Konzept zu Qualität und Sicherheit

Transkript

1 Konzept zu Qualität und Sicherheit In der Auftragsdatenverarbeitung codia Scan-Logistik GmbH Nödiker Str Meppen Tel /

2 codia Scan-Logistik GmbH Nödiker Str Meppen Telefon: / Telefax: / Qualitäts- und Sicherheitskonzept Blatt 2 von 11 Vorwort Die codia Scan-Logistik GmbH als Partner für Dienstleistungen und technische Lösungen in der Massendigitalisierung gewährleistet eine sichere störungs- und fehleroptimierte Verarbeitung von Aktenmaterial jeder Form und Qualität. Um den Anforderungen der ISO 9001, des BSI-Grundschutz (ISO 27001) sowie den Anforderungen der TR RESISCAN zu entsprechen, sind die folgenden technischen und konzeptionellen Strukturen bei der codia Scan-Logistik GmbH umgesetzt worden. Die Umsetzung und Einhaltung dieser Strukturen wird in Echtzeit kontrolliert sowie projektabhängig protokolliert. Dieses Dokument beschreibt sowohl die Verarbeitungsprozesse im Hause, als auch die zu Grunde liegenden Konzepte und Sicherheitseinrichtungen der codia Scan-Logistik. Wir hoffen, das sämtliche Angaben und Informationen verständlich und nachvollziehbar dargestellt worden sind und freuen uns auf ein gemeinsames Projekt mit Ihnen. Heiko Logemann Geschäftsführer codia Scan-Logistik GmbH Qualitäts- und Sicherheitskonzept

3 Inhaltsverzeichnis 1 Verarbeitungsort und Räumlichkeiten Lage Zutrittskontrolle / Gebäudesicherheit Transportwege und Logistik Transportfahrzeuge Transportbehältnisse Materialeingang / Dokumentation Lagerorte Technik Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot Personal Personalauswahl Datengeheimnis / Verpflichtungserklärungen Aus- und Weiterbildung Versionshistorie / Impressum codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 3

4 1 Verarbeitungsort und Räumlichkeiten 1.1 Lage Die Produktions- und Verarbeitungsräumlichkeiten der codia Scan-Logistik GmbH befinden sich in unmittelbaren Nähe zum Standort der codia Software GmbH in Meppen. Es handelt sich um einen Bürotrakt in Massivbauweise sowie eine angebaute Lagerhalle in Aluminiumbauweise auf massivem Fundament. Auf einer Fläche von 750m² dienen hier 500m² als Lager- und Logistikfläche und 250m² zur Verarbeitung des Scangutes. Es sind weitere Ausbaureserven vorhanden. 1.2 Zutrittskontrolle / Gebäudesicherheit Als Zutrittskontrolle für das Gebäude finden folgende technischen Einrichtungen Anwendung : Netzunabhängige Alarmanlage mit Aufschaltung (GSM-Modul dadurch unabhängig von physischer Verbindung) Transponder-Schließsystem mit Kontrollfunktion der Nutzung Schließsystem mit Codesperren für die Verarbeitungsräume Videoüberwachung via WLAN-IP-Kameras der Zugänge und Verarbeitungsräume außerhalb der Arbeitszeit (externe Speicherung der Motion-Trackings ) Bewegungsmelder in allen Bereichen der Logistik und Produktion Sicherheitsschlösser in allen hausinternen Übergangsbereichen Einbruchhemmende Fenster- und Türrahmen mit 6 Zuhaltungen Dokumentierte Schlüsselregelung und -vergaberegelung Personenkontrolle von Besuchern beim Empfang Protokollierung der Besucher / schriftliche Dokumentation der Einhaltung und Unterweisung nach 5 BDSG Tragepflicht von Besucherausweisen Verbot der Nutzung von mobilen Endgeräten für Mitarbeiter und Besucher Sorgfältige Auswahl von Reinigungspersonal codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 4

5 2 Transportwege und Logistik 2.1 Transportfahrzeuge Für die Transportwege des Dokumentmaterials nutzt die codia Scan-Logistik GmbH ausschließlich firmeneigene Fahrzeuge sowie Personal. Ein Transport durch Subunternehmer wird nicht durchgeführt. Die Fahrzeuge unterliegen GPS-Ortung und sind jederzeit telefonisch erreichbar. 2.2 Transportbehältnisse Grundsätzlich obliegt die Anschaffung geeigneter Transportbehältnisse dem Auftraggeber (siehe AGBs codia Scan-Logistik). Sofern die codia Scan-Logistik mit der Beschaffung beauftragt wird, werden grundsätzlich stabile TÜV-geprüfte Behältnisse eingesetzt, die beim Verpacken mit einem eindeutigen Barcode sowie einem entsprechenden Lieferschein versehen werden. 2.3 Materialeingang / Dokumentation Der Materialeingang wird im Logistiksystem (cresimanager) bei Eintreffen dokumentiert. Somit sind die folgenden Informationen jederzeit abrufbar : - Behältnis und Inhalt (Lieferschein) - Kommissionseinheit (Palette) - Lagerort Das Logistiksystem überwacht ebenfalls die folgenden Verarbeitungsschritte : - Beginn der Verarbeitung (Lagerwirtschaft zu Produktion) - Verarbeitungsstand (automatische Anlage von Scanstapeln analog Lieferschein) - Abschluss der Verarbeitung (Produktion zu Lagerwirtschaft) - Kommissionierung zum Rücktransport / zur Vernichtung - Abtransport (Rücklieferung bzw. Vernichtung Verlassen der Obhut) 2.4 Lagerorte Als Lagerorte dienen feuerverzinkte Aluminiumkabinen, welche separat und unabhängig voneinander verschlossen, beheizt und / oder belüftet werden können (z.b. bei Schimmelbefall des Scangutes). Die Lagerorte werden ebenfalls videoüberwacht. codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 5

6 3 Technik 3.1 Zugangskontrolle Die technische Abbildung der Zugangskontrolle zum Scangut umfasst die folgenden Sicherungsmassnahmen : Zuordnung von Benutzerrechten Erstellen von Benutzerprofilen Authentifikation mit Benutzername / Passwort Personenkontrolle beim Pförtner / Empfang (Näheres siehe Punkt 1.2.1) Protokollierung der Besucher (Näheres siehe Punkt 1.2.1) Sorgfältige Auswahl von Reinigungspersonal Tragepflicht von Besucherausweisen Verschlüsselung von mobilen Datenträgern (AES-256bit) Verschlüsselung von Datenträgern in Laptops / Notebooks (Bitlocker-Technologie) Physische Trennung von zwei Netzwerken : o Produktionsnetzwerk hardwareseitig Offline (Keine Verbindung von und zu extern möglich). o Kommunikationsnetzwerk (online) softwareseitig geschützt durch : Antivirus (Avast), Windows-Firewall, Laufwerksverschlüsselung (Bitlocker) 3.2 Zugriffskontrolle Der Zugriff in beiden o.g. Netzwerken wird wie folgt abgebildet : Erstellen eines Berechtigungskonzepts Verwaltung der Rechte durch Systemadministrator Anzahl der Administratoren auf das Notwendigste reduziert Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten (Logfiles in der Produktion analog Verfahrensdokumentation) Sichere Aufbewahrung von Datenträgern (Tresore nach VdS-Standard) physische Löschung von Datenträgern vor Wiederverwendung (nach Gutmann -Verfahren mit 35 Löschdurchgängen und entsprechendem Protokoll) auf Wunsch ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) Einsatz von zertifiziertem Aktenvernichter bzw. Dienstleister (DIN 66399) Protokollierung der Vernichtung Verschlüsselung von Datenträgern (AES 256-bit) codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 6

7 3.3 Weitergabekontrolle Eine Weitergabe von digitalem Datenmaterial erfolgt ausschließlich zwischen Auftraggeber und Auftragnehmer und unterliegt folgenden technischen Sicherheitseinrichtungen : Weitergabe von Daten in anonymisierter oder pseudonymisierter Form Online -Laufwerke ausschließlich in Rechenzentren innerhalb der Bundesrepublik Deutschland (ISO zertifiziert) Zugriff zeitgetunnelt und passwortgeschützt (Übergabe Passwort auf zweitem Übertragungsweg z.b. fernmündlich) Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen Beim physischen Transport: Übergabe ausschließlich durch firmeneigenes Personal erforderliches Passwort wird auf zweitem Weg übertragen. Unseren Mitarbeitern sind diese Passwörter nicht bekannt. 3.4 Eingabekontrolle Eine Kontrolle der Datenerfassung bzw. eingabe erfolgt auf folgenden Wegen: Protokollierung der Eingabe, Änderung und Löschung von Daten (LogFile konform zur TR BSI) Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können (Protokoll zu Client-Bestückungen) Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 7

8 3.5 Auftragskontrolle Typische Maßnahmen (nur Stichworte) sind z.b.: Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen schriftliche Weisungen an den Auftragnehmer (z.b. durch Auftragsdatenverarbeitungsvertrag) i.s.d. 11 Abs. 2 BDSG Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ( 5 BDSG) Auftragnehmer hat Datenschutzbeauftragten bestellt Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten Vertragsstrafen bei Verstößen 3.6 Verfügbarkeitskontrolle Es werden folgende Maßnahmen ergriffen die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind : Unterbrechungsfreie Stromversorgung (USV) Klimaanlage in Serverräumen Geräte zur Überwachung von Temperatur und Feuchtigkeit im Serverraum Schutzsteckdosenleisten im Serverraum Feuer- und Rauchmeldeanlage (aufgeschaltet) Feuerlöschgeräte in unmittelbarer Nähe zum Serverraum Alarmmeldung und Videoaufnahme bei unberechtigten Zutritten zu Serverräumen Backup- & Recoverykonzept ( In-House sowie Out-House ) Testen von Datenwiederherstellung (automatische CRC-Konsistenzprüfungen der Backups) Notfallpläne analog BSI M6.xxx ff Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Serverräume nicht unter sanitären Anlagen Kein hochwassergefährdetes Gebiet (prophylaktische Versicherung gegen Elementarschäden vorhanden) codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 8

9 3.7 Trennungsgebot Folgende Maßnahmen wurden ergriffen die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Logische Mandantentrennung (softwareseitig) Dokumentiertes Berechtigungskonzept (projekt- und mandantenabhängig) Versehen der Datensätze mit Zweckattributen/Datenfeldern/Indexinformationen Trennung der Zuordnungsdatei und der Aufbewahrung auf getrennten, abgesicherten IT- Systemen Festlegung von Datenbankrechten Trennung von Produktiv- und Testsystem 4 Der Scanprozess 4.1 Verarbeitung analog TR Um eine gleichbleibende Qualität und Nachvollziehbarkeit des Scanprozesses zu gewährleisten, arbeitet die codia Scan-Logistik GmbH analog der Technischen Richtlinie TR RESISCAN des PSI für ersetzendes Scannen. Das jeweilige Verfahren wird an die Projektspezifika angepasst und in einer entsprechenden Verfahrensdokumentation erfasst. 4.2 Störungsüberwachung und beseitigung Das Mitarbeiterhandbuch der codia Scan-Logistik regelt die eindeutige Informations- und Informationskette beim Umgang mit Störungen im Scanprozess. Hierzu existieren entsprechende Notfallpläne analog der Vorlagen M6.xxx BSI (Siehe 3.6) codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 9

10 5 Personal Unsere Mitarbeiterinnen und Mitarbeiter werden nach dem Gleichbehandlungsgrundsatz ausgewählt und gemäß ihrer Qualifikation und Veranlagung eingesetzt. Der Besitz einer aktuell gültigen Fahrerlaubnis wird in halbjährlichem Abstand überprüft und entsprechend dokumentiert. 5.1 Personalauswahl Die Personalauswahl obliegt ausschließlich der Geschäftsleitung. Wir unterstützen Maßnahmen zur Förderung der Vereinbarkeit von Familie und Beruf und bieten Integrationsarbeitsplätze. Des Weiteren wird künftig die Ausbildung in folgenden Berufen angeboten : - Fachinformatiker/in (Schwerpunkt Anwendungsentwicklung) - Fachinformatiker/in (Schwerpunkt Systemintegration) - Kauffrau / Kaufmann für Bürokommunikation 5.2 Datengeheimnis / Verpflichtungserklärungen Jedem Arbeitsvertrag liegt die Verpflichtungserklärung zur Einhaltung des Datenschutzes und des Datengeheimnisses nach Bundesdatenschutzgesetz (BDSG) sowie die Verpflichtung zur Einhaltung des Datengeheimnisses nach 5 BDSG zu Grunde. 5.3 Aus- und Weiterbildung Jeder unserer Mitarbeiter / Mitarbeiterinnen wird in die entsprechenden Arbeits- und Prozessschritten eingewiesen und geschult. Diese Maßnahmen werden im HRM-System dokumentiert und in regelmäßigen Abständen in unserem Schulungsportal abgefragt. Die jeweilige Teamleitung wird in die projektbezogenen Besonderheiten eingewiesen und erhält Zugriff auf die Projektverwaltung des CRM-Systems. Hier sind alle erforderlichen Projektaufgaben und Milestones tagesaktuell geführt und jederzeit einsehbar. Die Weitergabe dieser Informationen an die Projektmitarbeiter ist Grundlage der Stellenbeschreibung (codia Scan-Logistik Jobcode-Handbuch) codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 10

11 6 Versionshistorie / Impressum Version 1.0 vom Autor : Heiko Logemann 2016 codia Scan-Logistik GmbH Nödiker Str Meppen Produktionsstandort : Dieselstr Meppen Fon : Fax : info@codia-sdl.de codia Scan-Logistik Qualitäts- u.sicherheitskonzept Seite 11