Leitlinie zur Informationssicherheit
Denn Ihre Daten sind uns wichtig.
Geltungsbereich des ISMS
Der Geltungsbereich ist das gesamte Unternehmen "record-consult GmbH" und unsere regionalen und überregionalen Home-Office Arbeitsplätze. Unternehmensstandort ist Köln.
Der Geltungsbereich des Informationssicherheitsmanagementsystems (ISMS) der record-consult GmbH umfasst das gesamte Unternehmen. Das bedeutet, dass alle Bereiche und Abteilungen, alle Geschäftsprozesse, alle IT-Systeme und alle Mitarbeiter innerhalb des Unternehmens in den Anwendungsbereich des ISMS fallen und von den damit verbundenen Sicherheitsmaßnahmen erfasst werden.
Die Kundensegmente sind Branchen unabhängig zu sehen. Sie erstrecken sich von Klein- und Mittelständischen Firmen, bis hin zu Unternehmen, die als "Kritische Infrastrukturen" eingestuft sind.
Es ist das komplette Angebot an Dienstleistungen und Handelsware eingeschlossen:
- IT-Operations mit Managed Services, Professional Services, Cloud Services (OCl, aws, Azure)
- Oracle Software mit Lizenzberatung, Datenbanken, Betriebssystemen, Virtualisierung und dazugehörige Werkzeuge
- Oracle Hardware mit Appliances, Intel und SPARC Servern
Durch die Anwendung des ISMS auf das gesamte Unternehmen kann die record-consult GmbH sicherstellen, dass alle wichtigen Bereiche und Prozesse angemessen geschützt sind und ein einheitliches Sicherheitsniveau für alle Mitarbeiter und Geschäftspartner gewährleistet wird.
Zu unserem Geschäft gehört der Handel mit Oracle Hardware und Software und die Erbringung von Oracle Dienstleistungen. Unsere Dienstleistungen umfassen die Planung und Erbringung von Projekten/Service, Beratung zum Kauf von Lizenzen und Hardware, Trainings & Workshops, sowie Betrieb von Oracle Datenbanken. Aktuell sind wir insbesondere im Oracle Ökosystem aktiv.
Stellenwert der Informationssicherheit
Informationsverarbeitung spielt eine Schlüsselrolle für die Erfüllung unserer Aufgaben. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen.
Insbesondere für uns als Unternehmen, welches nicht nur On-Prem, sondern auch in der Cloud Services anbietet, genießt die Informationssicherheit einen sehr hohen Stellenwert.
Sicherheitsziele
Alle Aktivitäten zur Aufrechterhaltung und Verbesserung der Informationssicherheit haben zum Ziel, die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – insbesondere unserer Kundendaten – zu gewährleisten.
Vertraulichkeit
Informationen oder Werte dürfen nur von Berechtigten eingesehen werden und müssen vor unbefugter Weitergabe geschützt werden.
Verfügbarkeit
Berechtigten stehen Dienstleistungen, Informationen oder Funktionen eines Systems zum geforderten Zeitpunkt zur Verfügung.
Integrität
Daten und Informationen liegen unverändert vor. Integrität ist der Schutz von Informationen vor Modifikation, Einfügung, Löschung, Umordnung oder Duplikaten.
Unternehmensziele
Abgeleitet von den Unternehmenszielen und dem aktuellen Stand unseres Informationssicherheitsniveaus haben wir uns folgende Ziele gesetzt. Diese Ziele werden im Rahmen des Management-Reviews geprüft und bewertet:
Sensibilisierung zum Thema Informationssicherheit für alle Beschäftigten
Ziel ist es, das Bewusstsein für die Bedeutung von Informationssicherheit in der gesamten Organisation zu schärfen und deren Wirksamkeit zu messen.
Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Organisation
Ziel ist es, unsere Produkte und Dienstleistungen dauerhaft bereitzustellen und damit den Geschäftserfolg und die Kundenzufriedenheit sicherzustellen.
Business Continuity Management auf den neuesten Stand bringen
Ziel ist es sicherzustellen, dass wir jederzeit in der Lage sind, unsere Geschäftstätigkeit trotz Krisen, Störungen oder unvorhergesehenen Ereignissen fortzusetzen oder schnellstmöglich wieder aufzunehmen.
Kontinuierliche Identifizierung, Bewertung und Behandlung von Risiken für die Informationssicherheit
Ziel ist es sicherzustellen, dass wir ein effektives System zur Risikominimierung und Risikokontrolle in Bezug auf die Informationssicherheit implementiert haben. Dass wir proaktiv Maßnahmen ergreifen, um das Risiko von Sicherheitsverletzungen, Datenverlusten oder Datenschutzverletzungen zu minimieren und das Vertrauen der Kunden und Geschäftspartner in unser Unternehmen stärken.
Sicherheitsorganisation
Zur Erreichung der Informationssicherheitsziele wurde ein Informationssicherheitsmanagementteam (ISMT) gegründet und ein Informationssicherheitsbeauftragter (ISB) von der Geschäftsführung benannt. Ein Informationssicherheitsmanagementsystem (ISMS) ist unternehmensweit eingeführt und wird regelmäßig auf seine Wirksamkeit überprüft.
Verantwortlich für die Sicherheitsorganisation ist die Geschäftsführung. Der Informationssicherheitsbeauftragte berät die Geschäftsführung bei der Planung und Umsetzung der Informationssicherheit im Unternehmen. Er berichtet in seiner Funktion anlassbezogen, mindestens jedoch einmal jährlich, unmittelbar an die Geschäftsführung.
Dem ISMT werden von Unternehmensseite ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren.
Die MitarbeiterInnen des ISMT sind frühzeitig in IT-sicherheitsrelevanten Projekte (z. B. neue Produkte, Standorterschließung, größere IT-Infrastruktur-Anpassungen) einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen.
Es wurde ein Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte hat ein ausreichend bemessenes Zeitbudget für die Erfüllung seiner Pflichten zur Verfügung. Der Datenschutzbeauftragte ist angehalten, sich regelmäßig weiterzubilden.
Sicherheitsmaßnahmen
Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird jeweils eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt.
Zugriffsberechtigungen werden bedarfsgerecht vergeben und zentral verwaltet.
Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass VertreterInnen ihre Aufgaben erfüllen können.
Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.
Computer-Viren-Schutzprogramme werden überall dort, wo es möglich und sinnvoll ist, insbesondere auf Mail-Servern, Dokument-Speicherorten und Firmen-Endgeräten eingesetzt. Alle Internetzugänge werden durch geeignete, technische Filter- und Schutzmechanismen gesichert. Fernwartungszugriffe auf alle internen Systeme und Kunden-Server sind durch VPN-Verbindungen geschützt. Durch ein umfangreiches Monitoring-System werden Beeinträchtigungen der Sicherheitsziele von IT-Infrastruktur und Anwendungen erkannt und durch eingewiesene MitarbeiterInnen zügig behoben. Des Weiteren unterstützen die IT-BenutzerInnen durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.
Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende, regelmäßige Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.
Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfallvorsorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.
Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns konkrete Sicherheitsanforderungen in den entsprechenden Verträgen vorgegeben. Das Recht auf Kontrolle wird festgelegt. Für umfangreiche oder komplexe Outsourcing-Vorhaben erstellen wir ein detailliertes Sicherheitskonzept mit konkreten Maßnahmenvorgaben.
IT-BenutzerInnen nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Weiterbildung.
Verbesserung der Sicherheit - Unsere zentralen Leitsätze
Das Managementsystem der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen MitarbeiterInnen bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Überwachung dieser Prüfung wird durch unseren Informationssicherheitsbeauftragten sichergestellt.
Die Geschäftsleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. MitarbeiterInnen sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.
Eigene Daten versus Kundendaten
Wir unterscheiden zwischen Daten, die wir erheben und speichern, und Daten, welche Kunden auf den von uns für den Kunden betriebenen Systemen ablegen.
Wir unterscheiden zwischen Daten, die wir selbst im Rahmen unserer täglichen Arbeit erheben und speichern (eigene Daten), und den Daten, die im Rahmen einer Dienstleistungserbringung auf dedizierten Kunden-Systemen gehalten werden, mit denen wir aber ansonsten nicht arbeiten (Kundendaten). Alle eigenen Informationen, die über Kunden bei uns in CRM-, ERP-, Buchungs- und Abrechnungssystemen oder in E-Mails, Chats, Wikis oder Aufgabensoftware gespeichert werden, sind zwar im weiteren Sinne auch Daten, die Kundeninformationen enthalten. Trotzdem werden sie mit rein internen Daten gemeinsam verarbeitet und deshalb unter „eigene Daten“ eingeordnet.
Da wir Kundendaten mit einem höheren Schutzbedarf einstufen, ist auch das Sicherheitsniveau höher, wenn Kunden Informationen mit uns in den dedizierten Kunden-Systemen teilen, als wenn sie in unseren Systemen (z. B. E-Mails, Extranet, Jira-Aufgabenverwaltung) verarbeitet werden. Wir machen dabei den Unterschied für Kunden so deutlich und transparent wie möglich und respektieren, wenn Kunden uns bitten, auf den Kunden-Systemen zu arbeiten, auch wenn das für uns Einschränkungen mit sich bringt. Je nach Situation, Team und Zusammensetzung kann es sein, dass bestimmte Informationen für einen reibungslosen Ablauf auf unseren Systemen gespeichert werden müssen. Diese Situationen kündigen wir vorab an und erklären die Hintergründe.
Usability versus Sicherheit
Eine zentrale Leitlinie unseres Handelns ist der bewusste Ausgleich zwischen praktisch und einfach (Usability) und hoher Sicherheit. Wir nutzen bestmögliche Technologien, um Sicherheit und Usability gleichzeitig zu steigern.
Wir verstehen, dass Usability (Einfachheit für AnwenderInnen) und IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten) oft in einem Gegensatz zueinander stehen. Gerade bei der Arbeit in Kundenumgebungen stellen wir häufig fest, dass hohe Sicherheitsanforderungen dazu führen, dass größere Aufwände notwendig sind, den Zugriff auf Informationen zu bekommen, als die, an der Wertschöpfung für den Kunden zu arbeiten. Deshalb streben wir an, stets auch die Usability zu betrachten und im Zweifel abzuwägen, was im Anwendungsfall (Um welche Daten handelt es sich? Wie ist deren Sicherheitseinstufung?) adäquate Lösungen sind. Eine sinnvolle Lösung finden wir im Team, im Gespräch und Diskurs und mittels einer für alle Mitarbeitenden transparenten Dokumentation in unseren zentralen Systemen. Bei dem Umgang mit eigenen Daten tendieren wir dabei Richtung Usability. Diese Tendenz gründen wir auf unseren Unternehmenswerten und das Vertrauen in unsere MitarbeiterInnen.
Kundendaten genießen einen außerordentlichen Schutz
Die IT-Sicherheit der Daten unserer Kunden hat für uns höchste Priorität.
Die Sicherheit von Kundendaten ist die Grundlage unserer Integrität und des Vertrauens in der dauerhaften Zusammenarbeit. Wir schließen sämtliche Formen der Nutzung oder Verwertung, die nicht ausdrücklich mit unseren Kunden vereinbart wurde, aus und sorgen in anderen Fällen für eindeutige und dokumentierte Entscheidungen.
Im Zweifel werden Daten unserer Kunden immer sicherer und nicht einfacher gehalten. Dort geht Sicherheit vor Usability.
Digital vor analog
Dokumente sollten primär nicht ausgedruckt, sondern digitalisiert werden und bleiben.
Wir sind davon überzeugt, dass wir alle Daten digital speichern möchten, da wir nur dann sinnvoll in der Lage sind, die IT-Sicherheit dieser Informationen zu gewährleisten. Wenn wir die Möglichkeit haben, versuchen wir vornehmlich digitale Daten und Informationen im Unternehmen vorzuhalten. Wenn wir Papier nutzen, dann um unsere Arbeitsabläufe zu beschleunigen. Papier dient dann als vorübergehendes Werkzeug, um die Sichtbarkeit, Präsenz oder Interaktion zu erhöhen. Wir arbeiten aktiv daran, auf Papier erfasste Informationen zu digitalisieren, und heben Papier nach Möglichkeit nicht auf, es sei denn gesetzliche Anforderungen erfordern dies. Papier wird entsprechend der Schutzklasse der Informationen auf diesem fachgerecht entsorgt.
Mitwirkungspflichten
Die Geschäftsführung bekennt sich zu ihrer Aufgabe, die in dieser Leitlinie beschriebenen Zielsetzungen zur Informationssicherheit zu unterstützen, und fordert alle Beschäftigten dazu auf, ebenfalls zur Aufrechterhaltung bzw. zur Verbesserung der Informationssicherheit beizutragen.
Diese Leitlinie gilt für alle Mitarbeitenden ohne Ausnahme. Es gibt keine Rechtfertigung für Abweichungen. Wir sorgen als Unternehmen dafür, dass Mitarbeitende diese Leitlinie lesen, verstehen und ihr Einverständnis dokumentieren. Wir kündigen Änderungen intern an und erklären sie.