Managementsystem Managementsystemhandbuch 1 Managementsystemhandbuch Allgemein Anlage 2 Sicherheitsleitlinie. Managementsystemhandbuch



Ähnliche Dokumente
Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Managementbewertung Managementbewertung

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Übungsbeispiele für die mündliche Prüfung

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

ITIL & IT-Sicherheit. Michael Storz CN8

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

GPP Projekte gemeinsam zum Erfolg führen

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Grundschutzhandbuch: Stand Juli

IT-Revision als Chance für das IT- Management

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

9001 weitere (kleinere) Änderungen

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Informationssicherheitsmanagement

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Prozessoptimierung. und. Prozessmanagement

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

LÖSUNGEN FÜR IHREN STAHLBEDARF. Qualitätspolitik

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Microsoft Office 365 Kalenderfreigabe

Qualitäts- Managementhandbuch (QMH) DIN EN ISO 9001 : 2008 (ohne Entwicklung) von. Margot Schön Burgbühl Meckenbeuren

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Wir organisieren Ihre Sicherheit

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Software-Validierung im Testsystem

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Dokumentenlenkung - Pflicht oder Kür-

Qualitätsmanagement Handbuch gemäss ISO 9001:2008 / ISO 13485:2003

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

«Zertifizierter» Datenschutz

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

9.6 Korrekturmaßnahmen, Qualitätsverbesserung

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Wenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Kirchlicher Datenschutz

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

Datenschutz-Management

Erstellung eines Verfahrensverzeichnisses aus QSEC

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Qualitätsmanagement in Gesundheitstelematik und Telemedizin: Sind ISO 9001 basierte Managementsysteme geeignet?

Vernichtung von Datenträgern mit personenbezogenen Daten

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

BCM Schnellcheck. Referent Jürgen Vischer

Dieter Brunner ISO in der betrieblichen Praxis

Weiterleitung einrichten für eine GMX- -Adresse

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Information zur Revision der ISO Sehr geehrte Damen und Herren,

D i e n s t e D r i t t e r a u f We b s i t e s

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Dok.-Nr.: Seite 1 von 6

DGQ Regionalkreis Hamburg ISO Konfigurationsmanagement

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern

Sicherheitsaspekte der kommunalen Arbeit

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

B&B Verlag für Sozialwirtschaft GmbH. Inhaltsübersicht

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

Nutzung dieser Internetseite

Mediumwechsel - VR-NetWorld Software

Einführung in den Datenschutz

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

9001 Kontext der Organisation

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

DIN EN ISO 9000 ff. Qualitätsmanagement. David Prochnow

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Transkript:

Seite: 1 von 9 MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 2 von 9 Inhalt 1 Informationssicherheit im Bereich der Dresden-IT GmbH... 3 1.1 Unternehmensvorstellung... 3 1.2 Sicherheitserfordernisse... 3 1.3 Sicherheit als Unternehmensziel... 4 2 Grundsatz... 4 2.1 Orientierung... 4 2.2 Klassifizierung und Kontrolle... 5 2.3 Grundbegriffe der Sicherheitsleitlinie... 5 3 Methoden... 6 3.1 Systemzugangskontrolle... 6 3.2 Redundanzen... 6 3.3 Sicherheit der Informationssysteme innerhalb des Lebenszyklus... 6 3.4 Verantwortlichkeiten... 6 3.5 Bewusstsein... 7 3.6 Sicherheitsmanagement... 7 3.7 Anforderungen an den Auftraggeber... 7 3.8 Durchsetzung... 7 3.9 Verstöße... 7 3.10 Konsequenzen bei Fehlverhalten... 8 3.11 Sicherheitsdokumentation... 8 4 Gültigkeit... 8 5 Begriffe, Definitionen und Abkürzungen... 8 Anlagen keine Aufzeichnungen/Nachweise mit Aufbewahrungsort MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 3 von 9 1 Informationssicherheit im Bereich der Dresden-IT GmbH 1.1 Unternehmensvorstellung Die Dresden-IT GmbH, im Weiteren als DD-IT bezeichnet, ist als Tochterunternehmen der Technischen Werke Dresden GmbH und der Dresdner Verkehrsbetriebe AG als kommunales Unternehmen in der IT-Branche seit 2002 tätig. Hauptziel dieser Neugründung war die Schaffung eines kompetenten IT-Dienstleisters für die Betriebe und Einrichtungen der Landeshauptstadt Dresden sowie für kommunale Partner in der Region. Oberstes Ziel ist die Erbringung von qualitativ hochwertigen Dienstleistungen unter Einhaltung der gesetzlichen Forderungen. Die DD-IT ist seit November 2004 nach DIN EN ISO 9001 und seit November 2010 nach DIN ISO/IEC 27001 zertifiziert. Die Qualitätspolitik ist durch die Schwerpunkte Kundenzufriedenheit, Gewinnorientierung und Mitarbeiterzufriedenheit gekennzeichnet und die Sicherheitspolitik durch die Schwerpunkte Schutz von Informationen vor Bedrohungen, Aufrechterhaltung des Geschäftsbetriebs und Minimierung der Geschäftsrisiken. Mit Ihrem Potenzial bei der Bereitstellung von IT-Servicedienstleistungen und Ihren Entwicklungsund Beratungskapazitäten unterstützt die DD-IT Ihre Dienstleitungspartner bei der effektiven Gestaltung der IT-Prozesse. Zur Erfüllung seiner Aufgaben arbeitet die DD-IT eng mit Dienstleitungspartnern zusammen und hat Kooperationen mit Einrichtungen der Landeshauptstadt Dresden sowie Partnern aus der Privatwirtschaft. Die DD-IT setzt auf partnerschaftliche Zusammenarbeit sowie auf nationale und internationale Standards, Standards des Bundes und des Freistaates Sachsen. 1.2 Sicherheitserfordernisse Auf der Grundlage des zertifizierten Qualitätsmanagementsystems (QMS) stehen die Erfüllung der Dienstleitungsverträge und aller damit verbundenen Leistungen im Mittelpunkt der täglichen Arbeit. Für alle Leistungen wird aufbauend auf dem Informationssicherheitsmanagementsystem (ISMS) ein hohes Maß an Qualität und Sicherheit vorgegeben und umgesetzt. Informationen in jeglicher Form, elektronisch gespeichert oder elektronisch übertragen, auf Papier ausgedruckt oder geschrieben, oder in Gesprächen weitergegeben sind unabhängig von der gewählten Form, dem Medium der Weitergabe oder der Speicherung immer angemessen zu schützen. Der Schutz von Informationen vor Bedrohungen, die Aufrechterhaltung des Geschäftsbetriebs und eine Minimierung der Geschäftsrisiken sind Elemente der Informationssicherheit. Die Informationssicherheit stellt einen entscheidenden Faktor dar, um relevante Risiken zu vermeiden oder zu reduzieren. Die Definition, das Erreichen, die Pflege und ständige Verbesserung von Informationssicherheit kann wesentlich zur Erhaltung von Wettbewerbsfähigkeit, Liquidität, Rentabilität, Einhaltung gesetzlicher Vorschriften und Geschäftsansehen beitragen. MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 4 von 9 Geeignete Maßnahmen, die Richtlinien, Prozesse, Technische Standards, Organisationsstrukturen oder Software- und Hardwarefunktionen sein können, dienen der Umsetzung der Informationssicherheit. Diese Maßnahmen müssen eingeführt, umgesetzt, überwacht, überprüft und ständig verbessert werden, um sicherzustellen, dass die spezifischen Sicherheits- und Geschäftsziele der DD-IT und ihrer Dienstleistungspartner und Kunden erfüllt werden. Dies sollte im Einklang mit allen anderen Managementprozessen geschehen. Unsere Auftraggeber haben die Möglichkeit, sich in die Weiterentwicklung der Informationssicherheit einzubringen, um so bei der dauerhaften kontinuierlichen Verbesserung mitzuwirken. Als IT-Dienstleister werden bei der DD-IT auch personenbezogene Daten im wesentlichen Umfang gespeichert und verarbeitet. Daran sind die Sicherheitsanforderungen bei der DD-IT auszurichten. Durch eine methodische Betrachtung und Einschätzung von Sicherheitsrisiken werden Sicherheitsanforderungen ermittelt, mittels Risikosteckbriefen bewertet und innerhalb des Risikomanagements Maßnahmen ergriffen um die Sicherheitsrisiken zu minimieren. 1.3 Sicherheit als Unternehmensziel Sicherheit als wichtiger Baustein einer dauerhaft gut funktionierenden Organisation ist somit ein permanentes Unternehmensziel der DD-IT. Daraus ergibt sich ein stets vorhandenes Sicherheitsbewusstsein bei allen Arbeiten. Jeder Mitarbeiter wirkt mit, das Sicherheitsniveau und die damit verbundenen Methoden und Prozesse dauerhaft zu verbessern sowie die Geschäftstüchtigkeit im Notfall aufrecht zu erhalten. Das Ziel ist es, mit einem an die Erfordernisse angepassten ISMS ein vertrauenswürdiges Sicherheitsniveau dauerhaft aufrecht zu erhalten. 2 Grundsatz 2.1 Orientierung Der zuverlässige Schutz von Informationen ist notwendig auf Grund von: internationalen und nationalen Standards und Richtlinien gesetzlichen Anforderungen, zum Beispiel Datenschutzgesetz und Steuerrecht vertraglichen Anforderungen. Es sind daher Maßnahmen zu treffen, die die Funktionsfähigkeit der Geschäftsprozesse der DD-IT und deren Kunden gewährleisten und die Verfügbarkeit, Vertraulichkeit und Integrität der Daten sicherstellen. Bedrohungen, wie höhere Gewalt, technisches Versagen, Nachlässigkeit oder Fahrlässigkeit und Schwachstellen, welche das Eintreffen dieser Bedrohungen begünstigen, sollen aufgezeigt werden, um Schadensereignisse abzuwehren und so Schäden zu vermeiden. Die Mitarbeiter der DD-IT und die Mitarbeiter unserer Kunden werden grundsätzlich als vertrauenswürdig angesehen. Ein vertrauensvolles und konstruktives Arbeitsklima, in dem Teamgeist MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 5 von 9 und Eigenverantwortung einen hohen Stellenwert besitzen, bildet die beste Grundlage für einen reibungslosen, sicheren und effektiven Gebrauch der Informationstechnik. Ungeachtet des oben aufgestellten Vertrauensgrundsatzes ist es erforderlich, die Wirkungsbereiche auf technischer Ebene voneinander abzugrenzen. Damit sollen Fernwirkungen von Fehlfunktionen und Handlungen, die in den Bereich der Sabotage gehören sowie die Folgen eines Einbruchs Unbefugter in IT-Systeme bzw. in das Netz begrenzt werden. Die IT-Sicherheitsleitlinie bezieht sich auf alle Aspekte des IT-Einsatzes und legt fest, welche Sicherheitsmaßnahmen zu treffen sind. Nur bei geordnetem Zusammenwirken von technischen, organisatorischen, personellen und baulichen Maßnahmen können drohende Gefahren erfolgreich abgewehrt und begünstigende Schwachstellen vermieden werden. 2.2 Klassifizierung und Kontrolle Alle Informationen, Daten und Datensammlungen werden nach Verfügbarkeit, Vertraulichkeit und Integrität/Authentizität klassifiziert. Aufbauend auf dieser Klassifizierung werden die Verantwortungen für die folgenden Objekte definiert und bekannt gegeben: Systeme, Software Einzelne Abschnitte der Infrastruktur Es ist definiert, wer Eigentümer der Objekte ist und damit die Verantwortung für deren Sicherheit trägt. Die Aktualität der Klassifizierung und daraus abgeleiteter Maßnahmen wird durch regelmäßige Überprüfung aufrechterhalten. 2.3 Grundbegriffe der Sicherheitsleitlinie Im Folgenden werden die zentralen Begriffe der Sicherheitsleitlinie der DD-IT erläutert. Verfügbarkeit Verfügbarkeit bezieht sich auf Daten und Verfahren und bedeutet, dass diese zeitgerecht zur Verfügung stehen. Vertraulichkeit Vertraulichkeit ist gewährleistet, wenn nur diejenigen von Daten Kenntnis nehmen können, die dazu berechtigt sind. Daten dürfen weder unbefugt gewonnen noch ungewollt offenbart werden. Integrität Integrität ist gewährleistet, wenn Daten unversehrt und vollständig bleiben. Authentizität Authentizität bedeutet, dass Daten jederzeit ihrem Ursprung zugeordnet werden können. Revisionsfähigkeit Revisionsfähigkeit bezieht sich auf die Organisation des Verfahrens. Sie ist gewährleistet, wenn Änderungen an Daten nachvollzogen werden können. MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 6 von 9 Transparenz Transparenz ist gewährleistet, wenn das IT-Verfahren für die jeweils Sachkundigen in zumutbarer Zeit mit zumutbarem Aufwand nachvollziehbar ist. In der Regel setzt dies eine aktuelle und angemessene Dokumentation voraus. Datenschutz Datenschutz regelt die Verarbeitung personenbezogener Daten, um das Recht des Einzelnen zu schützen und selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen (informationelles Selbstbestimmungsrecht). 3 Methoden 3.1 Systemzugangskontrolle Die DD-IT setzt logische und physische Zugangskontrollen für den Zugang zu Informationen, Daten und Datensammlungen ein. Für besonders schützenswerte Bereiche wird eine verstärkte Zugangskontrolle durchgeführt. Diese wird protokolliert, um die geschützten Bereiche nachvollziehbar zu überwachen. Die Verantwortung für die Zugangskontrollen und deren regelmäßige Dokumentation liegen bei den Verantwortlichen der jeweiligen Bereiche. Für Informationen, Daten und Datensammlungen sind Verantwortliche festgelegt, diese sind für ihre Verantwortungsbereiche rechenschaftspflichtig. Für jede zusätzlich eingerichtete Berechtigung wird der tatsächliche Geschäftsbedarf des Nutzers überprüft. 3.2 Redundanzen Für die dauerhafte Aufrechterhaltung des Geschäftsbetriebes ist eine Redundanz an Systemen und Wissen vorhanden. Durch technische Maßnahmen wird gewährleistet, dass im Notfall der Geschäftsbetrieb aufrechterhalten wird. Unsere Mitarbeiterstruktur ist dabei so zusammengesetzt, dass bei Ausfall einzelner Mitarbeiter eine Wissensredundanz für besonders sensible Verfahren, Prozesse und Systeme vorhanden ist, um Projekte, Vorhaben und Kundenanforderungen weiterzuführen. 3.3 Sicherheit der Informationssysteme innerhalb des Lebenszyklus Durch Festlegungen im ISMS sind die Prozesse definiert, die die Sicherheit der Informationssysteme im gesamten Lebenszyklus, angelehnt an ITIL, beschreiben. In der Geschäftstätigkeit der DD-IT ist das vorhandene Risikofrüherkennungssystem fest verankert und wird kontinuierlich an die Erfordernisse angepasst. 3.4 Verantwortlichkeiten Besitzer der Informationen ist üblicherweise der Auftraggeber. Bei Übergabe der Daten an die DD-IT wird ein Verantwortlicher gemäß ISMS - Richtlinien und Organisationsstruktur festgelegt. Je größer die Schutzwürdigkeit von Daten eingestuft wurde, desto stärker ist der Absicherungsprozess. MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 7 von 9 3.5 Bewusstsein Die DD-IT stellt sicher, dass alle neuen Mitarbeiter mit der Sicherheitsleitlinie, den ISMS- Dokumenten und der Philosophie der DD-IT durch Schulungen vertraut gemacht werden. Den Dienstleistungs- und Kooperationspartnern, Beratern und Zulieferern wird die Sicherheitsleitlinie zur Verfügung gestellt. Der Sicherheitsprozess und die Organisationskultur unterliegen regelmäßiger Weiterentwicklung, welche durch die Mitarbeiter der DD-IT getragen und gelebt wird. 3.6 Sicherheitsmanagement Zur Durchsetzung des Sicherheitsmanagements wurde ein strukturübergreifendes Informationssicherheits-Team (ISMT) gebildet. Dieses besteht aus dem Informationssicherheitsbeauftragten (ISB) und den Informationssicherheitsassistenten (ISA) aus allen Fachgruppen. Der ISB ist der Geschäftsführung direkt unterstellt. Der ISB, das ISMT und die Geschäftsführung der DD-IT sind für die Erstellung von Maßnahmen und Prozessen zum sicheren Einrichten und Ausbauen eines dokumentierten Informationsmanagementsystems verantwortlich, auch wenn Aufgaben delegiert werden. ISB und ISMT erstellen Informationssicherheits-Richtlinien, -Prozesse und -Standards auf Grundlage von ISO 27001 und anderen sicherheitsrelevanten festgelegten Standards der ISO 27000 Reihe. Die Geschäftsführung der DD-IT trägt das Gesamtrisiko und entscheidet über die Umsetzung oder teilweise Umsetzung der erstellten Maßnahmen und Prozesse. Ausschließlich die Geschäftsführung der DD-IT entscheidet über das Maß des zu tragenden Restrisikos und trägt die Gesamtverantwortung für das Sicherheitskonzept. Der ISB und das ISMT stellen die Entwicklung des ISMS und die damit verbundene kontinuierliche Weiterentwicklung sicher. Der ISB und das ISMT sind dafür verantwortlich, dass die aktuelle Sicherheitsleitlinie veröffentlicht wird. Der ISB und das ISMT hat das Sicherheitsbewusstsein der Mitarbeiter in seinem Umfang und in seiner Qualität stetig zu verbessern. Sicherheitsanalysen und die Einhaltung der Sicherheitsleitlinie liegen im Verantwortungsbereich der Geschäftsführung, des ISB und des ISMT. 3.7 Anforderungen an den Auftraggeber Der Auftraggeber hat gemäß den Sicherheitsanforderungen die zu verarbeitenden Informationen, Daten und Datensammlungen so zu klassifizieren, dass die DD-IT das geforderte Sicherheitsniveau anwenden kann. 3.8 Durchsetzung Die Durchsetzung der Sicherheitsleitlinie wird überprüft. Aus bewusstem Fehlverhalten ergeben sich unten beschriebene Konsequenzen. 3.9 Verstöße Verstöße sind beabsichtigte oder grob fahrlässige Handlungen, welche: MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 8 von 9 eine Kompromittierung der DD-IT darstellen, die Sicherheit der Mitarbeiter, Vertragspartner, Berater und die Werte der DD-IT kompromittieren, der DD-IT einen tatsächlichen oder potentiellen finanziellen Verlust einbringen, welche durch die Kompromittierung der Daten oder Informationen ursächlich ausgelöst wird. Als Verstöße sind weiterhin zu betrachten: bewusster unbefugter Zugang zu Daten, Informationen oder besonders geschützten Bereichen, bewusster unbefugter Zugriff auf Daten, Informationen, Datensammlungen und andere Werte, unbefugte Preisgabe von Informationen, Daten oder Datensammlungen, die Änderungen von Daten, welche nicht rechtmäßig erworben wurden oder ungewollt in den eigenen Zugriffsbereich gelangt sind, die Nutzung von DD-IT eigenen Informationen zu illegalem Zweck. 3.10 Konsequenzen bei Fehlverhalten Mögliche Konsequenzen, welche sich aus den Verstößen ergeben können, sind: Disziplinarische Maßnahmen Entlassung Straf- und/oder zivilrechtliche Verfahren Einforderung von Schadenersatz für entstandenen finanziellen Schaden. 3.11 Sicherheitsdokumentation Die Sicherheitsdokumentation wird im Dokumentenmanagement des Informationsmanagementsystems (ISMS) hinterlegt und beinhaltet alle sicherheitsrelevanten Bereiche. Die Sicherheitsleitlinie, die Sicherheitsrichtlinien und die entsprechenden Standards sind einzuhalten. Als Richtlinie für den Sicherheitsstandard und zur Pflege des ISMS ist der Standard DIN ISO/IEC 27000 und folgende in der aktuell gültigen Fassung maßgeblich. Die Sicherheitsleitlinie gilt für die gesamte DD-IT. 4 Gültigkeit Nach Bestätigung dieser Sicherheitsleitlinie durch die Geschäftsführung der DD-IT ist diese sofort gültig und für jeden Angestellten, jeden Vertragspartner, jeden Berater und jeden Zulieferer der bei oder für die DD-IT arbeitet, bindend. 5 Begriffe, Definitionen und Abkürzungen Daten Datensammlungen ISB ISA dokumentierte Informationen eine Zusammenstellung unabhängiger Daten, welche durch ihre Zusammenstellung ein Werk darstellt Beauftragter der Geschäftsleitung für das Informationssicherheitsmanagement und Leiter des ISMT Informationssicherheitsassistent und Mitglied des ISMT MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

Seite: 9 von 9 ISMS ISMT ISO 27001 QMS Informationssicherheitsmanagementsystem (engl. information security management system) gelebtes Konzept zur Behandlung von Sicherheitsvorfällen und zur Aufrechterhaltung des Sicherheitsniveaus Informationssicherheitsteam organisatorisch und technisch ausgerichtetes internationales Sicherheitskonzept; Internationale Norm Qualitätsmanagementsystem MSH_1 Allgemein_Anlage 2_Sicherheitsleitlinie_2.docx

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback