ISMS-Policy der ITEG GmbH

Stand: 1.12.2018

Einleitung

ITEG IT-Engineers GmbH bietet individuelle technische Softwarelösungen, Hosting und IT-Beratung auf professionellem Niveau.

In der Softwareentwicklung setzt ITEG auf Open-Source Technologien, um die Produkte aktuell und sicher zu halten. Die technischen Anwendungen unterstützen Infrastrukturbetreiber bei der Berichterfassung mit der grafischen Darstellung komplexer Daten, zum Beispiel bei einigen mitteleuropäischen Wasserkraftwerksbetreibern. Unser professionelles Hosting stützt sich auf eine individuelle und persönliche Beratung. Auf unseren leistungsstarken, qualitätsgesicherten Servern administrieren wir zuverlässig anspruchsvolle Webapplikationen und Services.

ITEG steht für Robustheit, Langlebigkeit und Investitionssicherheit ihrer Produkte und Dienstleistungen.

Durch unser Tätigkeitsspektrum im Bereich von innovativen Softwaretechnologien und der hohen Vertraulichkeit der dabei verarbeiteten Informationen hat deren Schutz eine elementare Bedeutung für eine vertrauensvolle Zusammenarbeit mit unseren Geschäftspartnern sowie für einen nachhaltigen Unternehmenserfolg. Maßnahmen zur Gewährleistung der Informationssicherheit im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit werden vor dem Hintergrund einer umfassenden und kontinuierlich fortgeschriebenen Risikobewertung festgelegt und umgesetzt.

Dabei gilt es, die Einhaltung aller gesetzlichen, vertraglichen und internen Vorschriften bzgl. Informationssicherheit und Datenschutz jederzeit sicherzustellen. Zur wirksamen Umsetzung des Informationsschutzes betreibt die ITEG IT-Engineers GmbH ein ISMS auf der Grundlage der Anforderungen der ISO/IEC 27001.

Diese ISMS Policy steht Kunden und Lieferanten der Firma ITEG zur Verfügung. Sie wird ITEG-MitarbeiterInnen im Rahmen von Schulungen vorgestellt und ihre Verbindlichkeit betont.

Diese ISMS Policy regelt den Umgang mit Informationen und Daten der Firma ITEG und ihrer Kunden, unabhängig ob sie elektronisch, physisch oder in nicht dokumentierter Form (Gespräche, Verhaltensweisen etc.) vorliegen.

Informationssicherheitsziele

Für alle Geschäftsbereiche der Firma ITEG wurden Maßnahmen festgelegt und werden aufrecht erhalten, welche die nachfolgenden Informationssicherheitsziele gewährleisten sollen.

Vertraulichkeit
Vertraulichkeit wird gewährleistet, wenn Informationen bzw. Daten der Firma ITEG vor unbefugter Preisgabe und vor unberechtigtem Zugriff geschützt werden. Vertrauliche Daten und Informationen dürfen ausschließlich dem berechtigten Personenkreis zugänglich sein.

Integrität
Integrität bedeutet, dass Daten und Informationen korrekt und vollständig sind. Sie sind daher vor unbeabsichtigter Veränderung und vorsätzlicher Verfälschung zu schützen.

Verfügbarkeit
Verfügbarkeit bezieht sich darauf, dass Informationen und Funktionen von IT-Systemen, IT-Anwendungen und IT-Netzwerken vom Anwender zum richtigen Zeitpunkt am richtigen Ort genutzt werden können.

Diese Sicherheitsziele sind für alle Geschäftsbereiche der Firma ITEG relevant.

Bei unseren Dienstleistungen in den Geschäftsfeldern Hosting und Software-Engineering verbinden wir mit diesen Zielen folgende konkrete Zielvorstellungen:

Hosting

  • Vertraulichkeit und Datenschutz
    Daten und Informationen auf unseren Servern sind nur autorisierten Benutzern zugänglich. Personenbezogene Daten auf unseren Servern werden in Abstimmung mit unseren Kunden entsprechend den aktuellen Datenschutzbestimmungen behandelt.
  • Integrität
    Daten und Informationen auf unseren Servern können nicht durch unbefugte Benutzer manipuliert, beschädigt oder gelöscht werden.
  • Verfügbarkeit
    Die Verfügbarkeit bei Hosting-Diensten für Kunden soll in einem Kalenderjahr nicht unter 99,7% sinken.
    Einzelne Ausfälle sollen nie länger als 2 Geschäftszeiten-Stunden dauern.

Anmerkung: „Verfügbar“ bedeutet im Hosting-Kontext, dass ein Dienst erreichbar ist und die erwartete Funktion erbringt.

In unserer Hosting Policy (auf Anfrage erhältlich) adressieren wir zusätzlich über den Bereich Informationssicherheit hinausgehende Themen und beschreiben unsere diesbezüglichen Maßnahmen. Die Policy ist für unsere Kunden auf Anfrage verfügbar.

Software-Engineering

  • Vertraulichkeit und Datenschutz
    Daten und Informationen der Entwicklungsbereiche (z.B. Spezifikationen, SourceCodes, Testdaten etc.) unterliegen höchsten Vertraulichkeitsanforderungen und dürfen nur von autorisierten Personen bearbeitet werden. Sie dürfen Nicht-Berechtigten unrechtmäßig nicht zur Kenntnis gelangen (limitierte, rollenbasierte Zugriffsberechtigungen, Vertraulichkeitsstufen, Verschlüsselung). Alle ITEG-Mitarbeiter sind zur Wahrung des Datengeheimnisses nachweislich verpflichtet.
  • Integrität
    Daten und Informationen müssen richtig und vollständig sein. IT-Systeme müssen durchgängig funktionieren. Daten und Informationen dürfen ohne Genehmigung nicht verändert werden. Veränderungen von Informationen müssen eindeutig erkennbar und nachvollziehbar sein (Versionierung).
  • Verfügbarkeit
    Informationen müssen entsprechend den vereinbarten Anforderungen verfügbar sein. Ausfallzeiten der Produkte und Services dürfen keine wesentlichen Auswirkungen auf ITEG bzw. ihre Kunden haben.

In unserer Software-Engineering Policy (auf Anfrage erhältlich) adressieren wir zusätzlich über den Bereich Informationssicherheit hinausgehende Themen und beschreiben unsere diesbezüglichen Maßnahmen. Die Policy ist für unsere Kunden auf Anfrage verfügbar.

Informationssicherheit bei unseren Dienstleistungen

  • Vertraulichkeit und Verantwortung
    Alle Mitarbeiterinnen und Mitarbeiter der Firma ITEG sind sich ihrer Verantwortung beim Umgang mit Daten und IT-Systemen bewusst. Compliance und Awareness für Informationssicherheit und Datenschutz wird in allen Unternehmensbereichen der Firma ITEG gelebt und gefördert.
  • Integrität
    Bei allen Geschäftsprozessen wird auf die Vollständigkeit und Korrektheit von Daten und Informationen geachtet (z.B. Vier-Augen Prinzip, Versionskontrollen etc.).
  • Verfügbarkeit
    Unseren Kunden soll zu Geschäftszeiten immer ein Ansprechpartner je Gebiet bzw. Projekt zur Verfügung stehen. Im Rahmen unserer Risikomanagement-Pläne werden dazu entsprechende Maßnahmen geplant und regelmäßig getestet.

Risikoaverses Vorgehen

Die Anwendung von „Best Practices“ der Industrie sowie die Einbindung von Erfahrungen der sicherheitsorientierten IT-Community ermöglichen das bewusste Treffen von Entscheidungen zur Akzeptanz oder Mitigation von Risiken.

Verschlüsselung

Jede Netzwerkkommunikation erfolgt verschlüsselt (SSH, HTTPS, VPN) wobei geeignete Schlüssellängen und Algorithmen zum Einsatz kommen. Schlüssel werden immer nur mit begrenzter Gültigkeit ausgestellt (max. 5 Jahre).

Kritische Dateien (Passwort-Listen u.ä.) sind zusätzlich individuell GPG-verschlüsselt.

Sensibilisierung und Einbindung aller Beteiligten und MitarbeiterInnen

Ein wirksamer Informationsschutz erfordert die fortdauernde Sensibilisierung und Qualifikation aller Stakeholder. Sicherheitsmaßnahmen, welche zu Komfort- bzw. Funktionseinschränkungen bei den Anwendern führen, sollen transparent und verständlich vermittelt werden. Alle ITEG-MitarbeiterInnen sind aufgerufen, aktiv an der Verbesserung des Informationsschutzes im Unternehmen mitzuwirken.

Angemessenheit von Sicherheitsmaßnahmen

Um Informationssicherheitsrisiken und möglichen Schäden vorzubeugen, wurden umfangreiche Sicherheitsmaßnahmen festgelegt und bzgl. der wichtigsten Bedrohungen umgesetzt. Dabei soll der wirtschaftliche, technische und organisatorische Aufwand in einem angemessenen Verhältnis zu den tatsächlichen Risiken stehen.

Bereitstellung von Ressourcen

Zur Umsetzung angemessener Sicherheitsmaßnahmen verpflichtet sich die Geschäftsführung der Firma ITEG, die dafür notwendigen Ressourcen (finanziell, personell) zur Verfügung zu stellen, um ein effektives Informationssicherheitsmanagementsystem zu verwirklichen, aufrechtzuerhalten und zu verbessern.

Kontinuierliche Verbesserung

Eine regelmäßige Bewertung der Wirksamkeit sowie bei Bedarf die Anpassung und Verbesserung der Maßnahmen zur Informationssicherheit sind wesentliche Elemente des kontinuierlichen Verbesserungsprozesses im Rahmen des Informationssicherheitsmanagementsystems.

Verantwortung

Der Schutz aller Daten und Informationen, die im Rahmen der Geschäftsprozesse verarbeitet werden, ist grundsätzlich die Aufgabe aller Mitarbeiter der Firma ITEG. Die Geschäftsführung trägt die übergreifende Verantwortung zur erfolgreichen Umsetzung des ISMS und verpflichtet sich zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit sowie zur fortlaufenden Verbesserung des ISMS.

Es liegt in der besonderen Verantwortung der Geschäftsleitung und aller Projektverantwortlichen, die wirksame Umsetzung der Vorgaben zur Informationssicherheit in ihren Projekten zu überwachen und sicher zu stellen. Die unten dargestellten Aspekte und konkrete Maßnahmen zur Sicherstellung der Informationssicherheit und die spezifischen Verantwortlichkeiten sind in den entsprechenden internen Richtlinien ausführlich beschrieben.