TOM INFORMATIONSSICHERHEIT

6.1 Interne Organisation

Die interne Organisation ist für ein effektives Informationssicherheitsmanagement unerlässlich. Es wird die Notwendigkeit beschrieben, klare Verantwortlichkeiten und Rollen innerhalb der Organisation zu definieren, um die Informationssicherheit zu gewährleisten. Eine strukturierte interne Organisation stellt sicher, dass Risiken angemessen bewertet und behandelt werden können. Zudem fördert sie eine Kultur der Sicherheitsbewusstheit und unterstützt die Umsetzung der Informationssicherheitsrichtlinien im gesamten Unternehmen.

6.1.1 Informationssicherheitsrollen und -verantwortlichkeiten

Werte und Informationssicherheitsprozesse werden - wie unter 8.1.1 Inventarisierung der Werte beschrieben - identifiziert und inventarisiert. Die verantwortliche Entität für jeden Wert oder Informationssicherheitsprozess werden hier zugeordnet und dokumentiert.

Um Verantwortungen im Bereich Informationssicherheit gerecht zu werden, sollten die ernannten Personen in diesem Bereich kompetent sein und die Gelegenheit erhalten, mit Entwicklungen Schritt halten zu können. Hierfür sind auch alle nötigen Schulungen vorzunehmen und zu dokumentieren.

Sicherheitsmaßnahmen für IT-Assets: Für alle IT-Assets müssen angemessene Sicherheitsmaßnahmen implementiert werden, um unautorisierten Zugriff, Verlust, Beschädigung oder Kompromittierung zu verhindern. Dies umfasst physische Sicherheitsmaßnahmen, Zugriffskontrollsysteme, Verschlüsselung und Antivirus-Software. Die genaue Ausgestaltung hierzu müssen den Vorgaben von 12 Betriebssicherheit entsprechen.

Des Weiteren werden die folgenden Maßnahmen durchgeführt:

Werte und Informationssicherheitsprozesse

Es werden Verzeichnisse über alle Werte und der zugehörigen Informationssicherheitsprozesse geführt und von den Fachabteilungen jährlich auf Aktualität geprüft. Darüber hinaus werden klare Beschreibungen der Sicherheitsanforderungen für kritische Wert definiert, einschließlich Vertraulichkeit, Integrität und Verfügbarkeit. (Näheres hierzu in Kapitel 8.1.1 Inventarisierung der Werte)

Verantwortlichkeiten

Jedem Wert und Prozess sind verantwortliche Personen zugewiesen (z.B. Daten- und Datenschutz-Beauftragter, Systemverantwortliche etc.), welche in den zugehörigen Management-Tools dokumentiert sind. Verantwortlichkeiten und Aufgaben werden in Form von Stellenbeschreibungen und Rollenprofilen klar und eindeutig an alle Beteiligten kommuniziert. (Näheres hierzu in Kap. 8.1.2 Zuständigkeit für Werte)

Die Verantwortlichkeiten werden regelmäßig überprüft und bei Bedarf angepasst, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen. Änderungen werden dokumentiert und den betroffenen Mitarbeitenden kommuniziert.

Berechtigungskonzept

Ein rollenbasiertes Berechtigungskonzept beschränkt den Zugang zu Informationen und IT-Systemen auf das Notwendige. Alle Berechtigungen werden in einem zentralen Zugriffskontrollsystem dokumentiert. Das Berechtigungskonzept sowie das Zugriffskontrollsystem werden regelmässig überprüft und im Zweifelsfall aktualisiert.

Besondere Augenmerk muss hierbei der Zuweisung und Verwaltung von privilegierten Zugängen geschenkt werden: Der Zugang zu privilegierten Konten muss streng kontrolliert und auf das notwendige Minimum beschränkt werden. Privilegierte Konten müssen klar definierten Personen oder Rollen zugewiesen und deren Nutzung muss protokolliert werden.

Kompetenz

Um die Informationssicherheit zu gewährleisten, werden die ernannten Personen in ihrem zugewiesenen Bereich regelmäßig geschult, um ausreichende Kompetenz sicherzustellen und die Gelegenheit zu bieten, durch Weiterbildungsangebote mit neuen Sicherheitsbedrohungen und Technologien Schritt zu halten.

Lieferantenmanagement

Das implementierte Lieferantenmanagementsystem dokumentiert sämtliche Sicherheitsanforderungen, Prüfungen und Bewertungen der Lieferanten. (Näheres hierzu in Kapitel 15. Lieferantenbeziehungen)

6.1.2 Aufgabentrennung

Zur Trennung von kritischen Berechtigungen ist ein Vier-Augen-Prinzip implementiert, bei dem sensible Änderungen (z.B. an IT-Systemen oder Datenbanken) nur nach Genehmigung durch eine zweite Person durchgeführt werden dürfen. Hierzu werden administrative Zugriffsrechte festgelegt, sodass keine einzelne Person allein sowohl Zugriff auf geschützte Daten als auch die Möglichkeit hat, diese Daten ohne Nachweis zu ändern oder zu löschen.

Zur Änderungsverfolgung an kritischen Daten und Systemen ist ein Protokollierungssystem eingerichtet, welches regelmäßig von einer unabhängigen Person (z.B. der Geschäftsleitung) überprüft wird.

Die Einhaltung des Vier-Augen-Prinzips wird regelmäßig durch interne Audits überprüft. Ergebnisse dieser Audits werden dokumentiert und bei Abweichungen Maßnahmen zur Verbesserung eingeleitet.

6.1.3 Kontakt mit Behörden

Bei Informationssicherheitsvorfällen ist die Kontaktaufnahme mit Behörden ein wesentlicher Bestandteil der Handhabung und Eskalation. Die Organisation stellt sicher, dass für die Kommunikation mit Behörden klare Verantwortlichkeiten definiert sind.

Bei Erkennen eines Sicherheitsvorfalls werden diese unverzüglich mindestens innerhalb von 24 Stunden beim Vorstandsvorsitzenden gemeldet, wobei die IT-Sicherheitsabteilung und die Geschäftsleitung die Hauptkontaktstellen sind. Ein strukturierter Kommunikationsplan legt fest, welche Behörden und weiteren Stakeholder zu informieren sind, welche Kanäle genutzt und wie Inhalte dokumentiert werden, um eine koordinierte Reaktion sicherzustellen. Alle Schritte, inklusive der Eskalation und alternativer Kommunikationswege, werden in einem zentralen Ticket-System (Azure DevOps) protokolliert. (Näheres hierzu in Kapitel 16 Informationssicherheitsvorfälle)

Es werden angemessene Kontakte mit relevanten Behörden gepflegt.
Die Organisationen verfügt über Verfahren, die festlegen, wann und durch wen Behörden (z. B. Strafverfolgungs- und Aufsichtsbehörden) benachrichtigt und wie erkannte Informationssicherheitsvorfälle gemeldet werden (insbesondere, wenn der Verdacht einer Straftat besteht).

Die Organisation führt regelmäßige Schulungen durch, um sicherzustellen, dass alle relevanten Mitarbeitenden mit den Verfahren zur Kontaktaufnahme mit Behörden vertraut sind.

6.1.4 Kontakt mit speziellen Interessensgruppen

Die Organisation pflegt angemessene Kontakte mit speziellen Interessensgruppen und sonstigen sicherheitsorientierten Expertenforen und Fachverbänden über die Maßnahmen, die im Folgenden erklärt werden.

Wissenserweiterung

Um die Kenntnisse über die Best-Practices zu verbessern, informieren sich die Mitarbeitenden und die Geschäftsleitung regelmäßig in verschiedenen Foren und Fachgruppen über neue Sicherheitsstandards und Sicherheitslösungen. Dieses Wissen wird im unternehmensinternen Wiki als Wissensdatenbank systematisch eingepflegt und für alle relevanten Mitarbeiter freigegeben. Über regelmäßige Kommunikation werden die Best-Practices und Neuheiten an das Team weitergegeben.

Austausch und Informationsweitergabe

In den wöchentlichen Teammeetings stellt ein fester Punkt auf der Tagesordnung den Austausch über neue Technologien, Sicherheitsbedrohungen oder Schwachstellen sicher. Sollten wichtige Neuigkeiten oder Bedrohungen aufkommen, werden diese in den täglichen Meetings angesprochen und diskutiert.

Informationssicherheitsvorfälle

Für nähere Informationen im Umgang mit Informationssicherheitsvorfällen vergleiche hierzu Kapitel 16. Handhabung von Informationssicherheitsvorfällen.

6.1.5 Informationssicherheit im Projektmanagement

Die Informationssicherheit wird im Projektmanagement stets berücksichtigt, ungeachtet der Art des Projekts.

Informationssicherheitsrisikobeurteilung

Die Organisation führt im frühen Projekt-Stadium eine Informationssicherheitsrisikobeurteilung durch. Eine strukturierte Informationssicherheitsrisikoanalyse wird in der Planungsphase durchgeführt, um potenzielle Bedrohungen und Schwachstellen zu identifizieren. Die Ergebnisse werden dokumentiert und als Schutzmaßnahmen im Projekt eingeplant.

Informationssicherheit im Projekt

Jedes Projektteam verpflichtet sich, die Informationssicherheit in allen Phasen der angewandten Projektmethodik zu berücksichtigen. Dafür wird in jeder Projektphase (Planung, Entwicklung, Implementierung/Umsetzung, Kontrolle) eine Sicherheitsprüfung durchgeführt, um sicherzustellen, dass die Ziele eingehalten wurden. Abweichungen werden dokumentiert und ggf. korrigiert.

Last updated: April 10, 2025: feat(ISO-1139-Kap6): improved Kap 6 (faaecb7)
Bearbeiten