ISMS IT- Sicherheitspolitik gemäß DIN EN ISO und DIN EN ISO 27002

Transkript

1 ISMS IT- Sicherheitspolitik gemäß

2 Erstellt von: Geprüft von: Freigegeben von: Version: Datum: Datum: Datum: Beispielhafte Darstellung der Sicherheitspolitik! Bitte entsprechend auf Ihr Unternehmen anpassen! Ziele und Grundsätze der IT Sicherheit 1. Sicherheitsrichtlinie 1.1. Einleitung und Geltungsbereich Die Richtlinie beschreibt Grundsätze für einen angemessenen Schutz von Mitarbeitern und Informationen im Musterunternehmen. Diese Richtlinie ist unter Berücksichtigung der Normenreihe ISO aufgestellt worden. Der Geltungsbereich ist das Musterunternehmen mit Hauptsitz in XYZ. Ebenso zum Geltungsbereich gehören alle Niederlassungen und Geschäftstellen in XYZ. Herausgeber und verantwortlich für die Aktualisierung ist der IT-Sicherheitsbeauftragte. Die im Intranet freigegebene und veröffentliche Fassung ist die gültige und verbindliche Fassung. Druckversionen dienen nur der Information. Falls lokale Regelungen erforderlich sind, sind diese Änderungen mit dem IT- Sicherheitsmanagement abzustimmen. Die nachfolgenden Grundsätze der Richtlinie gelten uneingeschränkt und unmittelbar, unabhängig von der Erstellung eigener Regelungen Grundsätze Alle Mitarbeiter sind verpflichtet, die Informationen zu schützen, damit dem Unternehmen durch die unberechtigte Nutzung von Informationen kein Schaden entsteht. Das Sicherheitsmanagement unterstützen Mitarbeiter und Führungskräfte bei der Umsetzung aller Sicherheitsrichtlinien und führt angemessene Kontrollen durch. Ziel ist, die Sicherheit der IT im Unternehmen aufrecht zu erhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen, Image-Schäden für die Organisation sowie Missbrauch von organsiations eigenen Daten muss verhindert werden. Seite 2 von 10

3 1.3. Zuständigkeit Der IT Sicherheitsbeauftragte, der von der Geschäftsleitung des Musterunternehmens eingesetzt wird, und das Sicherheitsmanagementteam stellen die Entwicklung der Informationssicherheitspolitik und der damit verbundenen Standards sicher. Der IT-Sicherheitsbeauftragte und das Sicherheitsmanagement verfolgen die Umsetzung der Sicherheitspolitik des Musterunternehmens vereinbaren entsprechende Maßnahmen. Das IT-Sicherheitsmanagement berät in Sicherheitsfragen, überwacht das Einhalten der Sicherheitsvorschriften und ermittelt und betreibt Aufklärung im Schadensfall. Das Sicherheitsmanagement ist verantwortlich für: die Eskalation etwaiger Risiken an die Geschäftsleitung. die Beratung der Mitarbeiter zu Fragen des IT-Sicherheitsmanagements. für die Schulung der Mitarbeiter in Fragen der IT-Sicherheit. Elemente des IT-Sicherheitsmanagements sind: der IT Sicherheitsbeauftragte die IT-Sicherheitsbeauftragten einzelner Bereiche der Qualitätsmanagementbeauftragte Die zuständigen Stellen der Informationsverarbeitung: unterstützen die Belange des Informationsschutzes, schaffen technische Voraussetzungen für einen ausreichenden Schutz der betrieblichen Informationen, die mittels Informationstechnologie gespeichert, verarbeitet und übermittelt werden und überwachen - zusammen mit den Funktionen der Sicherheit - die Einhaltung der Sicherheitsmaßnahmen. 2. Informationsschutz Schäden für das Unternehmen oder Dritte können entstehen, wenn Unbefugte oder Nicht-Berechtigte Kenntnis von internen Informationen erlangen und diese zum Nachteil des Musterunternehmens verwenden. Daher müssen alle Berechtigten einen wirkungsvollen Schutz der Informationen sicherstellen, unabhängig von der Form, in der sie vorliegen. Beispiele: persönliche Übermittlung, Telefonate, Fax, Schriftstücke, Datenträger, Programmcodes Seite 3 von 10

4 2.1. Vorgaben Als Berechtigte dürfen alle Mitarbeiter des Musterunternehmens und externe Partner, die mit der Firma in einer Geschäftsbeziehung stehen, die zur Erfüllung ihrer Aufgaben erforderlichen Informationen erhalten. Alle Mitarbeiter sind verpflichtet, durch ihr Verhalten Informationen zu schützen, damit Schaden vom Unternehmen abgewendet wird Regeln zur Behandlung von Informationen Alle das Musterunternehmen sowie dessen Mitarbeiter und Kunden betreffenden Informationen, sind entsprechend den nachfolgenden Regeln zu behandeln: Ausnahme: Pressemitteilungen oder Vorträge und Beiträge in Publikationen. Nur autorisierte Stellen, wie z.b. die Marketing-Abteilung und die Geschäftsführung, dürfen die Presse informieren. Im Zweifel sind Informationen vertraulich zu behandeln Festlegung der Schutzklassen bzgl. der Vertraulichkeit Für alle Informationen und Dokumente gelten die folgenden Schutzklassen: offen (public) Keine Kennzeichnungspflicht nur für internen Gebrauch (for internal use only) Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der Interessen des Musterunternehmens schaffen. Beispiele: Besprechungsprotokolle, Projektdokumentationen, Arbeitsbeschreibungen, Softwareprogramme. vertraulich (confidential) Informationen, die bei Veröffentlichung eine schwere Schädigung der Interessen des Musterunternehmens wahrscheinlich machen würden, und Informationen, die nach dem Bundesdatenschutzgesetz unter strafrechtlichem Geheimhaltungsschutz stehen. Beispiele: Vertragsunterlagen, Marketingstrategien, Organigramme, Bilanz- und Steuerunterlagen, jegliche personenbezogenen Daten (Mitarbeiterdaten, Kundendaten) Seite 4 von 10

5 Festlegung der Verantwortlichkeiten und der Vorgehensweise Jeder Informationsinhaber ist für den Schutz der Informationen verantwortlich, also für Kennzeichnung, Aufbewahrung, Speicherung, Verarbeitung, Weitergabe und Vernichtung. Führungskräfte veranlassen für ihre Aufgabenumfänge und Geschäftsprozesse Schutzmaßnahmen für die Informationen. Hierbei sind Verfügbarkeit, Integrität und Authentizität sowie die Vertraulichkeit der Informationen zu berücksichtigen. Der Informationsgeber stellt bei Informationen mit vertraulichem Inhalt sicher, dass der Informationsempfänger über den Grad der Vertraulichkeit und den besonderen Umgang mit einer Information Kenntnis erhält. Hierzu muss die Information unabhängig von der Art der Übermittlung entsprechend den gültigen Regeln gekennzeichnet und geschützt werden. Kundendaten und Informationen, die den Kunden betreffen, sind vertraulich und zweckbestimmt zu behandeln Festlegung des Umgangs und der Kennzeichnung von Informationen und Dokumenten Kennzeichnung und Verwendung vertraulicher Informationen Vertrauliche Informationen in schriftlicher Form werden als vertraulich gekennzeichnet. Die Kennzeichnung von vertraulichen Schriftstücken erfolgt deutlich lesbar. Bei neu zu erstellenden, nicht gekennzeichneten und vertraulichen Dokumenten ist die Vorlage Vertraulich zu verwenden. Vertrauliche Informationen in elektronischer Form sowie in s sind zu verschlüsseln. Vertrauliche Informationen, die per Post versendet werden, sind in einem verschlossen Umschlag mit vertraulich zu kennzeichnen. Der Informationsempfänger ist verpflichtet, als vertraulich bezeichnete Informationen nicht ohne vorherige schriftliche Zustimmung vom Informationsgeber zu anderen als den vereinbarten Zwecken zu verwenden oder Dritten zugänglich zu machen. Dies gilt insbesondere für die Mitteilung zum Zwecke von Verhandlungen, Diskussionen und Beratungen mit hierfür autorisierten Personen. Jede Veröffentlichung gegenüber Medien bedarf ausdrücklich der vorherigen schriftlichen Zustimmung vom Informationsgeber. Seite 5 von 10

6 3. Schutz des Eigentums Jeder Mitarbeiter ist zum Schutz des Eigentums verpflichtet. Zum Eigentum zählen alle Sach- und Vermögenswerte des Unternehmens, das Privateigentum von Mitarbeitern und Besuchern auf Grundstücken und in Gebäuden des Unternehmens. Die Funktionen für Sicherheit unterstützen Führungskräfte und Mitarbeiter durch Beratung, Maßnahmen zur Vorbeugung und Überwachung, im Schadensfall durch Ermittlung und Aufklärung 4. Anweisungen, Leitlinien, Maßnahmen Alle Policies, Anweisungen und Leitlinien des Musterunternehmens finden Sie im Intranet. Neben den Maßnahmen und Regelungen zum IT-Grundschutz im Musterunternehmen werden hier auch Anweisungen für besonders schützenswerte Informationen sowie nützliche Hilfsmittel für alle Mitarbeiter angegeben. Das Dokument Informationssicherheitspolitik ist im Intranet hinterlegt und für jeden Mitarbeiter jederzeit einsehbar. Verbindliche Verfahrens- und Arbeitsanweisungen und die Organisationsstruktur sind ebenfalls im Intranet hinterlegt und für jeden Mitarbeiter jederzeit einsehbar. Gesetzliche Anforderungen, insbesondere des Bundesdatenschutzgesetzes, behördliche und vertragliche Anforderungen sind von allen Mitarbeitern einzuhalten. Maßnahmen, die nach Eintritt eines Notfall auslösenden Ereignisses zu ergreifen sind, und alle dazu erforderlichen Informationen sind im Notfallhandbuch dokumentiert. Das Notfallhandbuch ist im Intranet in elektronischer Form sowie an der Rezeption des Musterunternehmens in schriftlicher Form hinterlegt. 5. Risikomanagement Die Zuständigkeit für die regelmäßige Ermittlung und Bewertung der Risiken verbleibt beim jeweiligen Prozesseigentümer, der die aktuellen Gegebenheiten sowie speziellen Änderungen innerhalb der Geschäftsprozesse in seinem Einflussbereich berücksichtigt. Das Risikomanagement wird entsprechend des kombinierten Ansatzes durchgeführt. Die Rahmenbedingungen sind im Risikomanagement-Handbuch detailliert beschrieben. Seite 6 von 10

7 6. Unabhängige Prüfung Die Einhaltung dieser Policy wird regelmäßig sowohl in internen Audits als auch durch eine unabhängige Institution überprüft. Gegenstand einer Prüfung sind insbesondere Zugriffsmöglichkeit zu den Informationen, Kontrollen im Zusammenhang mit den Informationen, Verwaltung der Informationen, einschließlich der Trennung von Rollen und unabhängige Genehmigung/Überprüfung von Transaktionen, Maßnahmen zur Wiederherstellung von Informationen und Verfahren. Einhaltung der Konformität zum internationalen Standard ISO Verstöße Als Verstöße gelten beabsichtigte oder grob fahrlässige Handlungen, die eine Kompromittierung des Rufes des Musterunternehmens darstellen, die Sicherheit der Mitarbeiter, Vertragspartner, Berater und des Vermögens des Musterunternehmens kompromittieren, die Sicherheit von Informationen hinsichtlich deren Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gefährden. die dem Musterunternehmen tatsächlichen oder potenziellen finanziellen Verlust einbringen - durch die Kompromittierung der Sicherheit von Daten oder Geschäftsinformationen, den unberechtigten Zugriff auf Informationen, deren Preisgabe und/oder Änderung beinhalten, die Nutzung von Unternehmensinformationen für illegale Zwecke beinhalten. Die Nichteinhaltung oder bewusste Verletzung der IT-Sicherheitspolitik führt zu einer der nachfolgenden Aktionen, ist aber nicht auf diese beschränkt: disziplinarische oder arbeitsrechtliche Folgen, straf- und/oder zivilrechtliche Verfahren. Haftung und Regressforderungen 8. Ansprechpartner und Organisationsstruktur IT-Sicherheitsbeauftragter für ISMS, IT Sicherheit, Geräte, Anlagen und Verfahren ist: Max Mustermann mmustermann@abc.de Tel Bitte richten Sie Kritik und Anregungen zur Praxisanpassung an Herrn Mustermann. Seite 7 von 10

8 Eine Übersicht über die gesamte Organisationsstruktur für IT Sicherheit sowie die lokal verantwortlichen Personen finden Sie im Dokument Organisationsstruktur der IT- Sicherheit - Ansprechpartner. 9. Anhang Stichworterklärungen Informationen Daten, die auf Systemen oder Medien, wie z. B. auf Disketten, in der Infrastruktur oder im Rahmen von Geschäftsabläufen gespeichert oder verwaltet werden. Sicherheit Vertraulichkeit Integrität Verfügbarkeit Authentizität Rechenschaftspflicht Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder Preisgabe - unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten. Schutz gegen unberechtigte Kenntnisnahme. Vermeidung unberechtigter Änderungen, Erstellung oder Duplizierung von Informationen. Hohe Betriebsbereitschaft der verwendeten Systeme und hohe Ausfallsicherheit, Verfügbarkeit der erforderlichen Informationen. Grundsatz, dass der Empfänger zweifelsfrei sicher sein kann, dass eine Information tatsächlich von dem angeblichen Verfasser geschaffen und nicht gefälscht wurde oder anderweitig durch Dritte verändert worden ist. Grundsatz, dass Einzelpersonen für die Folgen ihrer Handlungen verantwortlich sind, die zu einer Verletzung der Sicherheit führen könnten oder bereits geführt haben. Verbindlichkeiten Dieser Grundsatz besagt, dass später nachgewiesen werden kann, dass die an einer Transaktion Beteiligten die Transaktionen tatsächlich autorisiert haben und sie über keinerlei Mittel verfügen, ihre Beteiligung zu bestreiten. Der Vorstand des Musterunternehmens... Datum Seite 8 von 10

9 Hinweise zur Nutzung des Dokuments: Die IT-Sicherheitspolitik, als langfristig ausgerichtete Richtungsvorgabe des obersten Managements einer Organisation, bildet die Basis für die Entwicklung und die Umsetzung eines Risikogerechten und wirtschaftlich angemessenen IT- Sicherheitskonzeptes in Übereinstimmung mit den Geschäftsanforderungen den geltenden Gesetzen und Regelungen. Die Sicherheitspolitik enthält die sicherheitsbezogenen Ziele, Strategien, Verantwortlichkeiten und Methoden. Diese sind in der Sicherheitspolitik langfristig und verbindlich festlegt. Die organisationsweite IT-Sicherheitspolitik soll allgemeine Festlegungen treffen, die für alle Einsatzbereiche der Informationstechnologie innerhalb einer Organisation zur Anwendung kommen. Diese Informationssicherheitsleitlinie sollte verständlichen Form an alle Benutzer in der Organisation kommuniziert werden. Diese Festlegungen werden dann in den nachgeordneten Politiken, konkret umgesetzt. Konkret sollte die Informationssicherheitsleitlinie das Engagement des Managements ausdrücken und den Ansatz der Organisation für das Management der Informationssicherheit darstellen. Das Dokument sollte konkret Angaben zu den folgenden Punkten enthalten: a) allgemeinen Ziele, Prinzipien und ihres Anwendungsbereichs b) Bedeutung der Sicherheit für die Organisation c) Absichtserklärung des Managements d) einen Rahmen für die Festlegung von Maßnahmenzielen und Maßnahmen, einschließlich der Struktur von Risikoeinschätzung und Risikomanagement e) eine kurze Erläuterung der Sicherheitsleitlinien, Prinzipien, Standards und einzuhaltenden Anforderungen, die von besonderer Bedeutung für die Organisation sind, inklusive: 1) gesetzlichen, behördlichen und vertraglichen Anforderungen; 2) Training und Sensibilisierung in allen Belangen zur Informationssicherheit; 3) Business Continuity Management 4) Konsequenzen bei Verstößen f) Verantwortlichkeiten für Informationssicherheits.Management g) Informationssicherheitsvorfällen; h) Verweise auf Dokumente, die die Politik unterstützen. Seite 9 von 10

10 Hinweise zur Anpassung des Dokumentes an die Organisation: Um das Tool an Ihre Dokumentenstruktur anzupassen, gehen Sie bitte folgendermaßen vor: 1. Löschen Sie das Titelblatt, indem Sie dieses außerhalb der Textfelder markieren und die Entfernen-Taste (Entf) betätigen. 2. Löschen Sie den verbliebenen Abschnittswechsel, indem Sie diesen markieren und ebenfalls die Entfernen-Taste (Entf) betätigen. 3. Mittels Doppelklick auf die Kopf- oder Fußzeile können Sie diese nun öffnen und die Texte und deren Formatierungen entsprechend Ihren Wünschen gestalten. 4. Die Kopfzeilen-Grafik können Sie wie vorher löschen, indem Sie diese markieren und die Entfernen-Taste (Entf) betätigen. 5. Eine neue Grafik fügen Sie über die Menüpunkte Einfügen - Grafik - Aus Datei ein. 6. Diese Hinweisseite(n) entfernen Sie, indem Sie die (ab dem letzten Seitenumbruch) alles markieren und die Entfernen-Taste (Entf) betätigen. Nutzungsbedingungen von Fachinformationen: 1. Für vorsätzliche oder grob fahrlässige Pflichtverletzungen haftet der Lizenzgeber. Dies gilt auch für Erfüllungsgehilfen. 2. Für Garantien haftet der Lizenzgeber unbeschränkt. 3. Für leichte Fahrlässigkeit haftet der Lizenzgeber begrenzt auf den vertragstypischen, vorhersehbaren Schaden. 4. Der Lizenzgeber haftet nicht für Schäden, mit deren Entstehen im Rahmen des Lizenzvertrags nicht gerechnet werden musste. 5. Für Datenverlust haftet der Lizenzgeber nur, soweit dieser auch bei der Sorgfaltspflicht entsprechender Datensicherung entstanden wäre. 6. Eine Haftung für entgangenen Gewinn, für Schäden aus Ansprüchen Dritter gegen den Lizenznehmer sowie für sonstige Folgeschäden ist ausgeschlossen. 7. Der Lizenzgeber haftet nicht für den wirtschaftlichen Erfolg des Einsatzes der Tools oder Trainings. 8. Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt. Seite 10 von 10