Inicio / Richtlinie zur Informationssicherheit
Teilen:
Richtlinie zur Informationssicherheit
1. Erklärung zur Richtlinie zur Informationssicherheit
Die vorliegende Richtlinie soll die Leitlinien oder Vorgaben festlegen, die zum Schutz der Informationen der Organisation vor einer Vielzahl von Bedrohungen zu befolgen sind, um:
- die Sicherheit der über die Informationssysteme durchgeführten Vorgänge zu gewährleisten,
- Vorfälle im Bereich der Informationssicherheit zu mindern,
- Risiken im Bereich der Informationssicherheit zu managen,
- die Einhaltung der Organisationsziele sicherzustellen.
ANDERSEN ist bestrebt, die Grundsätze der Informationssicherheitspolitik zu einem Teil der Unternehmenskultur zu machen. Zu diesem Zweck hat das Unternehmen ein Informationssicherheits-Managementsystem auf der Grundlage eines international anerkannten Standards eingeführt.
Alle Mitarbeiter von ANDERSEN, relevante Interessengruppen und die Geschäftsleitung müssen diese Richtlinie kennen und einhalten.
Diese Richtlinie wird durch Vorschriften, Verfahren, Betriebsanweisungen, Leitfäden, Handbücher und alle anderen organisatorischen Instrumente umgesetzt, die zur Erreichung ihrer Ziele als nützlich erachtet werden.
2. Informationssicherheitspolitik
2.1. Geltungsbereich
Der Geltungsbereich der Informationssicherheitspolitik entspricht dem Geltungsbereich des Informationssicherheits-Managementsystems (ISMS). Mit diesem Dokument werden die Anforderungen der Norm ISO/IEC 27001:2022 in Abschnitt 5.2 „Politik” umgesetzt.
Diese Richtlinie umfasst alle Informationen, die von den Einrichtungen, die Teil des Informationssicherheits-Managementsystems (ISMS) sind, für die Ausübung ihrer Tätigkeiten verwendet werden.
2.2. Definitionen und Abkürzungen
Zum Zwecke einer korrekten Auslegung dieser Richtlinie werden die folgenden Definitionen vorgegeben:
- Informationen: Daten, die in irgendeiner Form oder auf irgendeinem Träger eine Bedeutung haben. Bezieht sich auf jede Kommunikation oder Darstellung von Wissen.
- Informationssystem: Bezieht sich auf eine Reihe von miteinander verbundenen und organisierten Ressourcen zur Verarbeitung von Informationen nach bestimmten Verfahren, sowohl computergestützt als auch manuell.
2.3. Ziele der Informationssicherheitsrichtlinie
Das Hauptziel der Erstellung dieser Informationssicherheitsrichtlinie durch den Verantwortlichen für das Informationssicherheits-Managementsystem (ISMS), den Direktor für Cybersicherheit und Risiken und die Generaldirektion von ANDERSEN besteht darin, den Kunden und Nutzern der Dienste den Zugang zu Informationen mit der für die vereinbarte Leistung erforderlichen Qualität und dem erforderlichen Serviceniveau zu gewährleisten. Zudem sollen schwerwiegende Verluste oder Veränderungen der Informationen und unbefugte Zugriffe darauf verhindert werden.
Es wird ein Rahmen für die Erreichung der Informationssicherheitsziele der Organisation festgelegt. Diese Ziele werden durch eine Reihe von organisatorischen Maßnahmen und konkreten, klar definierten Vorschriften erreicht.
Diese Sicherheitsrichtlinie wird gepflegt, aktualisiert und an die Ziele der Organisation angepasst.
Die Prinzipien, die basierend auf den grundlegenden Sicherheitsdimensionen zu beachten sind, lauten wie folgt:
- Vertraulichkeit: Kriterium, durch das nur Personen, die dazu berechtigt sind, nach vorheriger Identifizierung zum festgelegten Zeitpunkt und mit den dafür vorgesehenen Mitteln auf die von ANDERSEN verwalteten Informationen zugreifen können.
- Integrität: Kriterium, das die Gültigkeit, Richtigkeit und Vollständigkeit der von ANDERSEN verwalteten Informationen gewährleistet, wobei deren Inhalt von den Betroffenen ohne jegliche Manipulation bereitgestellt wird und nur von den dazu befugten Personen geändert werden darf.
- Verfügbarkeit: Kriterium, zu den vereinbarten Zeiten zugänglich und nutzbar zu sein. Die von ANDERSEN verwalteten Informationen sind für autorisierte und identifizierte Kunden und Nutzer jederzeit zugänglich und nutzbar, wobei ihre Verfügbarkeit auch im Falle vorhersehbarer Ereignisse gewährleistet ist.
Da jedes Informationssicherheits-Managementsystem den geltenden Rechtsvorschriften entsprechen muss, wird zusätzlich der folgende Grundsatz beachtet:
- Rechtmäßigkeit: Bezieht sich auf die Einhaltung der Gesetze, Normen, Vorschriften oder Bestimmungen, denen ANDERSEN unterliegt, insbesondere im Bereich des Schutzes personenbezogener Daten.
2.4. Planung
Um die Erklärung zur Sicherheitspolitik zu erfüllen, sind eine Reihe von Maßnahmen vorgesehen, die sich auf die Implementierung, Verwaltung und Aufrechterhaltung eines ISMS konzentrieren das stets im Einklang mit dieser Politik steht. In der Planungsphase ist eine Risikoanalyse im Hinblick auf die Organisationssicherheit unerläßlich. Ausgehend von dieser Studie wird ein spezifischer Plan zum Umgang mit den Risiken erstellt, die die Organisation als inakzeptabel erachtet.
2.5. Umsetzung
Die Einführung des ISMS liegt in der Hauptverantwortung des für Sicherheit zuständigen Direktors für Cybersicherheit und Risiken, der jederzeit von den übrigen Bereichsleitern und mit der vollen Unterstützung der Generaldirektion unterstützt wird.
Auf der Grundlage der in der Planungsphase erzielten Ergebnisse werden die erforderlichen Sicherheitskontrollen implementiert und die im ISMS definierten Verfahren eingeführt, um die Anforderungen der Norm ISO 27001 zu erfüllen.
2.6. Überprüfung
Die Informationssicherheitspolitik und das ISMS werden regelmäßig in geplanten Abständen oder bei relevanten Änderungen überprüft, um ihre fortdauernde Eignung, Wirksamkeit und Effizienz sicherzustellen. In der Regel werden sie jährlich zusammen mit den internen Auditprozessen des ISMS überprüft.
2.7. Verbesserungen
Mögliche Verbesserungen der Informationssicherheitspolitik und des ISMS werden entweder während der Überprüfungsphasen oder auf der Grundlage von Beiträgen festgelegt, die sowohl von ANDERSEN-Mitarbeitern als auch von externen Mitarbeitern als interessant erachtet werden.
Diese Verbesserungen werden bewertet und nach Prüfung ihrer Durchführbarkeit eingeführt, betrieben und aufrechterhalten.
2.8 Für das ISMS zugewiesene Ressourcen
Das Unternehmen ANDERSEN hat die erforderlichen Ressourcen identifiziert und bereitgestellt, um die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung seines Informationssicherheits-Managementsystems (ISMS) zu gewährleisten. Diese Ressourcenzuweisung entspricht einer Verpflichtung der Organisation, ein wirksames System bereitzustellensowie die strategischen und operativen Organisationsziele zu erfüllen.
Was die Humanressourcen betrifft, so besteht die für das ISMS verantwortliche Führungsstruktur hauptsächlich aus zwei Schlüsselpersonen: dem Chief Information Officer und dem Direktor für Cybersicherheit und Risiken, die die Prozesse imZusammenhang mit der Verwaltung des Systems leiten und überwachen. Diese Funktionen werden durch die Unterstützung einer spezialisierten externen Beratungsfirma ergänzt, deren Mitwirkung eine objektive Sichtweise sowie zusätzliches technisches Wissen einbringt, das die Umsetzung und Weiterentwicklung des ISMS stärkt.
Insgesamt ermöglichen diese Ressourcen ANDERSEN ein effektives Management, die Einhaltung der geltenden Anforderungen und die Förderung kontinuierlicher Verbesserungen in allen Bereichen, die das System abdeckt.
3. Risikomanagement
Das Informationssicherheitsmanagement bei ANDERSEN basiert auf dem Verständnis von Risiken gemäß der internationalen Norm ISO/IEC 27001:2022.
Es manifestiert sich in einem allgemeinen Prozess der Bewertung- und Behandlung von Risken, die potenziell die Informationssicherheit der erbrachten Dienstleistungen beeinträchtigen können, und es besteht aus folgenden Schritten:
- Identifizierung von Bedrohungen, die die Schwachstellen derjenigen Informationssysteme ausnutzen, welche die Informationssicherheit unterstützen bzw. von denen diese abhängt.
- Risikoanalyse auf Grundlage von Eintrittsfolgen und -wahrscheinlichkeit der Bedrohung.
- Risikobewertung anhand eines zuvor festgelegten und genehmigten Niveaus für allgemein akzeptable und tolerierbare bzw. für inakzeptable Risiken.
- Umgang mit inakzeptablen Risiken in Form von geeigneten Kontrollen oder Sicherheitsvorkehrungen.
Dieser Prozess ist zyklisch und muss regelmäßig, mindestens einmal jährlich, durchgeführt werden. Für jedes identifizierte Risiko wird ein Verantwortlicher benannt, wobei mehrere Zuständigkeiten auf eine Person oder einen Ausschuss fallen können.
4. Ziele der Informationssicherheit
Als Beitrag zur Minimierung und Kontrolle der Organisationsrisiken wird eine Reihe von realistischen und messbaren Zielen definiert. Diese Ziele müssen mindestens halbjährlich gemessen und jährlich überprüft werden, um damit sicherzustellen, dass sie mit der Strategie von ANDERSEN übereinstimmen.
Die Festlegung der Ziele für die Informationssicherheit erfolgt unter Berücksichtigung folgendern Faktoren:
- Berichte des Direktors für Cybersicherheit und Risiken und des Verantwortlichen für das ISMS, die vom Managing Partner von ANDERSEN genehmigt wurden.
- Während des ISMS Betriebes festgestellte Verbesserungsmöglichkeiten.
- Beiträge des Datenschutzbeauftragten (DSB), der die Einhaltung der Datenschutzbestimmungen überwacht und unterstützt sowie Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten identifiziert und mindert.
Bei der Festlegung von Zielen ist zu berücksichtigen, dass diese messbar und erreichbar sein müssen. Daher muss die Zielerreichungsplanung folgende Punkte beinhalten:
- Was zu tun ist
- Die erforderlichen Ressourcen
- Wer verantwortlich ist
- Die Frist für die Umsetzung
- Wie die Ergebnisse bewertet werden
- Gegebenenfalls den mit dem jeweiligen Ziel verbundenen Indikator
Der Managing Partner ist zusammen mit dem Direktor für Cybersicherheit und Risiken für die Festlegung der Informationssicherheitsziele für ANDERSEN verantwortlich. Diese müssen spezifisch sein und mit der Informationssicherheitspolitik, der Mission, der Vision und den Werten des Unternehmens im Einklang stehen.
5. Organisation und Verantwortlichkeiten
Die Organisation der Informationssicherheit basiert auf einem Informationssicherheits-Managementsystem (ISMS) und einer Reihe von Ausschüssen und Funktionen, die darineinbezogen werden.
- Der Managing Partner von ANDERSEN ist für die Genehmigung dieser Richtlinie verantwortlich.
- Der Ausschuss für Informationsrisikomanagement ist für die Überprüfung dieser Richtlinie verantwortlich.
- Der Direktor für Cybersicherheit und Risiken ist für die Einhaltung dieser Richtlinie verantwortlich.
- Der Datenschutzbeauftragte überwacht und berät bei der Einhaltung der umgesetzten Maßnahmen.
6. Anwendung der Richtlinie
ANDERSEN hat das vorliegende Dokument entwickelt. Es enthält die Allgemeine Richtlinie zur Informationssicherheit. Sie wurdevom geschäftsführenden Gesellschafter genehmigt und allen Mitarbeitern des Unternehmens mitgeteilt.
7. Schulung und Sensibilisierung
Der effektivste Weg zur Stärkung der Sicherheit besteht darin, kontinuierliche Schulungen anzubieten und diese in die täglichen Arbeitsaufgaben zu integrieren.
Die Schulungsprogramme umfassen spezifische Kurse zur Informationssicherheit, die je nach Bedarf an den jeweiligen Bereich und die Zielgruppe angepasst sind. Darüber hinaus werden regelmäßig Sensibilisierungskampagnen zum Thema Sicherheit für alle Mitarbeiter durchgeführt, wobei die als am besten geeignet erachteten Kanäle genutzt werden.
Durch Verbreitungs-, Schulungs- und Sensibilisierungsmaßnahmen muß der Leiter für Cybersicherheit und Risiken sicherstellen, dass alle am ISMS beteiligten Mitarbeiter diese Richtlinie, ihre Ziele und Prozesse kennen. Bei Schulungen zum Datenschutz berücksichtigt er die Anforderungen des Datenschutzbeauftragten. Er muss auch die Verteilung der für jede Ebene geltenden Dokumente entsprechend den verschiedenen im Unternehmen definierten Rollen sicherstellen.
8. Management der Geschäftskontinuität
ANDERSEN wird die notwendigen Pläne festlegen um die Schritte zu einer Business Impact Analyse (BIA) und zum Geschäftskontinuitätsplan (Business Continuity Plan, BCP) umzusetzen sowie diese bei Bedarf zu aktivieren. Die IT-Abteilung muss einen Business Continuity Plan erstellen, in dem Prozesse und Verfahren dokumentiert und implementiert werden, um die vom Unternehmen gewünschtetechnologische Kontinuität sicherzustellen.
Alle Mitarbeiter werden im Falle eines schwerwiegenden Notfalls an der rechtzeitigen Wiederaufnahme aller für ANDERSEN kritischen Dienste mitwirken und so dazu beitragen, dass die meisten Dienste in kürzester Zeit wiederhergestellt werden können.
9. Audit
Die Geschäftsleitung von ANDERSEN muss durch interne und externe Audits sicherstellen und überprüfen, dass die Richtlinien dieser Politik eingehalten und korrekt umgesetzt werden. Sie ist für die Einhaltung der gegebenenfalls festgelegten Korrekturmaßnahmen verantwortlich, um eine kontinuierliche Verbesserung zu gewährleisten.
10. Gültigkeit und Umsetzung
Diese Richtlinie tritt mit ihrer Veröffentlichung in Kraft und wird mindestens einmal jährlich überprüft.
Das Ziel der regelmäßigen Überprüfungen ist es, sie an Veränderungen im Kontext der Organisation anzupassen. Dabei werden externe und interne Fragen berücksichtigt und Vorfälle im Bereich der Informationssicherheit sowie Nichtkonformitäten im ISMS analysiert. All dies wird mit den Ergebnissen der verschiedenen Risikobewertungsprozesse in Einklang gebracht.
Bei der Überprüfung der Richtlinie werden auch alle Normen und sonstigen Dokumente, die sie weiterentwickeln, überprüft. Dabei wird ein regelmäßiger Aktualisierungsprozess befolgt, der die relevanten Änderungen einbezieht, die eintreten können: Wachstum des Unternehmens und organisatorische Veränderungen, Veränderungen in der Infrastruktur, Entwicklung neuer Dienstleistungen u.a.
Infolgedessen wird eine Liste mit Zielen und Maßnahmen erstellt. Diese sollen im Laufe des folgenden Jahres umgesetzt werden, um die Informationssicherheit und die ordnungsgemäße Nutzung derjenigen Ressourcen zu gewährleisten, die diese bei ANDERSEN unterstützen und bearbeiten.
11. Sanktionen
Die Nichteinhaltung der Informationssicherheitspolitik und anderer Vorschriften und Verfahren, die diese weiterentwickeln, hat je nach Ausmaß und Art der Nichteinhaltung Sanktionen gemäß den geltenden arbeitsrechtlichen Bestimmungen zur Folge.
12. Gültigkeit
Die Informationssicherheitsrichtlinie tritt am Tag ihrer Veröffentlichung in Kraft.
13. Bestätigung
Die Unterzeichner des dieser Seite beigefügten Dokuments erkennen den Inhalt dieser Richtlinie uneingeschränkt an und verpflichten sich, sie in ihren jeweiligen Bereichen anzuwenden, um das ordnungsgemäße Funktionieren des Informationssicherheits-Managementsystems zu gewährleisten.