ÜBERGEORDNETES ZIEL
Es ist das übergeordnete Ziel der DATOlution GmbH, dass alle Systeme und Anwendungen, die der …
→ Erstellung
→ Speicherung
→ Sicherung
→ Verarbeitung
→ Übertragung
… von Daten und Informationen dienen, so ausgewählt, integriert und konfiguriert sind, dass für die auf ihnen verarbeiteten Informationen zu jeder Zeit und unter allen Umständen das angemessene Maß an
→ Vertraulichkeit
→ Integrität
→ Verfügbarkeit
sichergestellt ist.
Dies schließt ausdrücklich alle beteiligten Mitarbeiter mit ein, sowohl am Standort in Erlangen als auch in mobilen Arbeitssituationen. Diese sind im erforderlichen Umfang bezüglich der Informationssicherheit zu sensibilisieren und zu qualifizieren.
Belange der Informationssicherheit sind zu berücksichtigen
→ in der Gestaltung der Organisationsstrukturen
→ bei der Schaffung und Besetzung von Funktionen und Rollen
→ bei der Führung von Mitarbeitern (Sensibilisierung, Schulung, Weiterbildung)
→ der Klassifizierung, Kennzeichnung, Handhabung, Übertragung und dem Schutz von Informationen
→ bei der Steuerung des Zugangs zu Informationen
→ bei der Auswahl, Beschaffung und Entsorgung von IT-Produkten und Hilfsmitteln
→ bei der Handhabung von Informationssicherheitsvorfällen und Notfällen
→ bei Change-Management Prozessen
→ bei der Zusammenarbeit mit Behörden und Externen
→ der Nutzung von Diensten (z.B. Clouddienste)
→ bei der Entwicklung und Bereitstellung von Produkten sowie Dienstleistungen
→ bei der Verbesserung der IT-Sicherheit unserer eigenen Produkte und Dienstleistungen
Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schützenden Informationen und der IT-Systeme definiert.
SICHERHEITSZIELE
Die in den nachfolgenden Abschnitten genannten Ziele dienen dazu, die an die DATOlution GmbH gestellten gesetzlichen, regulatorischen und vertraglichen Anforderungen zu erfüllen. Sie werden mindestens jährlich überprüft und bei Bedarf aktualisiert.
Vertraulichkeit
Die durch IT-Systeme erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind entsprechend ihrer Klassifizierung vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schützen. Zu diesem Zweck ist für alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen. Der Zugriff auf IT-Systeme, IT-Anwendungen und Daten sowie Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken. Jeder Mitarbeiter erhält eine Zugriffsberechtigung nur für die Daten, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt.
Integrität
Informationen und Software-Produkte sind gegen unbeabsichtigte Veränderung und vorsätzliche Verfälschung zu schützen. Alle Software-Produkte sollen stets aktuelle und vollständige Informationen liefern. Eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren.
Verfügbarkeit
Für alle für den Betrieb unsere Software-Produkte und die Erbringung unserer Dienstleistungen
eingesetzten IT-Systeme sind die Zeiten, in denen sie verfügbar sein sollen, festzulegen. Betriebsunterbrechungen sind in diesen Zeiten weitgehend zu vermeiden, d. h. nach Zahl und Dauer zu begrenzen.
Die Beschreibung der notwendigen Verfügbarkeit umfasst
→ die regelmäßigen Betriebszeiten
→ die maximal tolerierbare Dauer einzelner Ausfälle
Ebenfalls festzulegen sind regelmäßig geplante Auszeiten, insbesondere zu Wartungszwecken.
