1. Stellenwert der Informationssicherheit
Als lokales IT-Unternehmen sind wir bestrebt, unsere Projekt- und Verwaltungsvorgänge sowie unsere Daten und IT-Systeme durch verschiedene technische, physische und organisatorische Maßnahmen zu schützen. Wir sind uns bewusst, dass die Sicherheit unserer Daten und Systeme ein wesentlicher Bestandteil unseres Erfolgs ist und dass wir unseren Kunden ein hohes Maß an Vertrauen und Sicherheit bieten müssen. Daher nutzen wir innovative Technologien und Maßnahmen, um uns optimal zu schützen.
Die gesetzliche Grundlage ergibt sich u.a. aus:
- Gesetzliche Bestimmungen (GmbH Gesetz, HGB)
- Datenschutzverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG)
- IT-Grundschutz-Kompendium des BSI
- Telekommunikationsgesetz/Telemediengesetz (TMG)
- Sicherheitsgesetz für Informationstechnik (IT-SiG)
- Allgemeines Gleichbehandlungsgesetz (AGG) etc.
Unser Unternehmen befindet sich mit seinen Aktivitäten in einer sich ständig verändernden digitalen Welt. Dementsprechend müssen wir alle Daten, die wir sammeln und speichern, vor unbefugtem Zugriff, Verlust, Missbrauch und unbefugter Verbreitung schützen. Dies gilt auch für personenbezogene Daten, die wir verarbeiten und speichern, einschließlich der persönlichen Informationen unserer Mitarbeiter, Kunden, Partner und Lieferanten. Wir müssen die richtigen Sicherheitsmaßnahmen ergreifen, um sicherzustellen, dass diese Informationen sicher sind und wir die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten aufrechterhalten.
Der gute Ruf unseres Unternehmens hängt nicht zuletzt von der seriösen Präsentation im Internet sowie von der zuverlässigen Bereitstellung von Diensten und Kommunikationsmedien ab. Eine Manipulation z.B. der Internetpräsentation oder der Missbrauch des E-Mail-Dienstes durch einen Spamangriff, würde dem Ansehen unseres Unternehmens schaden und negative Auswirkungen auf unsere Kundenprojekte wären zu befürchten.
Mit der zunehmenden Digitalisierung müssen wir uns auf die Zunahme der Nutzung von Heimarbeitsplätzen, Cloud-Diensten und die Anbindung von Online-Produkten und -Dienstleistungen vorbereiten. Dabei ist es unerlässlich, dass wir die notwendigen Datenschutz- und Sicherheitsaspekte berücksichtigen und umsetzen.
Die Grundlage für die Informationssicherheit eines IT-Unternehmens ist ein Bekenntnis der Führungskräfte zur Informationssicherheit. Dieses Bekenntnis und damit auch die Übernahme der Gesamtverantwortung durch die Führungskräfte wird durch die Etablierung einer Informationssicherheitsleitlinie (ISL) zum Ausdruck gebracht.
2. Geltungsbereich
Die Informationssicherheitsleitlinie gilt für die Intechcore GmbH inkl. externer Projektmitarbeiter (Freelancer) sowie für Zulieferer und Dienstleiter. Ausgenommen davon sind Partner und Kunden, sofern hier z.B. keine relevanten Daten vorhanden sind oder keine disziplinarischen Maßnahmen umgesetzt werden können.
Die Informationssicherheit umfasst neben IT-Systemen und elektronischen Daten auch Papierunterlagen in Form von Akten, Dokumenten, Urkunden, Belegen sowie Informationen aus der Kommunikation mit Betroffenen (Telefon- bzw. persönliche Gespräche). Sie umfasst außerdem alle organisatorischen, personellen und technischen Maßnahmen, um die Informationssicherheit zu gewährleisten.
Externe Personen, Institutionen und Unternehmen (Partner und Lieferanten), die für die Intechcore GmbH Leistungen erbringen, haben die Vorgaben der Intechcore zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie einzuhalten. Dazu werden diese informiert und in geeigneter Weise zur Einhaltung verpflichtet (z.B. durch AV-Vertrag, Verschwiegenheitserklärung).
3. Informationssicherheitsziele
Bei der Erbringung der Pflichtaufgaben und der Aufgaben, die die Intechcore GmbH auf freiwilliger Basis übernimmt, werden Informationen erhoben und verarbeitet, deren Vertraulichkeit, Integrität und Verfügbarkeit ein hohes Gut darstellen.
Um diese Aufgaben erfüllen zu können, müssen Daten, IT-Systeme, Anwendungen, Verfahren und Prozesse verfügbar und geschützt sein.
Folgende Ziele sollen in Bezug auf die Informationssicherheit konkret erreicht werden:
- Sensibilisierung aller Mitarbeiter und die Vermittlung der erforderlichen Kenntnisse im Umgang mit Daten, IT-Systemen und Kommunikationsmedien
- Aktualität und Aufrechterhaltung der Einsatzbereitschaft der IT-Systeme (Arbeitsplätze, Server, Netzwerkinfrastruktur, Anwendungen)
- Vermeidung von IT-Sicherheitsvorfällen und negativen Auswirkungen auf die Intechcore GmbH (Kosten, Reputation, Datenverlust)
- Einhaltung der gesetzlichen Vorschriften (z. B. DSGVO)
- Schaffung eines hohen Vertrauensniveaus in die Informationssicherheit für alle Beteiligten
Die gesetzten Ziele werden anhand geeigneter Maßnahmen und messbarer Zielgrößen (interne Audits, Begehungen, Mitarbeitergespräche, Checklisten, Auswertung von Protokollen usw.) kontrolliert und in regelmäßigen Abständen der Geschäftsleitung vorgelegt.
4. Kernelemente der Sicherheitsstrategie
Die Informations- und Datensicherheit ist für das Verwaltungshandeln sehr wichtig. Die Sicherheitsstrategie ist deshalb wie folgt aufgebaut:
- Die Intechcore GmbH etabliert ein geeignetes Informationssicherheitsmanagementsystem (ISMS) und orientiert sich dabei an der Vorgehensweise CISIS12.
- Als zentrale Sicherheitsinstanz ernennt der Geschäftsleiter einen Informationssicherheitsbeauftragten (ISB) und einen Stellvertreter, der für alle Belange und Fragen der Informationssicherheit zuständig ist. Er ist unabhängig und weisungsfrei sowie der Geschäftsleitung in dieser Rolle direkt unterstellt. Dem ISB sind ausreichend Ressourcen zur Verfügung zu stellen und geeignete Qualifizierungsmaßnahmen zu ermöglichen.
- Zur Unterstützung des ISB wird ein Informationssicherheitsteam gebildet, das sich in regelmäßigen Abständen zu Besprechungen trifft. Das Team besteht aus dem ISB, Vertretern der Leitungsebene, dem Systemadministrator und dem Datenschutzbeauftragten.
- Die Intechcore GmbH verankert das Thema Informationssicherheit in der gesamten Organisation durch klar formulierte Richtlinien und Sicherheitsvorgaben, die für alle Beschäftigten verbindlich sind.
- Für Mitarbeiter gibt es fortlaufende Schulungs- und Sensibilisierungsmaßnahmen.
- Die umgesetzten Sicherheitsmaßnahmen werden einer regelmäßigen Kontrolle unterzogen (z.B. durch Begehungen oder interne Audits) und das Ergebnis wird der Geschäftsleitung mitgeteilt.
- Das eingeführte Informationssicherheitsmanagementsystem und die damit verbundenen Maßnahmen werden regelmäßig aktualisiert und weiterentwickelt.
- Die Intechcore GmbH orientiert sich bei allen Aktivitäten zur Informationssicherheit an aktuellen Standards und bewährten Methoden aus der Praxis.
5. Verpflichtung zur Umsetzung und Verantwortung
Jeder Mitarbeiter ist für Informationssicherheit verantwortlich. Sie gehört zu den Dienstpflichten aller Beschäftigten. Dieses Dokument ist für alle Mitarbeiter verbindlich und wird vom Inhaber und der Geschäftsleitung voll unterstützt. Die sich daraus ergebenden Maßnahmen sind auch dann umzusetzen, wenn sich Beeinträchtigungen für die Nutzung der Informationssysteme ergeben.
Der Unterzeichner trägt die Gesamtverantwortung für die Gewährleistung der Informationssicherheit, unabhängig ob und in welcher Weise Teilaufgaben delegiert werden. Es obliegt ihm, für die Umsetzung der notwendigen Maßnahmen zu sorgen und die dafür benötigten Ressourcen, Finanzmittel und IT-Systeme bereitzustellen.
Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser definiert sich durch den Wert der zu schützenden Informationen und der IT-Systeme. Zu bewerten sind auch die Auswirkungen auf die körperliche und seelische Unversehrtheit von Menschen, das Recht auf informationelle Selbstbestimmung, finanzielle Schäden, Beeinträchtigung der Aufgabenerfüllung, die Reputation des Unternehmens und die Folgen von Gesetzesverstößen.
6. Verpflichtung zur kontinuierlichen Verbesserung
Die Geschäftsleitung verpflichtet sich, sich an der Verbesserung der Informationssicherheit zu beteiligen und diese vorzuleben und zu unterstützen. Sie ist regelmäßig über den aktuellen Sicherheitszustand zu informieren.
Verantwortlich für Weiterentwicklung der ISL und der Sicherheitskonzeption ist der ISB, wobei er von den Fachverantwortlichen bestmöglich unterstützt wird. Die Beschäftigten sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Der ISB ist bei allen organisatorisch-technischen Neuerungen oder Änderungen, die Auswirkungen auf die Informationssicherheit haben können, frühzeitig zu informieren und einzubinden.
7. Schulung und Sensibilisierung der Mitarbeiter
Damit allen Mitarbeitern bekannt ist, was von Ihnen im Hinblick auf Informationssicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollen, werden regelmäßig Schulungs- und Sensibilisierungsmaßnahmen durchgeführt.
Hierzu werden folgende Maßnahmen vorbereitet und durchgeführt:
- Jeder Mitarbeiter nimmt an einer Schulung zu den Grundlagen der Informationssicherheit, insbesondere des Datenschutzes, teil.
- Durch weitere Schulungen wird den Mitarbeitern die notwendige Kompetenz zur Informationssicherheit vermittelt, die sie bei der Ausführung ihrer Fachaufgaben benötigen.
- Bei konkretem Informationsbedarf erhalten die Mitarbeiter Newsletter oder individuelle Nachrichten vom IT-Sicherheitsbeauftragten und/oder vom Datenschutzbeauftragten.
8. Verstöße und Sanktionen
Jeder Beschäftigte der Intechcore GmbH wird zu einem sorgfältigen Umgang mit Daten, Informationen, Anwendungen, IT-Systemen und Kommunikationsmedien verpflichtet. Beabsichtigte oder grob fahrlässige Gefährdung der Informationssicherheit, zum Beispiel
- die illegale Nutzung oder den Missbrauch von Informationen, Daten und Systemen
- die Nichteinhaltung von Vorgaben in den Dienstanweisungen
- die Nichteinhaltung von gesetzlichen Vorgaben (z.B. DSGVO)
- die Umgehung von Sicherheitseinstellungen in Programmen und Geräten
kann arbeitsrechtliche Folgen nach sich ziehen. Die Mitarbeiter sind angehalten, mögliche Schwachstellen oder Sicherheitsverstöße umgehend zu melden. Die Verantwortlichen haben bei Verstößen oder bei Nichteinhaltung von Regeln, geeignete und angemessenen disziplinarische Maßnahmen zu ergreifen (z.B. Ermahnung, Abmahnung).
9. Aktualisierung der Leitlinie für Informationssicherheit
Die Verwaltung ist stets dynamischen Veränderungen unterworfen. Dies betrifft im Bereich der Informationssicherheit sowohl die Informations- und Kommunikationstechnik als auch interne Abläufe, Organisationsstrukturen und äußere Rahmenbedingungen wie z. B. gesetzliche Vorgaben. Es ist somit notwendig, die bewährten Sicherheitsmaßnahmen zu fördern und weiterzuentwickeln, um dauerhaft ein angemessenes Sicherheitsniveau gewährleisten zu können. Anhand der Methode „PLAN-DO-CHECK-ACT“ werden vorhandene Schwächen regelmäßig analysiert und Verbesserungen vorgenommen.
Die Informationssicherheitsleitlinie, das Sicherheitskonzept sowie die aktuellen Maßnahmen werden vom ISB jährlich auf Aktualität und Wirksamkeit geprüft und bei Bedarf optimiert. Der Geschäftsleiter sowie die Mitarbeiter unterstützen dabei die ständige Verbesserung des Sicherheitsniveaus.
10. Inkraftsetzung
Die Informationssicherheitsleitlinie tritt mit Datum 31.03.2023 in Kraft und wird allen Beschäftigten nach Unterschrift umgehend zur Kenntnis gebracht.