TOM INFORMATIONSRICHTLINIEN

5.1 Vorgaben der Leitung für Informationssicherheit

5.1 Vorgaben der Leitung für Informationssicherheit

5.1.1 Informationssicherheitsrichtlinien

5.1.1.1 Richtlinien

Unsere Richtlinien zur Informationssicherheit definieren verbindliche Maßnahmen und Verhaltensweisen, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation zu gewährleisten und damit potenzielle Risiken durch unbefugte Zugriffe oder Datenverlust zu minimieren.

Berücksichtigung der Geschäftsstrategie

Wir als Organisation überprüfen regelmäßig unsere Geschäftsstrategie, um sicherzustellen, dass die Informationssicherheitsrichtlinien im Einklang mit unseren strategischen Zielen stehen. Dabei stellen wir sicher, dass alle sicherheitsrelevanten Aspekte die Unterstützung unserer langfristigen Unternehmensziele gewährleisten. Falls sich unsere Geschäftsstrategie ändert, passen wir umgehend die Informationssicherheitsrichtlinien an, um sicherzustellen, dass die Sicherheitsmaßnahmen weiterhin auf unsere aktuellen und zukünftigen Unternehmensziele abgestimmt sind.

Einhaltung von Vorschriften, Gesetzen und Verträgen

Unsere Organisation identifiziert alle relevanten gesetzlichen und regulatorischen Anforderungen sowie vertraglichen Verpflichtungen, die uns betreffen. Wir stellen sicher, dass unsere Informationssicherheitsrichtlinien diese Anforderungen und Vorgaben umfassen. Unsere Informationssicherheitsrichtlinien werden regelmäßig überprüft, um sicherzustellen, dass sie den aktuellen Vorschriften, Gesetzen und vertraglichen Anforderungen entsprechen. Sobald es rechtliche Änderungen gibt, aktualisieren wir die Richtlinien entsprechend.

Berücksichtigung des Bedrohungsumfeldes

Unsere Organisation führt regelmäßige Risiko- und Bedrohungsanalysen durch, um das aktuelle und voraussichtliche Bedrohungsumfeld der Informationssicherheit zu bewerten. Dies ermöglicht uns, mögliche Schwachstellen und Bedrohungen frühzeitig zu erkennen. Auf Basis der Ergebnisse dieser Risikoanalysen aktualisieren wir unsere Informationssicherheitsrichtlinien. Wir passen die Richtlinien gezielt an, um neuen Bedrohungen und Schwachstellen gerecht zu werden und unsere Sicherheitsanforderungen entsprechend zu stärken. (vgl. hierzu Datenschutzleitlinie 5.3 Kunden-, Interessenten- und Partnerdaten, 5.4 Mitarbeiterdaten Abs. Datenverarbeitung im gesetzlichen Rahmen).

Themenspezifische Richtlinien

In den weiteren Kapiteln der TOMs wird die Informationssicherheitspolitik durch themenspezifische Richtlinien unterstützt, die zusätzlich die Umsetzung von Maßnahmen zur Informationssicherheit anordnen. Diese Richtlinien sind in der Regel so aufgebaut, dass die Bedürfnisse gewisser Zielgruppen einer Organisation angesprochen oder bestimmte Themen abgedeckt werden.

Beispiele für solche themenspezifische Richtlinien sind unter anderen:

a) Zugangssteuerung (siehe Kapitel 9);

b) Informationsklassifizierung (und deren Handhabung) (siehe 8.2);

c) physische und umgebungsbezogene Sicherheit (siehe Kapitel 11);

d) an den Endanwender gerichtete Themen wie:

  • zulässiger Gebrauch von Werten (siehe 8.1.3);
  • Richtlinien für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren (siehe 11.2.9);
  • Informationsübertragung (siehe 13.2.1);
  • Mobilgeräte und Telearbeit (siehe 6.2);
  • Einschränkung von Softwareinstallationen (siehe 12.6.2);

e) Datensicherung (siehe 12.3);

f) Informationsübertragung (siehe 13.2);

g) Schutz vor Schadsoftware (siehe 12.2);

h) Handhabung technischer Schwachstellen (siehe 12.6.1);

i) kryptographische Maßnahmen (siehe Kapitel 10);

j) Kommunikationssicherheit (siehe Kapitel 13);

k) Privatsphäre und Schutz von personenbezogener Information (siehe 18.1.4);

l) Lieferantenbeziehungen (siehe Kapitel 15).

5.1.1.2 Informationssicherheitspolitik

Unsere Informationssicherheitspolitik bildet das fundamentale Rahmenwerk, das die grundlegenden Prinzipien und Maßnahmen zur Gewährleistung der Sicherheit von Informationen und IT-Systemen in unserer Organisation festlegt und damit einen wesentlichen Beitrag zum Schutz vor Datenverlust, Missbrauch und Cyberangriffen leistet.

Definition von Informationssicherheit, Zielen und Grundsätzen

Unsere Informationssicherheit umfasst den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Ziel ist es, sicherzustellen, dass Informationen nur für autorisierte Personen zugänglich sind (Vertraulichkeit), dass sie korrekt und vollständig sind (Integrität) und bei Bedarf verfügbar bleiben (Verfügbarkeit). Unsere Informationssicherheitspolitik lenkt alle sicherheitsrelevanten Aktivitäten des Unternehmens, um Risiken zu minimieren und die Sicherheit der Informationen zu gewährleisten. Sie definiert klare Ziele und Grundsätze, die als Leitlinien für den Umgang mit Informationen dienen. Dabei werden Verantwortlichkeiten festgelegt und Prozesse zur Handhabung von Abweichungen und Ausnahmen definiert, um die Einhaltung der Sicherheitsanforderungen sicherzustellen. (vgl. hierzu Datenschutzleitlinie 3. Datenschutzziele)

Unsere Organisation strebt an, alle geschäftskritischen und personenbezogenen Informationen vor unautorisiertem Zugriff, Verlust oder Manipulation zu schützen. Dies umfasst den Schutz von Daten unserer Kunden, Partner und Mitarbeitenden. (vgl. hierzu Datenschutzleitlinie 5. Identifikation von „personenbezogenen Daten“ im Unternehmen).

Wir setzen uns das Ziel, Sicherheitsrisiken durch regelmäßige Risikoanalysen frühzeitig zu identifizieren und zu reduzieren. Maßnahmen zur Risikominderung werden priorisiert umgesetzt. (vgl. hierzu Datenschutzleitlinie 7.2 Datenschutzprozesse und Dokumentationen)

Um einen reibungslosen Geschäftsablauf zu gewährleisten, stellen wir die Verfügbarkeit unserer Systeme und Informationen sicher. Wir setzen dafür effektive Notfallpläne und Wiederherstellungsverfahren ein.

Unser Ziel ist es, alle relevanten gesetzlichen, regulatorischen und vertraglichen Anforderungen im Bereich der Informationssicherheit einzuhalten. Wir überwachen kontinuierlich Veränderungen in rechtlichen Rahmenbedingungen.

Wir wollen ein Bewusstsein für Informationssicherheit in der gesamten Organisation schaffen, indem wir regelmäßige Schulungen und Kommunikationsmaßnahmen durchführen. Alle Mitarbeitenden sollen über die Risiken und Maßnahmen zur Informationssicherheit informiert sein. (vgl. hierzu Datenschutzleitlinie 7.1 Schulung und Sensibilisierung)

Wir verpflichten uns, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Diese Prinzipien leiten unsere Entscheidungen im Umgang mit Daten und Systemen.

Der Zugang zu Informationen und IT-Systemen wird ausschließlich autorisierten Personen gestattet. Wir richten unsere Zugriffsrechte nach dem Prinzip der Notwendigkeit und des minimalen Zugriffs aus.

Informationssicherheit ist ein kontinuierlicher Prozess. Wir setzen auf regelmäßige Überprüfungen und Verbesserungen unserer Sicherheitsmaßnahmen, um aktuellen Bedrohungen gerecht zu werden.

Alle sicherheitsrelevanten Handlungen werden transparent und nachvollziehbar dokumentiert. Verantwortlichkeiten in Bezug auf Informationssicherheit sind klar definiert und zugeordnet.

Alle Mitarbeitenden sind für den Schutz der Informationen mitverantwortlich. Es wird erwartet, dass Sicherheitsvorfälle gemeldet und Informationen nur im Rahmen der festgelegten Sicherheitsrichtlinien genutzt werden. (vgl. hierzu Datenschutzleitlinie 7.5 Datenschutzvorfälle und Sanktionen)

Zuordnung allgemeiner und spezifischer Verantwortlichkeiten

Der IT-Sicherheitsbeauftragte stellt die Handhabung der Informationssicherheit sicher. Er entwickelt Vorgaben und Prozesse zum Umgang und zur Weitergabe von sensiblen sowie öffentlichen Informationen und ist erster Ansprechpartner für Informationssicherheitsvorfälle.

Prozesse für den Umgang mit Abweichungen und Ausnahmen

Im Falle einer Abweichung von der Informationssicherheitspolitik wird zunächst die betroffene Abteilung informiert. Ein zuständiger Verantwortlicher (z.B. der IT-Sicherheitsbeauftragte) bewertet die Ursachen der Abweichung und dokumentiert diese. Anschließend wird eine Risikobewertung durchgeführt, um die Auswirkungen auf die Informationssicherheit zu ermitteln. Wenn erforderlich, werden Sofortmaßnahmen eingeleitet, um das Risiko zu minimieren. Nach der Behebung der Abweichung erfolgt eine Überprüfung der getroffenen Maßnahmen und eine Aktualisierung der Sicherheitsrichtlinien, falls notwendig. Anträge auf Ausnahmen von der Informationssicherheitspolitik müssen schriftlich eingereicht und von der verantwortlichen Sicherheitsstelle geprüft werden. Die Entscheidung über die Ausnahme wird auf Grundlage einer Risikoanalyse getroffen, die die potenziellen Sicherheitslücken und deren Auswirkungen berücksichtigt. Wird die Ausnahme genehmigt, werden die spezifischen Bedingungen und Einschränkungen dokumentiert und überwacht. Die betroffene Abteilung wird angewiesen, regelmäßige Kontrollen durchzuführen, um sicherzustellen, dass die Ausnahme nicht zu einem erhöhten Risiko führt. Nach Ablauf der Ausnahmefrist erfolgt eine Evaluierung, um zu entscheiden, ob die Ausnahme verlängert oder aufgehoben werden kann.

5.1.2 Überprüfung der Informationssicherheitsrichtlinien

Die Organisation überprüft die Informationssicherheitsrichtlinien regelmäßig in jährlichen Abständen oder nach erheblichen Änderungen in der Geschäftstätigkeit.

Last updated: March 10, 2025: feat(ISO-1140): add chapter 5 (4533bb7)
Bearbeiten