1. Einleitung
NeuronUP ist auf ICT-Systeme (Informations- und Kommunikationstechnologien) angewiesen, um seine Ziele zu erreichen. Diese Systeme müssen sorgfältig verwaltet werden, wobei geeignete Maßnahmen ergriffen werden, um sie vor unbeabsichtigten oder vorsätzlichen Schäden zu schützen, die die Verfügbarkeit, Integrität oder Vertraulichkeit der verarbeiteten Informationen oder der erbrachten Dienstleistungen beeinträchtigen könnten.
Das Personal von NeuronUP muss sicherstellen, dass die Sicherheit ein integraler Bestandteil jeder Phase des Lebenszyklus des Systems ist, von der Konzeption bis zur Außerbetriebnahme, einschließlich der Entwicklungs- oder Erwerbsentscheidungen und der betrieblichen Aktivitäten.
Die Abteilungen von NeuronUP müssen entsprechend den ihnen zugewiesenen Aufgaben darauf vorbereitet sein, Vorfälle zu verhindern, zu erkennen, darauf zu reagieren und sich davon zu erholen, in Übereinstimmung mit den geltenden Vorschriften.
Um die Einhaltung dieser Richtlinie zu gewährleisten, entwickelt und bewertet das Informationssicherheitskomitee regelmäßig die Systeme und stellt sicher, dass alle Mitarbeiter von NeuronUP ihre Aufgaben im Einklang mit der Informationssicherheit kennen und erfüllen.
2. Anwendungsbereich
Diese Richtlinie gilt für alle ICT-Systeme von NeuronUP und für alle Mitglieder der Organisation, ohne Ausnahmen.
3. Ziel dieser Richtlinie
Ziel dieser Richtlinie ist es, den Rahmen für das Handeln zu setzen, um die Informationssicherheit und die kontinuierliche Erbringung der Dienstleistungen zu gewährleisten.
Diese Richtlinie wird durch Sicherheitsdokumentationen und -vorschriften umgesetzt, die allen Mitgliedern der Organisation, die sie kennen müssen, zur Verfügung stehen, insbesondere für diejenigen, die die Informations- und Kommunikationssysteme nutzen, betreiben oder verwalten, durch Verfahren, Prozesse, technische Anweisungen usw.
Die Sicherheitsvorschriften sind allen Mitarbeitern der Organisation in ihrem allgemeinen Dokumentationsbereich innerhalb von Google Workspace zugänglich.
4. Rechtsrahmen
NeuronUP verpflichtet sich, alle geltenden Gesetze, Vorschriften und Bestimmungen im Bereich der Informationssicherheit einzuhalten.
5. Organisation der Sicherheit
Die Unternehmensleitung übernimmt die Verantwortung für die Förderung und Unterstützung der Umsetzung technischer, organisatorischer und kontrollierender Maßnahmen, die die erforderlichen Qualitäts- und Sicherheitsstandards für die Unternehmensoperationen gewährleisten, und verpflichtet sich zur kontinuierlichen Verbesserung des Informationssicherheitsmanagementsystems (ISMS).
Die Verantwortung für diese Aufgabe wird an das Informationssicherheitsmanagementkomitee (ISMC) oder Sicherheitskomitee delegiert.
Die Leitung von NeuronUP errichtet das Sicherheitskomitee als ein übergreifendes kollegiales Gremium, das sich zusammensetzt aus:
- Informationssicherheitsbeauftragter des Unternehmens und Vorsitzender des Komitees
- Systemadministrator als Sekretär des Sicherheitskomitees
- Chief Technology Officer
Die Ernennungen werden alle 2 Jahre oder wenn eine Position vakant wird, auf Vorschlag des Sicherheitskomitees überprüft.
Die Zuständigkeiten dieser Rollen sind in den Stellenbeschreibungen der jeweiligen Verantwortlichen enthalten, und das Verfahren für ihre Ernennung und/oder Erneuerung wird von der Leitung genehmigt.
5.1. Aufgaben des Sicherheitskomitees
Die Hauptaufgabe des Informationssicherheitskomitees besteht darin, die Informationssicherheitspolitik und die Ziele des Informationssicherheitsmanagementsystems (ISMS) festzulegen.
Das Sicherheitskomitee wird die als akzeptabel angesehenen Risikostufen festlegen und die geeigneten Maßnahmen zur Reduzierung der Risiken bestimmen, die diese Schwellenwerte überschreiten.
Das Sicherheitskomitee ist auch für die jährliche Überprüfung dieser Informationssicherheitspolitik verantwortlich und für die Vorschläge zur Überarbeitung oder Beibehaltung der gleichen, die durch Sicherheitsrichtlinien und -empfehlungen (Richtlinien, Protokolle, Verfahren, technische Anweisungen usw.) ergänzt werden.
Mindestens jährlich zu überprüfende Sicherheitsaspekte:
- Stand der seit der letzten Kontrolle durchzuführenden Maßnahmen
- Relevante Änderungen für das ISMS
- Risikomanagement, Schwachstellen und Bedrohungen
- Technologien, Produkte und Dienstleistungen zur kontinuierlichen Verbesserung
6. Risikomanagement
Um die Risikobewertungen zu harmonisieren, wird das Sicherheitskomitee eine Referenzbewertung für die verschiedenen Arten von verwalteten Informationen und erbrachten Dienstleistungen festlegen.
Das Sicherheitskomitee wird die Verfügbarkeit von Ressourcen prüfen, um den Sicherheitsbedürfnissen der verschiedenen Systeme gerecht zu werden.
Alle Systeme, die dieser Richtlinie unterliegen, müssen eine Risikobewertung vornehmen, bei der die Bedrohungen und Risiken, denen sie ausgesetzt sind, bewertet werden. Diese Analyse wird wiederholt:
- Regelmäßig, mindestens einmal jährlich
- Wenn ein schwerwiegender Sicherheitsvorfall eintritt
- Wenn schwerwiegende Schwachstellen gemeldet werden
Um die Verfügbarkeit kritischer Dienstleistungen im Falle von Vorfällen sicherzustellen, verfügt das Unternehmen über ein Verfahren für den Katastrophenwiederherstellungsplan, das alle Wiederherstellungsaktivitäten der betroffenen Geschäftsprozesse koordiniert.
7. Pflichten des Personals
Alle Mitglieder von NeuronUP sind verpflichtet, diese Informationssicherheitspolitik und die Sicherheitsvorschriften zu kennen und einzuhalten, und es ist die Verantwortung des Sicherheitskomitees, die notwendigen Mittel bereitzustellen, damit die Informationen die betroffenen Personen erreichen.
Die Nichteinhaltung dieser Informationssicherheitspolitik und der dazugehörigen Vorschriften kann zu Disziplinarmaßnahmen gemäß dem Arbeitnehmerstatut und dem anwendbaren Tarifvertrag führen.
Die spezifischen Richtlinien für die Mitarbeiter werden in der Datenschutz- und Sicherheitsrichtlinie für Mitarbeiter entwickelt.
7.1. Sensibilisierung und Schulung
Alle Mitglieder von NeuronUP nehmen mindestens einmal jährlich an einer Sensibilisierungssitzung zur ICT-Sicherheit teil. Ein kontinuierliches Sensibilisierungsprogramm wird eingerichtet, um alle Mitglieder von NeuronUP zu erreichen, insbesondere diejenigen, die neu eingestellt wurden.
Personen, die für die Nutzung, den Betrieb oder die Verwaltung von Systemen verantwortlich sind, erhalten eine Schulung zum sicheren Umgang mit den Systemen, soweit dies für die Ausübung ihrer Tätigkeit erforderlich ist. Die Schulung ist obligatorisch, bevor die Verantwortung übernommen wird, sei es bei der ersten Zuweisung oder bei einem Wechsel der Position oder der Verantwortlichkeiten innerhalb derselben Position.
7.2. Grundlegende Richtlinien des ISMS
Die grundlegenden Richtlinien für den sicheren Umgang mit Informationen und die Strukturierung der Sicherheitsdokumentation des Systems, deren Verwaltung und Zugriff, sind in den Handbüchern, Richtlinien, Vorschriften und Verfahren des ISMS entwickelt.
Die grundlegenden Richtlinien für den sicheren Umgang mit Informationen sind die folgenden:
- Informationen müssen in die folgenden Kategorien eingestuft werden: Öffentlich, Intern, Vertraulich oder Geheim.
- Trägermedien, die vertrauliche oder geheime Informationen speichern, müssen an einem sicheren Ort aufbewahrt werden.
- Der Zugang zu den Informationssystemen wird auf der Grundlage des Bedarfs gewährt.
- Physische Zugangskontrollen zum Gebäude beschränken den Zugang auf autorisiertes Personal.
- Alle Mitarbeiter müssen ihre Ein- und Ausgänge aus den Firmengebäuden über das Zeiterfassungssystem registrieren.
- Externe Personen müssen sich in den von NeuronUP festgelegten Fällen registrieren.
- Die von NeuronUP angegebene Passwortverwaltungspolitik ist zu befolgen.
- Computer sind so konfiguriert, dass sie nach einer Inaktivitätszeit automatisch mit einem passwortgeschützten Bildschirmschoner gesperrt werden. Es liegt jedoch in der Verantwortung des Benutzers, den Computer manuell zu sperren, wenn der Arbeitsplatz verlassen wird.
- Jedes Mal, wenn ein Mitarbeiter das Unternehmen verlässt, werden seine Zugriffsrechte deaktiviert.
- Die Nutzer verfügen über eine Firmen-E-Mail für die Erledigung ihrer Arbeit.
- Verträge mit Dritten enthalten die entsprechenden Sicherheitsklauseln.
- Die Nutzer dürfen Antivirenprogramme oder andere installierte Sicherheitswerkzeuge oder -kontrollen niemals deaktivieren.
- Die Nutzer sollten keine Erwartungen an die Privatsphäre haben, wenn sie auf die Informationssysteme des Unternehmens zugreifen, da das Unternehmen (im Rahmen der festgelegten gesetzlichen Bestimmungen und zum Zwecke der Systemverwaltung und Sicherheit) alle in seinen Systemen gespeicherten Informationen überprüfen kann.
- Fragen zur Sicherheit können an [email protected] gerichtet werden.
- Bei der Feststellung einer Situation, die die Informationssicherheit von NeuronUP gefährdet, muss jeder Nutzer (Mitarbeiter oder Externer) dies dem Abteilungsleiter und/oder dem Sicherheitsbeauftragten melden.
8. Persönliche Daten
NeuronUP verarbeitet persönliche Daten und verfügt daher über eine Richtlinie zum Schutz persönlicher Daten, die den erforderlichen Sicherheitsstufen gemäß den geltenden Vorschriften entspricht.
Das Sicherheitsdokument wird regelmäßig überprüft und aktualisiert, um die geforderte Proaktivität zu zeigen und die Sicherheit der verarbeiteten persönlichen Daten zu gewährleisten.
9. Dritte Parteien
Wenn NeuronUP Dienstleistungen für andere Organisationen erbringt oder Informationen von anderen Organisationen verwaltet, wird diese Informationssicherheitspolitik mitgeteilt, es werden Kanäle für die Berichterstattung und Koordination der jeweiligen Sicherheitskomitees eingerichtet und Verfahren zur Reaktion auf Sicherheitsvorfälle festgelegt.
Wenn NeuronUP Dienstleistungen von Dritten in Anspruch nimmt oder Informationen an Dritte weitergibt, werden diese über diese Sicherheitsrichtlinie und die für diese Dienstleistungen oder Informationen geltenden Sicherheitsvorschriften informiert. Diese dritte Partei unterliegt den in diesen Vorschriften festgelegten Verpflichtungen und kann eigene Betriebsverfahren zur Erfüllung dieser Verpflichtungen entwickeln. Es werden spezifische Verfahren zur Meldung und Lösung von Vorfällen festgelegt. Es wird sichergestellt, dass das Personal der Dritten in Sicherheitsfragen angemessen sensibilisiert wird, mindestens auf dem in dieser Richtlinie festgelegten Niveau.
Wenn ein Aspekt der Richtlinie von einer dritten Partei nicht wie in den vorhergehenden Absätzen gefordert erfüllt werden kann, ist ein Bericht des Sicherheitsbeauftragten erforderlich, in dem die eingegangenen Risiken und deren Bewältigung beschrieben werden. Die Genehmigung dieses Berichts durch die Verantwortlichen für die betroffenen Informationen und Dienstleistungen ist erforderlich, bevor fortgefahren wird.