Informationssicherheitsleitlinie



Ähnliche Dokumente
IT-Sicherheitsleitlinie der Universität der Bundeswehr München

DE 098/2008. IT- Sicherheitsleitlinie

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

IT-Sicherheitsleitlinie der Hochschule für Musik Hanns Eisler

Leitlinie Informationssicherheit an der Technischen Hochschule Wildau

IT Sicherheitsleitlinie der DATAGROUP

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Sicherheitshinweise für Administratoren. - Beispiel -

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Information zur Revision der ISO Sehr geehrte Damen und Herren,

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Nutzung dieser Internetseite

Informationssicherheitsmanagement

BSI Technische Richtlinie

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Datenschutz der große Bruder der IT-Sicherheit

Tag des Datenschutzes

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

The AuditFactory. Copyright by The AuditFactory

GPP Projekte gemeinsam zum Erfolg führen

BSI Technische Richtlinie

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

Bericht für Menschen mit Gehbehinderung und Rollstuhlfahrer

Datenschutz im Alters- und Pflegeheim

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

BSI Technische Richtlinie

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Erstellung eines QM-Handbuches nach DIN. EN ISO 9001: Teil 1 -

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

nach Uhr Mitteleuropäischer Zeit (MEZ)

Auftrag zum Fondswechsel

Umfrage: Ihre Erwartungen, Ihr Bedarf und der aktuelle Einsatz von Informationstechnologie (IT) in Ihrem Unternehmen

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Produktvorstellung: CMS System / dynamische Webseiten. 1. Vorwort

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Qualitätsmanagement Handbuch gemäss ISO 9001:2008 / ISO 13485:2003

Führungsgrundsätze im Haus Graz

Geyer & Weinig: Service Level Management in neuer Qualität.

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Netzanschlussvertrag Strom für höhere Spannungsebenen

FRAGEBOGEN ANWENDUNG DES ECOPROWINE SELBSTBEWERTUNG-TOOLS

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Newsletter: Februar 2016

Anlage eines neuen Geschäftsjahres in der Office Line


Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Kirchlicher Datenschutz

Widerrufsbelehrung der Free-Linked GmbH. Stand: Juni 2014

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

ASDI Benchmarking Projekt. Anleitung zum Datenexport

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

IT-Trend-Befragung Xing Community IT Connection

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

wir können dem leben nicht mehr tage geben. aber wir können den tagen mehr leben geben.

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

Mandanteninformation Die neue amtliche Muster-Widerrufsbelehrung Art Abs. 3 Satz 1 Anlage 1 EGBGB

Widerrufsbelehrung. Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank


Elektrische Anlagen und Betriebsmittel

Datenschutzhinweise zum VAPIANO PEOPLE Programm

Allgemeine Geschäftsbedingungen. der

Rechte und Pflichten des Betriebsrats beim Arbeits- und Gesundheitsschutz

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Beste Arbeitgeber in der ITK. Für IT-Abteilungen mit mindestens 50 Mitarbeitern in Unternehmen mit mindestens 250 Mitarbeitern

IT-Sicherheit im Rathaus Alles nach Plan?

Großbeerener Spielplatzpaten

Allgemeine Geschäftsbedingungen (mit gesetzlichen Kundeninformationen)

Organisation des betrieblichen Arbeitsschutzes. Probleme und Schwierigkeiten im Betrieb

Transkript:

Stand: 08.12.2010

Informationssicherheit Historie Version Datum Bemerkungen 1.0 16.06.2009 Durch Geschäftsführung herausgegeben und in Kraft getreten. 1.0.1 08.12.2010 Adressänderung des 4Com-Haupsitzes. Hinweis: Dieses Dokument ist für interne als auch für externe Zwecke gedacht und darf veröffentlich werden. Bei Fragen zur IT-Sicherheitsleitlinie wenden Sie sich bitte an: Kontakt 4Com GmbH & Co. KG Geschäftsführung Hamburger Allee 23 30161 Hannover Tel.: 01802 90 20 90 00 Fax: 01802 90 20 90 99 E-Mail: info@4com.de Die Informationen in diesem Dokument sind Eigentum der Firma 4Com GmbH & Co. KG und dürfen ohne Zustimmung nicht kopiert oder an Dritte weitergegeben werden. 4Com versichert, soweit dies möglich ist, dass alle in diesem Dokument enthaltenen Informationen korrekt sind, übernimmt aufgrund der ständigen Weiterentwicklung der IT-Sicherheit aber keine Garantie auf Vollständigkeit. Bitte fragen Sie nach aktuellen Versionen bzw. beachten Sie die aktuellen Versionen in der oben stehenden Tabelle. Dieses Dokument dient als Informationssicherheitsleitlinie der Firma 4Com und beinhaltet das Stellenwert der Informationssicherheit, die IT-Sicherheitsziele die Kernelemente der Sicherheitsstrategie Entwurf für die Planung des Informationssicherheitprozesses der 4Com. Copyright 4Com GmbH & Co. KG 2010; Alle Rechte vorbehalten Stand: 08.12.2010 4Com GmbH & Co. KG / 2

Informationssicherheitsleitlinie Die Geschäftsführung verabschiedet hiermit folgende Informationssicherheitsleitlinie als Bestandteil ihrer Strategie: Stellenwert der Informationsverarbeitung Informationsverarbeitung spielt eine Schlüsselrolle für unsere Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen. Da unsere Kernkompetenz in der Entwicklung innovativer Produkte liegt, ist der Schutz dieser Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung von existenzieller Bedeutung. Übergreifende Ziele Unsere Daten und unsere IT-Systeme in allen technikabhängigen und kaufmännischen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Anforderungen an Vertraulichkeit haben ein normales, an Gesetzeskonformität orientiertes Niveau. Für Kundendaten und Daten der Entwicklungsabteilung gelten maximale Anforderungen an die Vertraulichkeit. IT-Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen. Schadensfälle mit hohen finanziellen Auswirkungen müssen verhindert werden. Alle Mitarbeiter des Unternehmens halten die einschlägigen und vertraglichen Regelungen ein. Negative finanzielle und immaterielle Folgen für das Unternehmen sowie für die Mitarbeiter durch Gesetzesverstöße sind zu vermeiden. Alle Mitarbeiter und die Unternehmensführung sind sich ihrer Verantwortung beim Umgang mit IT bewusst und unterstützen die IT-Sicherheitsstrategie nach besten Kräften. Detailziele Verspätete oder fehlerhafte Managemententscheidungen können weitreichende Folgen nach sich ziehen. Daher ist für das Management bei wichtigen Entscheidungen der Zugriff auf aktuelle Steuerungsdaten wichtig. Für diese Informationen ist ein hohes Sicherheitsniveau in Bezug auf Verfügbarkeit und Integrität sicher zu stellen. Stand: 08.12.2010 4Com GmbH & Co. KG / 3

Die Datenschutzgesetze und die Interessen unserer Mitarbeiter verlangen eine Sicherstellung der Vertraulichkeit der Mitarbeiterdaten. Die Daten und die IT-Anwendungen der Personalabteilung werden daher einem hohen Vertraulichkeitsschutz unterzogen. Gleiches gilt für die Daten unserer Kunden und Geschäftspartner. Für die Vertriebsabteilung ist die Aufrechterhaltung der Kommunikation nach außen zu den Kunden und Geschäftspartnern und der Zugriff auf die Kundendatenbank elementar. Die Geschäftsabwicklung darf nicht verzögert oder gar gefährdet werden. Wenn vertraglich festgelegte Fristen nicht eingehalten werden können, kann dies weitreichende negative Folgen haben. Insbesondere eine mangelhafte Verfügbarkeit der IT-Systeme und der Daten, aber auch Fehlfunktionen können zu Erlösminderungen führen. Die Aufrechterhaltung der Kommunikation und der ständige Zugriff auf korrekte Daten für die Vertriebsmitarbeiter haben einen hohen Schutzbedarf. Die Daten der Entwicklungsabteilung haben sehr hohe Vertraulichkeitsanforderungen. Durch deren Verlust oder Diebstahl können Wettbewerbsnachteile entstehen. Durch technische Maßnahmen und die hohe Aufmerksamkeit der Mitarbeiter wird die Vertraulichkeit geschützt und Manipulationen vorgebeugt. Innerhalb der Produktionsabteilung werden die Verfügbarkeit und die Fehlerfreiheit der Systeme sichergestellt. Stillstandzeiten sind nur in einem sehr geringen Maße akzeptabel, da diese direkt, aber auch indirekt durch negative Auswirkungen auf nachfolgende Prozesse zu Erlösminderungen führen können. Die Nutzung des Internets zur Informationsbeschaffung und zur Kommunikation ist für uns selbstverständlich. E-Mail dient als Ersatz oder als Ergänzung von anderen Bürokommunikationswegen. Durch entsprechende Maßnahmen wird sichergestellt, dass die Risiken der Internetnutzung möglichst gering bleiben. IT-Sicherheitsmanagement Zur Erreichung der IT-Sicherheitsziele wurde eine IT-Sicherheitsorganisation eingerichtet. Es ist ein IT-Sicherheitsbeauftragter benannt worden. Der IT-Sicherheitsbeauftragte berichtet in seiner Funktion direkt an die Geschäftsführung. Dem IT-Sicherheitsbeauftragten und den Administratoren werden von der Leitung ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren und die vom Management festgelegten IT- Sicherheitsziele zu erreichen. Die Administratoren und der IT-Sicherheitsbeauftragte sind durch die IT-Benutzer ausreichend in ihrer Arbeit zu unterstützen. Stand: 08.12.2010 4Com GmbH & Co. KG / 4

Der IT-Sicherheitsbeauftragte ist frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt gleiches für den Datenschutzbeauftragten. Die IT-Benutzer haben sich in sicherheitsrelevanten Fragestellungen an die Anweisungen des IT-Sicherheitsbeauftragten zu halten. Es wurde externe Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Sicherheitsmaßnahmen Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt und Zugriffsberechtigungen vergibt. Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter ihre Aufgaben erfüllen können. Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt. Computer-Viren-Schutzprogramme werden auf allen relevanten IT-Systemen eingesetzt. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Des Weiteren unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen. Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind. Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfallvorsorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen. Stand: 08.12.2010 4Com GmbH & Co. KG / 5

Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes IT-Sicherheitskonzept mit konkreten Maßnahmenvorgaben. IT-Benutzer nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Fort- und Weiterbildung. Verbesserung der Sicherheit Das Managementsystem der IT-Sicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die IT-Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten. Stand: 08.12.2010 4Com GmbH & Co. KG / 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback