Informationssicherheitsrichtlinie

Informationssicherheitsrichtlinie

1. Informationssicherheitsphilosophie

Diese Richtlinie beschreibt die Informationssicherheitsphilosophie und die angestrebten Ziele der TSM Technical Services and Management GmbH (nachfolgend kurz „TSM“ genannt). Wo möglich verzichten wir auf technische Details und das genaue Vorgehen. Das Dokument soll somit einen Gesamtüberblick ermöglichen, detaillierte Informationen sind den jeweiligen Richtlinien zu entnehmen.

Alle Regelungen sollen sich hieraus ableiten.

1.1 Stellenwert der Informationssicherheit im Unternehmen

Die TSM ist auf Informations-gestützte Prozesse im Unternehmen angewiesen und ist im kundenseitigen Informationsaustausch sensibler Informationen, einem besonderen Qualitätsanspruch verpflichtet. In dieser Situation ist es unerlässlich die Informationssicherheit zu gewährleisten, um die nötige Zuverlässigkeit im geschäftlichen Alltag zu schaffen.

Wir verstehen Informationssicherheit als unerlässlichen Kundenservice, der die Vertraulichkeit von Informationen schützt und die Verfügbarkeit unserer Prozesse gewährleistet.

Wir leben eine aktive Sicherheitskultur und fördern Informationssicherheit, indem alle Mitarbeiter eingebunden, geschult und sensibilisiert sind. Der Mitarbeiter steht bei uns im Mittelpunkt der aktiven Sicherheitskultur.

1.2 Schutzziele

Die höchsten Schutzziele in unserem Unternehmen sind Verfügbarkeit, Integrität und Vertraulichkeit. 

Die Verfügbarkeit ist für die TSM relevant, da die meisten Systeme und Dienste für die Erfüllung der Arbeit benötigt werden. Sie soll auch die Kundenzufriedenheit erhöhen, indem Ausfallzeiten auf ein Minimum reduziert werden und im besten Fall sichergestellt wird, dass Kunden unser Unternehmen immer erreichen können.

Integrität ist wichtig, damit die TSM vor Manipulationen sicher ist. Nur wenn unser Unternehmen vor Manipulationen sicher ist, kann es langfristig bestehen und Kunden sowie Partnern die notwendige Sicherheit bieten. 

Vertraulichkeit ist unabdingbar, um Kunden- und Unternehmensdaten im notwendigen Umfang zu schützen. Im Fokus stehen dabei insbesondere vertrauliche, geheime und personenbezogene Daten.

2. Maßnahmen im Überblick

Alle Maßnahmen sind detailliert in den jeweiligen Richtlinien beschrieben, die folgenden Erklärungen sind als übersichtliche Maßnahmensammlung zu verstehen. 

2.1 Gültig für Mitarbeiter
  • Umgang mit sensiblen Informationen
Es gibt generell vier verschiedene Informationsklassen (Öffentlich, intern, vertraulich und geheim), die jeweils unterschiedliche Regelungen und Bedingungen mit sich bringen. 

Alle Datenträger oder Dokumente, die interne oder vertrauliche Informationen enthalten, sind vor Entsorgung oder Veräußerung unlesbar zu machen beziehungsweise zu vernichten.

Dokumente mit sensiblen Informationen dürfen nicht unbeaufsichtigt in Druckern und Kopiergeräten gelassen werden. Sperren Sie ihre Geräte, wenn Sie den Arbeitsplatz verlassen.
  • Mobiles arbeiten
Muss das Gerät unbeaufsichtigt gelassen werden, ist das Gerät zu Sperren. Wenn vertrauliche oder geheime Informationen bearbeitet werden, darf kein Einblick von Dritten möglich sein
  • Zugänge & Passwörter
Passwörter dürfen nur in einem freigegebenen Passwortmanager dokumentiert werden und die Passwörter müssen geheim bleiben sowie dürfen nicht bereits privat genutzt werden.
  • Sicherheit in Räumlichkeiten
Die Handhabung von Geräten und Informationen hängt von den in der Zone gültigen Sicherheitsregeln ab. 
  • Lieferanten
Die Beauftragung von Lieferanten zur Informationsverarbeitung wird durch den Informationssicherheitsbeauftragten gesteuert.
  • Sicherheit kennenlernen & gemeinsam verbessern
Damit die Ziele der Informationssicherheit erreicht werden können, sind wir auf die Hilfe und Aufmerksamkeit aller Mitarbeiter angewiesen.

Schulungen finden regelmäßig statt und sind Zielgruppenorientiert. Das Unternehmen stellt zentral Informationen in leicht verständlicher Form zur Verfügung.

Bei Informationssicherheitsvorfällen oder bei Verdacht auf einen Vorfall sowie Verlust von Identifikationsmitteln ist der Informationssicherheitsbeauftragte unmittelbar zu kontaktieren.

Bei vorsätzlichen oder grob fahrlässigen Verletzungen der Informationssicherheit bzw. den Richtlinien erfolgen Sanktionsmaßnahmen.

2.2 Personalverwaltung

Es gelten folgende zusätzliche Maßnahmen:
  • On-, Off- & Reboarding
Das On-, Off-, Reboarding muss gewissenhaft und vollständig durchgeführt werden.

Unterschiedliche Stellen erfordern unterschiedliche Validierungen des zukünftigen Mitarbeiters.
  • Übergabe von Werten
Alle Unternehmenswerte (Schlüssel, Mobilgeräte, Ausweise usw.) werden dokumentiert und müssen aktuell gehalten werden.

2.3 IT-Abteilung

Alle Systeme müssen gewissenhaft gepflegt werden. Hierbei möchten wir unserer IT-Abteilung bestmöglich unterstützen und optimieren. Da immer mehr Abläufe von IT-Systemen abhängig werden, ist unsere IT-Abteilung ein essenzieller Bereich, dem eine große Verantwortung zur Gewährung der Informationssicherheit obliegt.
Für die Mitarbeiter der IT-Abteilung gelten die zusätzlichen Maßnahmen:
  • IT-Systeme
Die Logging Protokolle müssen hinsichtlich der Integrität besonders geschützt werden. Alle Geräte im Unternehmen müssen synchronisierte Uhren haben.

Die Rechtevergabe muss stets nach dem Minimalprinzip erfolgen. Privilegierte Benutzerkonten dürfen nur für Arbeiten genutzt werden, die auch privilegierte Benutzerkonten fordern.

Testumgebungen werden bestmöglich geschützt.
  • Backups
Backups müssen besonders hinsichtlich der Integrität geschützt werden.
  • Malware
Der Schutz vor Malware muss stets aufrecht und aktuell gehalten werden. Die lokalen Schutzsysteme sind, sofern möglich, für den Standardmitarbeiter nicht deaktivier bar.
  • Serverraum
Der Serverraum ist ein besonders schützenswerter Raum, der stets abgeschlossen oder beaufsichtigt ist. Besucher und Monteure werden niemals allein im Serverraum gelassen.
  • Handhabung von Geräten
Mobilgeräte dürfen erst an Mitarbeiter ausgegeben werden, wenn diese sich auf die geltenden Regeln mit ihrer Unterschrift verpflichtet haben.

Geräte und Datenträger, die auf die Entsorgung warten, müssen für unbefugte unzugänglich aufbewahrt werden.

3. Informationssicherheitsmanagement

3.1 ISMS

Die TSM betreibt ein Informationssicherheitsmanagementsystem (kurz „ISMS“), um die selbst gesetzten Sicherheitsziele und die auf Informationssicherheit bezogenen Kundenanforderungen zu erreichen. Der Geltungsbereich ist in dem Dokument "Festlegung des Anwendungsbereiches" niedergeschrieben.

Alle Vorgaben des ISMS sind intern hinterlegt und werden bei Neuerungen oder Änderungen durch Schulungen und E-Mails an die Mitarbeiter kommuniziert. Mit der Freigabe der Informationssicherheitsleitlinie gilt das ISMS als beauftragt und genehmigt.

Alle Anforderungen an das ISMS sind durch die angewandte Norm vorgegeben und dienen auch der Kontrolle, da sie regelmäßig durch Audits überprüft werden.

Ob das ISMS wirksam ist, wird regelmäßig überprüft. Hierfür stellt das ISMS dem Management das Management-Review zur Verfügung, das zur Überwachung und Steuerung des ISMS geeignet ist.

3.2 Fortlaufende Verbesserung
  • Das ISMS wird regelmäßig auf Aktualität und Wirksamkeit überprüft. Hierzu gehören regelmäßige Audits und die Wirksamkeitsüberprüfung von Maßnahmen
  • Alle Mitarbeiter der TSM sind dazu verpflichtet, den ISO bei dieser Aufgabe zu unterstützen
  • Die TSM legt besonderen Wert darauf, technisch aktuelle Maßnahmen einzusetzen
  • Die Geschäftsleitung fördert und propagiert das ISMS innerhalb der TSM
  • Alle Abweichungen werden im Detail analysiert, um Verbesserungen zu erarbeiten
  • Alle Mitarbeiter sind in das ISMS in einem solchen Maße eingebunden, dass Sie Fehler oder Verbesserungsmaßnahmen melden können. Dieses Verhalten wird gefördert
3.3 Risikomanagement

Zur Identifikation von Risiken innerhalb des ISMS wird ein Risikomanagementsystem durch den ISO betrieben. Das Risikomanagement dient zur Identifikation und Bewertung von Risiken. Bei Risiken, die die zuvor definierten Schwellwerte überschreiten, ist der ISO verpflichtet die Gegenmaßnahmen einzuleiten.

3.4 Ressourcen

Die Geschäftsführung stellt dem ISO 20 Stunden pro Monat zur Verfügung. In Notfällen kann der ISO auch ohne Rücksprache über 3.000 € verfügen. Wie oben definiert, sind alle Mitarbeiter verpflichtet, den ISO bei seinen Aktivitäten zu unterstützen.

3.5 Bekanntmachungen

Die Kontaktpersonen sind innerhalb der Organisation bekannt. Sie werden über E-Mails und mit Hilfe der Schulungen bekannt gemacht. Das Gleiche gilt für die jeweiligen Geschäftspartner. Sie werden bei Vertragsabschluss und bei Änderungen während des Vertragsverhältnisses darüber informiert.
3.6 Funktionstrennung

Sofern es die Organisationsstruktur ermöglicht, wird darauf geachtet, dass die Funktionstrennung im Unternehmen gewahrt bleibt! Operative Aufgaben sollten von Kontrollaufgaben getrennt werden. So werden z. B. interne Audits nur von Personen durchgeführt, die keinen direkten Bezug zum ISMS haben. 

Sofern dies nicht möglich ist, müssen die Funktionen einer Leitungsaufsicht unterzogen werden. Dies stellt die TSM sicher, indem die Rollen durch die Geschäftsführung oder leitender Angestellter besetzt werden.

Die Aktualität der Funktionstrennung wird im Management-Review überprüft und ggf. angepasst.

Ein großer Wert der Informationssicherheit von Kundendaten, sind die Informationssicherheitskenntnisse der Mitarbeiter, da sie die Schnittstelle zwischen den Kundensystemen auf den Remote-Bedieneinheiten, auf denen die relevanten Daten bearbeitet werden, darstellen. Der Schutz der Remote-Geräte, die Einsicht der Daten auf den Anzeigeeinheiten sowie die Verschwiegenheit der Mitarbeiter spielen eine tragende Rolle. Deshalb sind Mitarbeiter-Schulung von Informationssicherheit und Überprüfung der Wirksamkeit innerhalb des Unternehmens immer personell zu trennen oder durch die Geschäftsführung zu bestätigen.

3.7 Struktur der Informationssicherheit

Die Struktur der Informationssicherheit wird durch die Leitlinien und Richtlinien im Unternehmen geprägt. Durch die daraus abgeleiteten Maßnahmen wird die Informationssicherheit im Unternehmen umgesetzt. Weiterhin durch Prozesse, Schulungen, Protokolle, Checklisten, Risikoanalysen und die Weitergabe von Informationen an Mitarbeiter, Lieferanten und Kunden.

3.8 Mittel zur Kontrolle und Verwaltung

Damit das Management die Wirksamkeit des ISMS überprüfen und Anpassungen, wie z. B. neue Maßnahmen oder die Freigabe weiterer Ressourcen, vornehmen kann, wird mindestens einmal jährlich ein Management-Review durchgeführt. Er kann auch anlassbezogen durchgeführt werden. Dort werden die wichtigsten Eckdaten des ISMS aufgeführt, wie z. B. Sicherheitsvorfälle, Änderungen bestehender Richtlinien, Kennzahlen und Informationen zu Schulungen.

3.9 Verantwortlichkeiten

In diesem Kapitel sind Rollen beschrieben, die aufgrund der Firmengröße und -struktur durch ggf. eine oder mehrere Personen besetzt  ist oder sind! Sofern keine Funktions- / Aufgabentrennung erreicht werden kann, wird eine Leitungsaufsicht umgesetzt.

Die Stellenausschreibungen gewährleisten, dass die jeweiligen Mitarbeiter ausreichend qualifiziert sind.
Um das ISMS fachgerecht aufzubauen und zu pflegen wurde eine Rolle geschaffen mit folgenden Rahmenbedingungen und Verantwortlichkeiten (Information Security Officer (ISO)):
  • Voraussetzungen

    • Der ISO besitzt zur Wahrnehmung seiner Aufgabe eine hervorgehobene organisatorische Rolle, in der er direkt an die Unternehmensleitung berichtet
    • Der ISO verfügt über angemessenes Wissen und Qualifikationen im Bereich Informationssicherheit
    • Der ISO wird schriftlich berufen
    • Es wird ein Vertreter benannt, der bei Abwesenheit zur Verfügung steht bzw. bei einem externen ISO für interne Angelegenheiten kontaktiert werden kann.

  • Verantwortlichkeiten

    • Aufbau eines Managementsystems gemäß den Anforderungen der verwendeten Norm
    • Regelmäßige Berichterstattung an das Management
    • Abstimmung der Informationssicherheitsziele mit der Unternehmensleitung
    • Koordination aller sich aus der Aufgabe heraus ergebenden Tätigkeiten
    • Analyse von Sicherheitsvorfällen
    • Der ISO hat das Recht, die Belegschaft über Ereignisse oder aktuelle Themen zu unterrichten
Alle Mitarbeiter sind dazu angehalten den ISO zu unterstützen. Dazu gehört:

  • Geschäftsführung:

    • Bereitstellung der nötigen Ressourcen für das ISMS
    • Unterstützung des ISO bei der Kommunikation gegenüber anderen Mitarbeitern
    • Förderung der fortlaufenden Verbesserung
    • Festlegung und Kommunikation der Informationssicherheitsziele gemeinsam mit ISO

  • Führungskräfte / Teamleiter

    • Leben einer Vorbildrolle, um Informationssicherheit gegenüber Mitarbeitern förderlich zu kommunizieren
    • Weiterleiten von Verbesserungsvorschlägen an den ISO
    • Einbeziehen des ISO bei Veränderungen im Betriebsablauf, die die Informationssicherheit betreffen

  • IT-Leiter

    • Besonders enge Zusammenarbeit mit ISO zur Erreichung der Sicherheitsziele
    • Unterstützung des ISO mit Ressourcen zur Umsetzung der Sicherheitsziele

  • Datenschutzbeauftragter

    • Bezieht den ISO bei Änderungen mit ein, sofern diese die Informationssicherheit betreffen
    • Stimmt Sicherheitsmaßnahmen wo möglich mit dem ISO ab

  • Alle Mitarbeiter

    • Melden von Informationssicherheitsvorfällen und Unregelmäßigkeiten
    • Einhaltung der vorgeschriebenen Richtlinien


Share by: