haben. Insbesondere eine mangelhafte Verfügbarkeit der IT-Systeme und der Daten, aber auch Fehlfunktionen können zu Erlösminderungen führen. Die Aufrechterhaltung der Kommunikation und der ständige Zugriff auf korrekte Daten für die Mitarbeiter der apro.gmbh Computer & Dienstleistung haben einen hohen Schutzbedarf. Einen besonderen Stellenwert besitzt das Thema Datensicherheit. Vertrauliche Kundeninformationen dürfen zu keinem Zeitpunkt in die Hände von unautorisierten Personen gelangen. Die Nutzung des Internets zur Informationsbeschaffung und zur Kommunikation ist für uns selbstverständlich. E-Mail dient als Ersatz oder als Ergänzung von anderen Bürokommunikationswegen. Durch entsprechende Maßnahmen wird sichergestellt, dass die Risiken der Internetnutzung möglichst gering bleiben.

Verantwortlichkeiten

Zur Erreichung der Informationssicherheitsziele wurde eine Sicherheitsorganisation eingerichtet. Es ist ein IT-Sicherheitsbeauftrage/r benannt worden. Der IT-Sicherheitsbeauftragte (kurz: IT-SiBe) berichtet in seiner Funktion direkt an die Unternehmensleitung. Dem IT-SiBe und den Administratoren werden von der Leitung ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren und die vom Management festgelegten Informationssicherheitsziele zu erreichen. Die Administratoren und der IT-SiBe sind durch die IT-Benutzer ausreichend in ihrer Arbeit zu unterstützen. Der IT-SiBe ist frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt Gleiches für den Datenschutzbeauftragten. Die IT-Benutzer haben sich in sicherheitsrelevanten Fragestellungen an die Anweisungen des IT-SiBe zu halten. Der IT-SiBe ist verantwortlich für die Erstellung, Verteilung sowie jährliche Aktualisierung der gesamten IT-Sicherheitsdokumentation.

Wenn es nennenswerte infrastrukturelle Änderungen im Unternehmen gibt, ist der IT-SiBe zu informieren, da ggfs. die IT-Sicherheitsdokumentation angepasst werden muss. Es wurde ein Datenschutzbeauftragter (kurz: DSB) bestellt. Der DSB hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Der DSB ist angehalten, sich regelmäßig weiterzubilden.

Informationssicherheitsframework

Das vorliegende Dokument „Leitlinie zur Informationssicherheit“ definiert die Grundsätze zur Informationssicherheit bei der apro.gmbh Computer & Dienstleistung. Die Anforderungen werden in weiteren, themenspezifischen Richtlinien und Verfahrensanweisungen konkretisiert. Aus diesen Richtlinien leiten sich für einzelne Themen weitere Arbeitsanweisungen, Checklisten und Konfigurationsstandards ab.

Übergreifende Sicherheitsmaßnahmen

Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt und Zugriffsberechtigungen vergibt. Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter ihre Aufgaben erfüllen können. Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt. Computer-Viren-Schutzprogramme werden auf allen Windows IT-Systemen eingesetzt. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.

Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind. Alle kritischen Systeme müssen mit den neuesten Versionen der entsprechenden Software-Patches für den Schutz vor Ausnutzung und Beeinträchtigung von Karteninhaberdaten durch böswillige Personen und Software versehen sein. Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, müssen konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben sein. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben. IT-Benutzer nehmen regelmäßig (erstmalig nach der Ersteinstellung und danach jährlich) an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Fort- und Weiterbildung. Die Teilnahme an Security-Awareness-Maßnahmen ist für alle Mitarbeiter des Unternehmens verpflichtend und wird entsprechend dokumentiert.

Verbesserung der Sicherheit

Das Managementsystem der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Unternehmensleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Die Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.