Mycompany IT Sicherheitspolitik
Die folgenden neun Punkte geben die Sicherheitspolitik in genau der Form dar, in der sie in der Firma im Einsatz ist.
Detailliertere Informationen und Anweisungen zur Sicherheitspolitik finden sich in den Richtlinien zur IT-Sicherheit (s.u.).
1 Zweck
Beschreibung des geforderten Sicherheitsniveaus maschinell verarbeiteter Informationen
Festlegung von Rechten und Pflichten der Ersteller und Benutzer von Informationen
2 Geltungsbereich
2.1 funktionell / personell
Diese TI gilt für alle Abteilungen unseres Hauses, d.h. für alle Mitarbeiter, die mit maschinell verarbeiteten Informationen arbeiten
2.2 sachlich
alle maschinell verarbeiteten Informationen bei MyCompany
2.3 Ausnahmen
keine
3 Begriffsdefinition
IT-Sicherheitsmanagement - Team
Die anfallenden Aufgaben, um das angestrebte IT-Sicherheitsniveau zu erreichen und zu erhalten, müssen von einer Instanz oder Person innerhalb der Firma koordiniert und verantwortlich geregelt werden. Diese Instanz oder Person wird als "IT-Sicherheitsmanagement - Team" der Firma bezeichnet.
4 Verantwortungen und Zuständigkeiten
Sicherheitsniveau realisieren
jeder Mitarbeiter
Schulung zur IT-Sicherheit
Abteilung IT
technische Grundlagen schaffen, prüfen, abändern
Abteilung IT
5 Beschreibung
5.1 Ermitteltes IT-Sicherheitsniveau (hoch / mittel / niedrig):
mittel, das heißt:
- Der Schutz von Informationen, die nur für den internen Gebrauch bestimmt sind, muss gewährleistet sein.
- Kleinere Fehler können toleriert werden, Fehler, die die Aufgabenerfüllung deutlich beeinträchtigen, müssen jedoch erkenn- oder vermeidbar sein.
- Längere Ausfallzeiten, die zu Terminüberschreitungen führen, sind nicht zu tolerieren.
Insgesamt ist zu beachten:
Schäden haben Beeinträchtigungen der Firma zur Folge.
5.2 Etablierung des IT-Sicherheitsmanagement - Teams
Die Teammitglieder bei Mycompany werden von der Abteilung IT bestimmt und sind in den Richtlinien zur IT-Sicherheit festgelegt.
5.3 Sicherheitsbewusstsein
Die IT-Sicherheitspolitik ist ein wichtiger Faktor für den zuverlässigen Ablauf bei den täglichen Aufgaben der gesamten Firma. Daraus folgt, dass auch das Sicherheitsbewusstsein ein entscheidender Erfolgsfaktor ist.
Sicherheitsbewusstsein wird durch folgendes Verhalten gekennzeichnet:
- Erkennen, dass effektive Sicherheit ein kritisches und wesentliches Element der Unternehmensphilosophie ist.
- Stets vorhandenes Sicherheitsbewusstsein bei allen täglich anfallenden Aktivitäten.
- Persönliche Verantwortlichkeit für proaktive Maßnahmen in Bezug auf sämtliche Risiken für Mitarbeiter, Informationen, Vermögenswerte und die Fortführung der Geschäftstätigkeit im Notfall.
- Ausrichten des Sicherheits- und Kontrollumfangs an das jeweilige Geschäftsrisiko.
- Verantwortung des einzelnen Benutzers für IT-Sicherheit in seinem jeweiligen Arbeitsbereich.
5.4 Aus dem Sicherheitsniveau abgeleitete Ziele
- Integrität der IT (Richtigkeit der gespeicherten und verarbeiteten Daten muss sichergestellt sein)
- Manipulationen ausschliessen und Benutzerfehler verhindern
- Unfälle (sowohl technische Defekte als auch grobe Software und Bedienerfehler) vermeiden und erkennen
- Verbindlichkeit der Daten (letzte Änderungen an z.B. CAD-Zeichnungen)
- Erstellen, Ändern, Löschen von Daten nachvollziehbar und auf Benutzer abbildbar machen. Dies umfasst auch Nichtabstreitbarkeit, Beweissicherheit, Nachweisbarkeit, Verantwortlichkeit.
- Sicherung der Daten gegen unautorisierten Zugriff sowohl von Aussen als auch von Innen
- Die Definition des Sicherheitsniveaus und die daraus resultierenden Zugriffsbeschränkungen unterliegen dem Ersteller/Eigentümer der Information bzw. Daten
- Zugriffsschutz besonders wichtig bei bestehenden Verbindungen z.B. ins Internet als auch bei direktem Zugriff bei lokalen Mycompany-Rechnern
- Keine Abschottung von der Aussenwelt (z.B. Internet) um den Informationsfluss zwischen Mitarbeitern und externen Quellen zu erleichtern und zu beschleunigen.
- Zugriff auf interne Daten durch Aussenstellen ermöglichen
- Kritische Daten sollen auch von anderen Firmenstandorten online eingesehen werden können, ohne von Unbefugten gelesen werden zu können
- Öffentlichen Zugriff auf dedizierte interne Daten von aussen erlauben
- Es sollen verschiedene Dienste (z.B. im Internet) zur Verfügung gestellt werden können
6 Anmerkungen
6.1 mitgeltende Unterlagen
keine
6.2 Literaturhinweise
IT - Grundschutzhandbuch des Bundesamt für Sicherheit in der Informationstechnik
6.3 Anmerkungen
keine
7 Dokumentation und Änderungsdienst
Diese TI und sämtliche Änderungen unterliegen zusammen mit den dazugehörigen Nachweisdokumenten vollständig der Dokumentationspflicht.
Zuständig für Änderungen ist der Leiter des IT-Sicherheitsmanagement - Teams
8 Verteiler
gemäß dem in TI-ORG-0001 definierten Verteiler für diese TI-Klasse.
9 Anlagen
- Richtlinien zur IT-Sicherheit
- Mitglieder IT-Sicherheitsmanagement Team