Informationssicherheit

1. Zweck, Anwendungsbereich und Anwender

Zielsetzung dieser, auf oberster Ebene angesiedelten Politik ist, die Definition des Zwecks, der Ausrichtung, der Grundlagen und der grundsätzlichen Regeln für das Informationssicherheits-Management.

Diese Politik wird auf das gesamte Informationssicherheitsmanagementsystem (ISMS) angewendet.

Anwender dieses Dokuments sind alle Mitarbeiter von RUD Ketten Rieger & Dietz GmbH u. Co. KG, sowie relevante externe Parteien.

2. Informationssicherheit: Grundbegriffe

Vertraulichkeit – Schutz vor unbefugter Preisgabe von Informationen

Integrität – Schutz vor unbefugter Veränderung von Informationen

Verfügbarkeit – Benötigte Informationen müssen für Berechtigte jederzeit verfügbar sein

Informationssicherheit - Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen

Informationssicherheitsmanagementsystem – jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst

3. Verwaltung der Informationssicherheit

3.1. Zielvorgaben und Messung

Die generellen Zielvorgaben des Informationssicherheitsmanagementsystems sind:

  • Verfügbarkeit der Systeme und Informationen Schutz von Informationen
  • Schadensreduktion
  • Verbesserung des Images im Markt

Diese Ziele stimmen mit den Geschäftszielen, der Strategie und den Geschäftsplänen der Organisation überein. Der Informationssicherheitsbeauftragte ist für die Überprüfung dieser generellen ISMS-Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich.

Ziele für einzelne Sicherheitsmaßnahmen oder Gruppen von Sicherheitsmaßnahmen werden vom ISMS-Team vorgeschlagen und von der Geschäftsleitung im Rahmen der Erklärung zur Anwendbarkeit genehmigt.

Alle Zielvorgaben müssen mindestens einmal jährlich überprüft werden.

RUD Ketten Rieger & Dietz GmbH u. Co. KG bewertet und misst die Erfüllung dieser Zielvorgaben. Der Informationssicherheitsbeauftragte ist verantwortlich für die Festlegung der Methode, mit der die Erfüllung dieser Zielvorgaben gemessen wird. Die Bewertung/Messung wird mindestens einmal jährlich durchgeführt und der Informationssicherheitsbeauftragte analysiert die Messresultate und leitet daraus einen Managementbericht ab. Dieser Bericht wird mit der Geschäftsleitung gemeinsam evaluiert. Der Informationssicherheitskoordinator ist für die Speicherung der Details zu Messmethoden, Periodizität und Ergebnissen im Messbericht verantwortlich.

3.2. Stellenwert der Informationssicherheit

Die erfolgreiche Planung, Implementierung und Betreuung von IT-Infrastrukturen implizieren einen schnellen, sicheren und aktuellen Zugriff auf Informationen, von dem der Erfolg des Unternehmens abhängt. Ein Missbrauch dieser Informationen schadet nicht nur der Reputation, sondern kann auch rechtliche Folgen und Schadensersatzansprüche verursachen.

Eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang damit, sind die wesentlichen Voraussetzungen für die täglichen Arbeitsabläufe, das Vertrauen der Kunden und Geschäftspartner.

3.3. Kernelemente der Sicherheitsstrategie

  • Schutz von Informationen gegen alle nicht autorisierten Zugriffe
  • Gewährleisten der Vertraulichkeit der Informationen
  • Gewährleisten der Integrität von Informationen
  • Gewährleisten der Verfügbarkeit von Informationen
  • Erfüllen von legislativen und behördlichen Auflagen
  • Entwickeln, Verwalten und Testen von Notfallplänen
  • Anbieten und Durchführen von bewusstseinsbildenden Maßnahmen zur Informationssicherheit, sowie Datenschutzschulungen für alle Mitarbeiter
  • Melden und Untersuchen von tatsächlichen oder vermuteten Informationssicherheitsverletzungen an das ISMS-Team
  • Melden und Untersuchen von tatsächlichen oder vermuteten Datenschutzverletzungen an das DSMS - Team

3.4. Anforderungen an Informationssicherheit

Diese Richtlinie und das gesamte ISMS müssen sowohl den gesetzlichen Anforderungen wie auch den vertraglichen Verpflichtungen entsprechen, die für die Organisation auf dem Gebiet der Informationssicherheit maßgeblich sind.

3.5. Verantwortlichkeiten und Organisationsstruktur des ISMS

Zur Erreichung der Sicherheitsziele wird ein Informationssicherheitsbeauftragter (ISB) und ein ISMS-Team bestellt. Der ISB und das ISMS-Team sind für die Erstellung und Fortschreibung des Sicherheitskonzepts, sowie die Aufrechterhaltung des Sicherheitsniveaus verantwortlich. Sie berichten in ihrer Funktion direkt der Geschäftsleitung.

Das ISMS-Team besteht aus:

  • dem Informationssicherheitsbeauftragten
  • dem Informationssicherheitskoordinator (ISK)
  • dem IT-Verantwortlichen

Folgendes sind die grundsätzlichen Verantwortlichkeiten für das ISMS:

  • Der ISB ist für die Sicherstellung der Umsetzung der Ziele des ISMS, entsprechend dieser Richtlinie, verantwortlich.
  • Der ISK ist für die Koordination des Betriebs des ISMS verantwortlich, sowie für die Berichterstattung über dessen Leistungsfähigkeit.
  • Das Management muss mindestens einmal jährlich oder bei erheblichen Änderungen das ISMS überprüfen und ein Protokoll dazu erstellen. Zweck dieser Überprüfung durch das Management ist der Nachweis der Angemessenheit, Eignung und Wirksamkeit des ISMS.
  • Der IT-Verantwortliche ist für die Aufstellung und Implementierung eines Trainings- und Awarenessplans verantwortlich.
  • Der ISB ist für die Umsetzung von Informationssicherheitstrainings und -programmen zur Bewusstseinsbildung (Awareness) der Mitarbeiter zuständig.
  • Der Schutz der Integrität, Verfügbarkeit und Vertraulichkeit der Werte unterliegt der Verantwortung des Eigentümers der jeweiligen Werte.
  • Alle Sicherheitsvorfälle oder Schwachstellen müssen an den ISB und die IT gemeldet werden.
  • Das Management definiert, wie die Informationen klassifiziert werden und ein interner bzw. externer Austausch stattfinden kann.

3.6. Weisungsbefugnis des Informationssicherheitsbeauftragten

Hinsichtlich der Umsetzung des ISMS kann der Informationssicherheitsbeauftragte Informationen und Kooperation der verschiedenen Bereiche verlangen, sofern diese für die Umsetzung von Maßnahmen und Richtlinien des ISMS erforderlich sind.

Fallen dem Informationssicherheitsbeauftragten Abweichungen der getroffenen Maßnahmen und Richtlinien auf, so leitet er Korrekturmaßnahmen ein, um den geforderten Stand wiederherzustellen.

3.7. Leitlinien-Kommunikation

Der Informationssicherheitsbeauftragte hat sicherzustellen, dass alle Mitarbeiter von RUD Ketten Rieger & Dietz GmbH u. Co.KG, sowie entsprechenden externen Parteien mit den Kernelementen dieser Richtlinie vertraut sind.

4. Unterstützung der ISMS-Umsetzung

Hiermit erklärt die Geschäftsleitung, dass die ISMS-Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Politik genannten Zielvorgaben zu erfüllen.

5. Gültigkeit und Dokumenten-Handhabung

Dieses Dokument ist gültig ab 12.02.2024

Der Eigentümer des Dokuments ist der Informationssicherheitsbeauftragte, der das Dokument mindestens einmal jährlich prüfen und gegebenenfalls aktualisieren muss.

Für die Auswertung des Dokuments auf Wirksamkeit und Angemessenheit müssen folgende Kriterien berücksichtigt werden:

  • Mangelnde Übereinstimmung des ISMS mit Gesetzen und Vorschriften, vertraglichen Verpflichtungen und anderen internen Dokumenten der Organisation
  • Mängel in Umsetzung und Aufrechterhaltung des ISMS
  • Unklare Verantwortlichkeiten für die Umsetzung des ISMS