Policy Regelungen für Geschäftspartner von Siemens

Transkript

1 Informationssicherheit Policy Regelungen für Geschäftspartner von Siemens Grundlegenden Regeln für den Zugriff auf Siemens-interne Informationen und Systeme

2 Policy Regelungen für Geschäftspartner von Siemens Ausgabe P-RBP Regelwerk zur Informationssicherheit gültig ab , ersetzt bisherige Regelungen. Siemens AG, All Rights Reserved Inhalt 1 Ziele Verantwortlichkeiten Risiken Geltungsbereich 5 2 Zielgruppen 6 3 Regeln Allgemeine Regeln für alle Geschäftspartner von Siemens Umgang mit Informationen Zugangs- und Zutrittsberechtigungen Beendigung der Tätigkeit Schwachstellen und Vorfälle Gesetzliche Regelungen Regeln für Geschäftspartner mit Arbeitsplatz bei Siemens Regeln für Geschäftspartner, die auf eigenen Systemen arbeiten Regeln für Geschäftspartner mit Anschluss zu Ressourcen im Siemens-Intranet 13 Herausgeber: Corporate Information Office Governance Information Security (CIO G IS) 2/13 Nr. P-RBP Nr. P-RBP /13

3 1 Ziele Diese Policy regelt den Zugriff auf siemensinterne Informationen und Siemens-Systeme für Geschäftspartner des Hauses Siemens. Informationen jeglicher Art, z.b. Dokumente, Bilder, Zeichnungen, Daten und Programme auf Papier oder magnetischen, elektronischen, optischen oder anderen Informationsträgern, stellen für das Haus Siemens einen wesentlichen Teil des firmeninternen Know-how dar. Diese Informationen sind zusammen mit den zu ihrer Verarbeitung und Übertragung eingesetzten Informationssystemen wertvolles und schützenswertes Firmeneigentum. 1.1 Verantwortlichkeiten Unseren Geschäftspartnern gewähren wir zum gegenseitigen Nutzen und zur Steigerung der Effizienz der Geschäftsabwicklung den Zugriff auf firmeninterne Informationen und ermöglichen ihnen die Nutzung siemensinterner Systeme und Netze. Es ist im Interesse des Hauses Siemens, dass dabei ein wirksamer Schutz dieser Informationen, Informationssysteme und Netze gegen unberechtigten Zugriff und Manipulation gewährleistet ist. Dazu ist es erforderlich, dass unsere Geschäftspartner und ihre Mitarbeiter die hier beschriebenen Regeln einhalten. Die vorliegende Unterlage wendet sich an Geschäftspartner und ihre Mitarbeiter, die Zugriff auf Siemens-Systeme und siemensinterne Informationen haben. Der Geschäftspartner (bzw. der dort verantwortliche Projektleiter) händigt diese Regelungen den betreffenden Mitarbeitern aus, verpflichtet sie (möglichst schriftlich) auf die Einhaltung dieser Regeln und prüft dies auf geeignete Weise. In dieser Policy werden Geschäftspartner und deren Mitarbeiter zusammenfassend als Geschäftspartner bezeichnet. 1.2 Risiken Bei Siemens sind umfangreiche Maßnahmen zum Schutz von Informationen und Informationssystemen eingeführt, z.b. zum Schutz der Vertraulichkeit, Schutz vor Computerviren, Schutz der Systeme gegen Hacking. Wenn Geschäftspartner diese Maßnahmen nicht entsprechend unterstützen, besteht das Risiko, dass die eingeführten Schutzmaßnahmen unterlaufen 1.3 Geltungsbereich Diese Policy ist der Teil des Siemens- Regelwerkes zur Informationssicherheit der für Geschäftspartner bestimmt ist. Falls es nicht möglich ist, einzelne Regeln exakt durchzuführen, müssen angemessene Methoden abgesprochen und angewendet werden, um das entsprechende Sicherheitsniveau zu erzielen. Das Einhalten der Maßnahmen zur Informationssicherheit wird im Hause Siemens kontrolliert. Falls Geschäftspartner die vorliegenden Regelungen missachten, kann dies zur Sperrung von Zutrittsberechtigungen zum Siemens-Gelände bzw. von Zugangsberechtigungen zu Siemens- Systemen führen sowie rechtliche Konsequenzen 4/13 Nr. P-RBP Nr. P-RBP /13

4 und Schadensersatzforderungen nach sich ziehen. 2 Zielgruppen Diese Policy wendet sich an alle Geschäftspartner, mit denen Siemens zusammenarbeitet. Je nach Art der Zusammenarbeit gibt es bestimmte Zielgruppen, nämlich alle Geschäftspartner, Geschäftspartner mit Arbeitsplatz bei Siemens, Geschäftspartner, die auf eigenen Systemen (z.b. PC, Notebook) arbeiten, Geschäftspartner mit Anschluss zu Ressourcen im Siemens-Intranet (z.b. Online-Zugriffe von eigenen Systemen). 3 Regeln 3.1 Allgemeine Regeln für alle Geschäftspartner von Siemens Umgang mit Informationen Alle Informationen des Hauses Siemens müssen unabhängig von ihrer Erscheinungsform und ihrem Informationsträger gemäß ihrer Einstufung geschützt Für die nicht öffentlichen Informationen, zusammenfassend als firmenvertrauliche Informationen bezeichnet, sind drei Schutzklassen vorgesehen: Nur für internen Gebrauch, Vertraulich und Streng vertraulich. Entsprechend der Schutzklasse sind Maßnahmen erforderlich, die mit zunehmendem Schutzbedarf verschärft werden, bei Kennzeichnung/Erstellung, Verteilung, Versand und Übertragung, Aufbewahrung und Speicherung, Entsorgung/Vernichtung/Löschung. Legen Sie in Absprache mit ihren Ansprechpartnern bei Siemens den Vertraulichkeitsgrad der Ihnen überlassenen oder von ihnen erstellten Informationen fest. 6/13 Nr. P-RBP Nr. P-RBP /13

5 Beachten Sie die für Sie zutreffenden Maßnahmen, auf die Sie im Rahmen Ihrer Tätigkeit oder vertraglicher Vereinbarungen hingewiesen Firmenvertrauliche Informationen dürfen nicht in die Hände Unbefugter gelangen, in Gesprächen an Unbefugte weitergegeben oder von Unbefugten mitgehört Beachten Sie, dass die Ausfuhr oder Verbringung von Siemens-Informationen gem. US-, EUoder nationalen Ausfuhrvorschriften genehmigungspflichtig sein kann. Klären Sie dies bei Bedarf mit der beteiligten Siemens-Dienststelle und holen Sie die entsprechenden Genehmigungen rechtzeitig ein. Beachten Sie, dass die Exportvorschriften auch dann gelten, wenn die Informationen über Kommunikationsnetze (z.b. per oder File-Transfer) ins Ausland übertragen Bringen Sie bei Bedarf auf Dokumenten und Datenträgern in Absprache mit den Ansprechpartnern bei Siemens zusätzlich einen Copyright-Vermerk in der Form Copyright (C) Siemens AG, JJJJ All Rights Reserved oder Siemens AG, JJJJ All Rights Reserved an, um dieses Urheberrecht zu dokumentieren. (JJJJ gibt dabei immer das Jahr der ersten Veröffentlichung an). Bei Aktualisierungen kann dieser Schutzvermerk in der folgenden Form ergänzt werden Copyright (C) Siemens AG, JJJJ - AAAA All Rights Reserved oder Siemens AG, JJJJ - AAAA All Rights Reserved (AAAA bezeichnet dabei das Jahr der letzten Aktualisierung) Zugangs- und Zutrittsberechtigungen Soweit Sie Zugangs- und Zutrittsberechtigungen erhalten, sind diese nur im Rahmen der vereinbarten Aufgaben oder Tätigkeiten persönlich zu verwenden Beendigung der Tätigkeit Übergeben Sie der beteiligten Siemens- Dienststelle bei Beendigung der Zusammenarbeit (sofern nichts anderes vereinbart wurde): die Ihnen überlassenen Dokumente und Arbeitsmittel, die von Ihnen erstellten Informationen sowie Datenträger einschließlich Kopien und Entwürfe, die Ihnen erteilten Zutritts- oder Zugangsberechtigungen Schwachstellen und Vorfälle Sofern Sie Schwachstellen und Vorfälle mit Auswirkung auf die Informationssicherheit erkennen, melden Sie diese den Ansprechpartnern bei Siemens umgehend. 8/13 Nr. P-RBP Nr. P-RBP /13

6 3.1.5 Gesetzliche Regelungen Beachten Sie die jeweils gültigen Datenschutzgesetze und deren lokale Ausführungsbestimmungen und andere gesetzliche Regelungen unabhängig von den hier beschriebenen Regeln. 3.2 Regeln für Geschäftspartner mit Arbeitsplatz bei Siemens Beachten Sie alle für Sie zutreffenden Maßnahmen zur Informationssicherheit, auf die Sie im Rahmen Ihrer Tätigkeit oder vertraglicher Vereinbarungen hingewiesen Schreibtische und Schränke müssen vor Beendigung der Arbeitszeit verschlossen werden, falls sie vertrauliche oder streng vertrauliche Unterlagen/Datenträger enthalten. Beachten Sie die lokal angewendeten Schutzmaßnahmen beim Telefonieren, Versenden und Empfangen von Faxsendungen und beim Kopieren. Die Mitnahme von Ihnen überlassenen Dokumenten, Arbeitsergebnissen, Datenträgern oder IT-Systemen außerhalb der Firmenräume ist nur zulässig nach entsprechender Vereinbarung und Berücksichtigung der dafür geltenden Regeln. Nutzen Sie Informationssysteme (z.b. PC, Workstations) nur für die zugewiesenen Aufgaben. Beachten Sie, dass die Nutzung von Siemens-Systemen für private Zwecke untersagt ist. Nutzen Sie die vorhandenen Schutzmechanismen beim Zugang zu Informationssystemen (z.b. PC, Workstations), einzelnen Anwendungen oder auch schützenswerten Dateien, wie z.b. Kennungen mit Passwort, PIN oder Chipkarte. Behandeln Sie die verwendeten Schutzmittel mit Sorgfalt. Schutzmittel wie z.b. Passwörter und Chipkarte dürfen nicht weitergegeben oder offengelegt Für Definition und Wechsel von Passwörtern können über Systemeinstellungen Regeln vorgegeben sein, die nicht umgangen werden können. Soweit die Passwortqualität von Ihnen bestimmt wird, beachten Sie folgende Regeln: Passwörter aus Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen soweit möglich bilden. Mindestens 8 Zeichen bzw. maximal mögliche Anzahl verwenden. Passwortwechsel mindestens alle 90 Tage. Keine alten Passwörter wieder verwenden. Bei Verdacht der Offenlegung das Passwort sofort wechseln. Hinterlegen Sie Passwörter auf Verlangen der Ansprechpartner bei Siemens. Sperren Sie auch bei kurzer Abwesenheit vom Arbeitsplatz die geöffneten Zugänge, z.b. durch Einschalten eines Bildschirmschoners oder Entfernen der Chipkarte aus dem Kartenleser. Auf den Systemen installierte Sicherheitseinstellungen, Systemeigenschaften oder Vorkehrungen zum Schutz vor Computerviren oder anderer Schadenssoftware dürfen nicht außer Betrieb genommen, verändert oder umgangen 10/13 Nr. P-RBP Nr. P-RBP /13

7 Soweit eine Nutzung des Internets möglich ist, müssen lokale Regelungen, z.b. die Internet- Nutzungsordnung Deutschland, beachtet Bei Verdacht auf nicht automatisch zu erkennende oder zu beseitigende Computerviren oder bei Ablaufproblemen der Virenschutzprogramme sind die örtlich zuständigen Ansprechpartner bei Siemens unverzüglich zu informieren. Nutzen Sie nur nach entsprechender Einweisung. Die Nutzung der -Verschlüsselung ist nur nach entsprechender schriftlicher Vereinbarung und Berücksichtigung der dafür geltenden Regelungen möglich. Die automatische Weiterleitung von empfangener an externe Postfächer, z.b. private E- Mail-Adresse, externe -Provider, ist untersagt. Die Initiierung oder Weiterleitung von Kettenbriefen ist untersagt. Nutzen Sie zur Datenablage gesicherte File- Server im Netz (z.b. zentrale Netzlaufwerke), für die eine regelmäßige Datensicherung erfolgt. 3.3 Regeln für Geschäftspartner, die auf eigenen Systemen arbeiten Schützen Sie Ihre Systeme vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit aller Daten oder Informationen, die für Siemens erstellt, bearbeitet oder gespeichert werden oder die für Siemens wichtig sind. Führen Sie geeignete eigene Maßnahmen durch zu Datensicherung Virenschutz Zugangs- und Zugriffsschutz. Übergeben Sie Daten nur mit den vereinbarten Verfahren nach Virenprüfung Löschen und entsorgen Sie alle innerhalb der Zusammenarbeit entstandenen Daten, Dokumente und Datenträger sowie deren Kopien o- der Datensicherungen nach Übergabe bzw. Beendigung der Zusammenarbeit sachgerecht. Benutzen Sie zur sicheren Entsorgung firmenvertraulicher Dokumente und Datenträger die Siemens-internen Einrichtungen, wenn sie keine geeigneten Möglichkeiten haben. Der direkte Anschluss eigener Systeme an Siemens-interne Netze ist nicht zulässig. 3.4 Regeln für Geschäftspartner mit Anschluss zu Ressourcen im Siemens-Intranet Betreiben Sie den Anschluss nur in der mit Siemens vereinbarten technischen Konfiguration und an den dafür vorgesehen Systemen. Behandeln Sie Informationen über Strukturen, Zugangsmöglichkeiten (z.b. Nummern von Wählleitungen, Netzadressen) und Sicherheitsvorkehrungen der siemensinternen Systeme und Netze vertraulich. 12/13 Nr. P-RBP Nr. P-RBP /13