NeuronUP

BERUFLICHE KOGNITIVE REHABILITATION

Politik der Informationssicherheit

1. Einleitung

NeuronUP ist auf IKT-Systeme (Informations- und Kommunikationstechnologien) angewiesen, um seine Ziele zu erreichen. Diese Systeme müssen mit der gebotenen Sorgfalt verwaltet werden, indem geeignete Maßnahmen ergriffen werden, um sie vor unbeabsichtigten oder vorsätzlichen Schäden zu schützen, die die Verfügbarkeit, Integrität oder Vertraulichkeit der verarbeiteten Informationen oder der erbrachten Dienstleistungen beeinträchtigen können.

Die Mitarbeitenden von NeuronUP müssen sicherstellen, dass Sicherheit ein integraler Bestandteil jeder Phase des Systemlebenszyklus ist – von der Konzeption bis zur Außerbetriebnahme – einschließlich Entwicklungs- oder Beschaffungsentscheidungen sowie der Betriebsaktivitäten.

Die Abteilungen von NeuronUP müssen entsprechend der Wahrnehmung der ihnen übertragenen Aufgaben darauf vorbereitet sein, Vorfälle gemäß der geltenden Vorschriften zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen.

Um die Einhaltung dieser Richtlinie sicherzustellen, entwickelt und bewertet der Sicherheitsausschuss die Systeme regelmäßig und stellt sicher, dass alle Mitarbeitenden von NeuronUP ihre Aufgaben im Einklang mit der Informationssicherheit kennen und erfüllen.

2. Geltungsbereich

Diese Richtlinie gilt für alle Personen, Prozesse, Systeme und Vermögenswerte, die an der Verarbeitung von Informationen innerhalb von NeuronUP beteiligt sind. 

Dies umfasst internes Personal, externe Mitarbeitende, Lieferanten und Dritte, die Zugriff auf Informationen oder Systeme haben, sowie alle Informationswerte.

Die Einhaltung dieser Richtlinie ist verpflichtend und bildet die Grundlage, auf der die Normen, Verfahren und Kontrollen des Informationssicherheits-Managementsystems (ISMS) der Organisation festgelegt werden.

3. Ziel dieser Richtlinie

Ziel dieser Richtlinie ist es, den Handlungsrahmen festzulegen, um die Informationssicherheit und die kontinuierliche Erbringung der Dienstleistungen zu gewährleisten.

Diese Richtlinie wird durch Sicherheitsdokumentation und -vorschriften umgesetzt, die allen Mitgliedern der Organisation zur Verfügung stehen, die sie kennen müssen – insbesondere jenen, die Informations- und Kommunikationssysteme nutzen, betreiben oder verwalten – mittels Verfahren, Prozessen, technischen Anweisungen usw.

Die Sicherheitsvorschriften sind für alle Mitarbeitenden der Organisation in ihrem Dokumentenmanagementsystem verfügbar.

4. Rechtsrahmen

NeuronUP verpflichtet sich, alle anwendbaren Gesetze, Verordnungen und Vorschriften im Bereich der Informationssicherheit einzuhalten.

5. Organisation der Sicherheit

Die Unternehmensleitung übernimmt die Verantwortung, die Einführung technischer, organisatorischer und kontrollbezogener Maßnahmen zu fördern und zu unterstützen, die die für den Unternehmensbetrieb erforderlichen Qualitäts- und Sicherheitsniveaus gewährleisten, und verpflichtet sich zur kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems.

Die Verantwortung für diese Aufgabe wird an den Sicherheitsausschuss delegiert, der von NeuronUP als bereichsübergreifendes, kollegiales Gremium eingerichtet wurde und sich zusammensetzt aus:

  • dem Informationssicherheitsbeauftragten, der zugleich den Vorsitz des Sicherheitsausschusses innehat.
  • dem Systemadministrator, der zugleich die Rolle des Sekretärs des Sicherheitsausschusses übernimmt.
  • dem Technologiedirektor.

Die spezifischen Zuständigkeiten dieser Rollen sind in den Stellenbeschreibungen der jeweiligen Verantwortlichen enthalten. Das Verfahren für ihre Benennung und/oder Erneuerung wird von der Geschäftsleitung genehmigt.

Die Ernennungen werden alle 2 Jahre oder bei Vakanz einer Stelle auf Vorschlag des Sicherheitsausschusses überprüft.

5.1. Aufgaben des Sicherheitsausschusses

Die Hauptaufgabe des Sicherheitsausschusses besteht darin, die Informationssicherheitsrichtlinie und die Ziele des ISMS festzulegen.

Der Sicherheitsausschuss legt die als akzeptabel erachteten Risikoniveaus fest und bestimmt geeignete Maßnahmen, um Risiken zu reduzieren, die diese Schwellenwerte überschreiten.

Es ist Aufgabe des Sicherheitsausschusses, diese Richtlinie jährlich zu überprüfen und eine Überarbeitung oder Beibehaltung vorzuschlagen. Darüber hinaus wird diese Richtlinie durch Sicherheitsvorschriften und -empfehlungen (weitere Richtlinien, Protokolle, Verfahren, technische Anweisungen usw.) ergänzt.

Insbesondere werden folgende Sicherheitspunkte überprüft:

  • Der Stand der seit der letzten Kontrolle umzusetzenden Maßnahmen.
  • Relevante Änderungen für das ISMS.
  • Risikomanagement, Schwachstellen und Bedrohungen.
  • Technologien, Produkte und Dienstleistungen zur kontinuierlichen Verbesserung.

6. Risikomanagement

Zur Harmonisierung der Risikoanalysen legt der Sicherheitsausschuss eine Referenzbewertung für die verschiedenen Arten der verarbeiteten Informationen und die unterschiedlichen erbrachten Dienstleistungen fest.

Der Sicherheitsausschuss prüft die Verfügbarkeit von Ressourcen, um den Sicherheitsbedarf der verschiedenen Systeme zu decken.

Alle Systeme, die dieser Richtlinie unterliegen, müssen eine Risikoanalyse durchführen und die Bedrohungen und Risiken bewerten, denen sie ausgesetzt sind. Diese Analyse wird wiederholt:

  • regelmäßig, mindestens einmal pro Jahr;
  • wenn ein schwerwiegender Sicherheitsvorfall eintritt;
  • wenn schwerwiegende Schwachstellen gemeldet werden.

Um die Verfügbarkeit kritischer Dienstleistungen bei möglichen Zwischenfällen zu gewährleisten, verfügt das Unternehmen über einen Notfallwiederherstellungsplan, der alle Wiederherstellungsaktivitäten der Geschäftsprozesse koordiniert, die betroffen sein könnten.

7. Pflichten des Personals

Alle Mitglieder von NeuronUP sind verpflichtet, die Informationssicherheitsrichtlinie und die Sicherheitsvorschriften zu kennen und einzuhalten; es liegt in der Verantwortung des Sicherheitsausschusses, die notwendigen Mittel bereitzustellen, damit die Informationen die Betroffenen erreichen.

Die Nichteinhaltung dieser Informationssicherheitsrichtlinie und der sie ausarbeitenden Regeln kann zu disziplinarischen Maßnahmen gemäß den Bestimmungen des Arbeitnehmerstatuts und des anzuwendenden Tarifvertrags führen. Die konkreten Richtlinien für Mitarbeitende werden in der Sicherheitsrichtlinie für Mitarbeitende ausgeführt.

7.1. Sensibilisierung und Schulung

Gemäß der Richtlinie zur Schulung und Sensibilisierung für Informationssicherheit erhalten alle Mitglieder von NeuronUP mindestens einmal pro Jahr eine Schulung im Bereich Informationssicherheit. Darüber hinaus wird ein Programm zur kontinuierlichen Sensibilisierung eingerichtet, um sicherzustellen, dass alle Beteiligten die Informationssicherheitsrichtlinie verstehen und einhalten.

Personen, die Verantwortung für die Nutzung, den Betrieb oder die Verwaltung von Systemen tragen, erhalten Schulungen für die sichere Handhabung der Systeme, soweit sie diese zur Ausübung ihrer Tätigkeit benötigen. Die Schulung ist verpflichtend, bevor eine Verantwortung übernommen wird – sowohl bei der ersten Zuweisung als auch bei einem Stellenwechsel oder einer Änderung der Aufgaben oder Verantwortlichkeiten innerhalb derselben.

7.2. Grundlegende ISMS-Richtlinien

Die grundlegenden Richtlinien für die sichere Verarbeitung von Informationen und die Strukturierung der Sicherheitsdokumentation des Systems, deren Verwaltung und Zugriff, werden in den Handbüchern, Richtlinien, Vorschriften und Verfahren des ISMS beschrieben.

Diese Richtlinien sind die folgenden:

  • Informationen sind in die folgenden Kategorien einzustufen: Öffentlich, Interner Gebrauch, Vertraulich oder Eingeschränkt.
  • Physische Datenträger, die nicht öffentliche Informationen speichern, müssen an einem sicheren Ort aufbewahrt werden.
  • Der Zugriff auf Informationssysteme wird nach dem Need-to-know-Prinzip gewährt, sodass jede Person ausschließlich auf die Informationen zugreift, die sie für die Ausübung ihrer Aufgaben benötigt.
  • Der physische Zugang zu den Unternehmensräumlichkeiten ist ausschließlich autorisiertem Personal vorbehalten.
  • Alle Mitarbeitenden müssen ihre Ein- und Austritte über das Zeiterfassungs- und Stempelsystem registrieren.
  • Der Zugang externer Personen zum Unternehmen muss in den von NeuronUP festgelegten Fällen registriert werden.
  • Es ist die von NeuronUP vorgegebene Richtlinie zur Passwortverwaltung zu befolgen.
  • Computer sind so konfiguriert, dass sie nach einer Inaktivitätsperiode automatisch durch einen passwortgeschützten Bildschirmschoner gesperrt werden. Es liegt jedoch in der Verantwortung der Nutzerin bzw. des Nutzers, den Rechner jedes Mal manuell zu sperren, wenn der Arbeitsplatz verlassen wird.
  • Wenn ein Mitarbeitender aus dem Unternehmen ausscheidet, werden seine Zugriffsrechte deaktiviert.
  • Die Nutzerinnen und Nutzer verfügen über eine Unternehmens-E-Mail-Adresse zur Ausübung ihrer Arbeit.
  • In Verträgen mit Dritten werden die entsprechenden Sicherheitsklauseln aufgenommen.
  • Die Nutzerinnen und Nutzer dürfen Antivirusprogramme oder andere installierte Werkzeuge bzw. Kontrollen, die der Verbesserung der Sicherheit dienen, niemals deaktivieren.
  • Nutzerinnen und Nutzer dürfen keine Erwartung an Privatsphäre haben, wenn sie auf die Informationssysteme des Unternehmens zugreifen, da dieses (im gesetzlich vorgesehenen Rahmen und mit dem Ziel, die Systeme zu steuern und die Sicherheit durchzusetzen) alle auf seinen Systemen gespeicherten Informationen überprüfen kann.
  • Alle Fragen zur Sicherheit können an [email protected] gerichtet werden.
  • Wenn eine Situation festgestellt wird, die die Informationssicherheit von NeuronUP beeinträchtigt, muss jede Nutzerin bzw. jeder Nutzer (Mitarbeitende oder Externe) dies der verantwortlichen Abteilung und/oder dem Sicherheitsverantwortlichen melden.

8. Personenbezogene Daten

NeuronUP erhebt und verarbeitet personenbezogene Daten nur, wenn dies notwendig ist und gemäß den Datenschutzvorschriften. Daher verfügt NeuronUP über eine Richtlinie zum Schutz personenbezogener Daten, die den gemäß den geltenden Vorschriften erforderlichen Sicherheitsniveaus entspricht.

Es werden die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, um den Schutz personenbezogener Daten zu gewährleisten.

9. Dritte

Wenn NeuronUP Dienstleistungen für andere Organisationen erbringt oder Informationen Dritter verarbeitet, werden diese an dieser Informationssicherheitsrichtlinie sowie an den daraus abgeleiteten Normen und Anweisungen beteiligt. Es werden Kanäle für Meldung und Koordination der jeweiligen Sicherheitsausschüsse eingerichtet und Verfahren für das Vorgehen bei der Reaktion auf Sicherheitsvorfälle festgelegt.

Wenn NeuronUP Dienstleistungen Dritter nutzt oder Informationen an Dritte weitergibt, werden diese an dieser Richtlinie und an den Sicherheitsvorschriften beteiligt, die diese Dienstleistungen oder Informationen betreffen. Die betreffende Drittpartei unterliegt den in den Vorschriften festgelegten Verpflichtungen und kann eigene operative Verfahren entwickeln, um diese zu erfüllen. Es werden spezifische Verfahren zur Meldung und Behebung von Vorfällen eingerichtet. Es wird sichergestellt, dass das Personal von Drittparteien angemessen für Sicherheit sensibilisiert ist, mindestens auf dem in dieser Richtlinie festgelegten Niveau.

Wenn ein Aspekt der Richtlinie von einer Drittpartei nicht wie in den vorstehenden Absätzen gefordert erfüllt werden kann, ist ein Bericht des Sicherheitsverantwortlichen erforderlich, der die eingegangenen Risiken und deren Behandlung präzisiert. Dieser Bericht muss von den für die betroffenen Informationen und Dienstleistungen Verantwortlichen genehmigt werden, bevor fortgefahren wird.

Datum der letzten Überprüfung: 22. November 2025

logo