Informationssicherheitspolitik
1 Einführung
Dieses Dokument definiert die Informationssicherheitspolitik von Real Consulting.
Als modernes, zukunftsorientiertes Unternehmen erkennt Real Consulting auf höchster Führungsebene die Notwendigkeit, den reibungslosen und ununterbrochenen Betrieb des Unternehmens zum Nutzen seiner Kunden, Aktionäre und anderer Interessengruppen sicherzustellen.
Um ein solches Maß an kontinuierlichem Betrieb zu gewährleisten, hat Real Consulting ein Informationssicherheits-Managementsystem (ISMS) gemäß der internationalen Norm für Informationssicherheit, ISO/IEC 27001, implementiert. Diese Norm definiert die Anforderungen an ein ISMS auf der Grundlage international anerkannter Best Practices.
Der Betrieb des ISMS bringt viele Vorteile für das Unternehmen mit sich, einschließlich:
Schutz von Einnahmeströmen und Unternehmensprofitabilität
Sicherstellung der Lieferung von Waren und Dienstleistungen an Kunden
Erhaltung und Steigerung des Aktionärswertes
Einhaltung gesetzlicher und regulatorischer Anforderungen
Real Consulting hat beschlossen, die vollständige Zertifizierung nach ISO/IEC 27001 aufrechtzuerhalten, um die wirksame Umsetzung bewährter Verfahren der Informationssicherheit von einer unabhängigen dritten Partei, einer zugelassenen Zertifizierungsstelle (RCB), validieren zu lassen.
Diese Richtlinie gilt für alle Systeme, Personen und Prozesse, die die Informationssysteme der Organisation bilden, einschließlich Vorstandsmitglieder, Direktoren, Mitarbeiter, Lieferanten und andere Dritte, die Zugang zu den Systemen von Real Consulting haben.
2 Informationssicherheitspolitik
2.1 Anforderungen an die Informationssicherheit
Eine klare Definition der Anforderungen an die Informationssicherheit innerhalb von Real Consulting wird mit der internen Geschäftseinheit abgestimmt und aufrechterhalten, damit alle ISMS-Aktivitäten auf die Erfüllung dieser Anforderungen ausgerichtet sind. Gesetzliche, regulatorische und vertragliche Anforderungen werden ebenfalls dokumentiert und in den Planungsprozess eingebunden. Spezifische Anforderungen an die Sicherheit neuer oder geänderter Systeme oder Dienstleistungen werden im Rahmen der Entwurfsphase jedes Projekts erfasst.
Ein grundlegendes Prinzip des Informationssicherheits-Managementsystems von Real Consulting ist, dass die implementierten Kontrollen durch die Geschäftsanforderungen gesteuert werden. Dies wird regelmäßig durch Teambesprechungen und Informationsunterlagen an alle Mitarbeiter kommuniziert.
2.2 Rahmen für die Festlegung von Zielen
Ein regelmäßiger Zyklus wird für die Festlegung von Zielen für die Informationssicherheit genutzt, der mit dem Budgetplanungszyklus zusammenfällt. Dadurch wird sichergestellt, dass ausreichende Mittel für identifizierte Verbesserungsmaßnahmen bereitgestellt werden. Diese Ziele basieren auf einem klaren Verständnis der Geschäftsanforderungen, das durch den Managementbewertungsprozess gewonnen wird, bei dem die Meinungen relevanter interessierter Parteien eingeholt werden können.
Die Informationssicherheitsziele werden für einen vereinbarten Zeitraum dokumentiert, zusammen mit Details, wie sie erreicht werden sollen. Diese werden im Rahmen von Managementbewertungen überwacht und bewertet, um sicherzustellen, dass sie gültig bleiben. Änderungen werden über den Änderungsmanagementprozess gesteuert.
Gemäß ISO/IEC 27001 werden die Referenzkontrollen, die in Anhang A der Norm aufgeführt sind, von Real Consulting übernommen, sofern dies angemessen ist. Diese werden regelmäßig im Hinblick auf die Ergebnisse von Risikobewertungen und in Übereinstimmung mit Behandlungsplänen für Informationssicherheitsrisiken überprüft.
Zusätzlich werden erweiterte und zusätzliche Kontrollen aus den folgenden Verhaltenskodizes implementiert, soweit dies angemessen ist:
ISO/IEC 27002 – Verhaltenskodex für Informationssicherheitskontrollen
ISO/IEC 27017 – Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud-Dienste
ISO/IEC 27018 – Verhaltenskodex für den Schutz personenbezogener Daten (PII) in öffentlichen Clouds als PII-Verarbeiter
Die Übernahme dieser Verhaltenskodizes bietet zusätzliche Sicherheit für unsere Kunden und unterstützt die Einhaltung internationaler Datenschutzgesetze.
2.3 Kontinuierliche Verbesserung des ISMS
Die Politik von Real Consulting zur kontinuierlichen Verbesserung umfasst:
Kontinuierliche Verbesserung der Wirksamkeit des ISMS
Verbesserung bestehender Prozesse im Einklang mit den in ISO/IEC 27001 und verwandten Standards definierten Best Practices
AErreichen und kontinuierliche Aufrechterhaltung der ISO/IEC 27001-Zertifizierung
Erhöhung des Maßes an Proaktivität (und der Wahrnehmung dieser Proaktivität durch Stakeholder) in Bezug auf Informationssicherheit
Verbesserung der Messbarkeit von Prozessen und Kontrollen der Informationssicherheit als Grundlage für fundierte Entscheidungen
Jährliche Überprüfung relevanter Kennzahlen zur Beurteilung, ob Änderungen basierend auf gesammelten historischen Daten erforderlich sind
Einholung von Verbesserungsvorschlägen durch regelmäßige Meetings und andere Kommunikationsformen mit Interessierten
Besprechen Sie Verbesserungsvorschläge regelmäßig in Managementmeetings, um Prioritäten zu setzen sowie Zeitpläne und Vorteile zu bewerten.
Ideen für Verbesserungen können aus verschiedenen Quellen stammen, darunter Mitarbeiter, Kunden, Lieferanten, IT-Fachkräfte, Risikobewertungen und Serviceberichte. Sobald sie identifiziert wurden, werden sie im Rahmen von Managementbewertungen erfasst und ausgewertet.
2.4 Anwendungsbereiche der Informationssicherheitspolitik
Real Consulting definiert Richtlinien in verschiedenen Bereichen der Informationssicherheit, die in einer umfassenden Richtliniendokumentation ausführlich beschrieben sind und diese übergreifende Informationssicherheitsrichtlinie ergänzen. Diese Dokumente dienen dazu, die drei zentralen Aspekte der Informationssicherheit zu wahren: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Jede dieser Richtlinien wird von einer oder mehreren fachkundigen Personen im jeweiligen Bereich definiert und abgestimmt. Nach der formellen Genehmigung wird sie der relevanten Zielgruppe innerhalb und außerhalb der Organisation kommuniziert.
2.5 Anwendung der Informationssicherheitspolitik
Die in diesem Dokument beschriebenen Richtlinien wurden von der obersten Leitung von Real Consulting geprüft und genehmigt und müssen eingehalten werden. Die Nichteinhaltung durch einen Mitarbeiter kann zu disziplinarischen Maßnahmen gemäß dem Disziplinarverfahren der Organisation führen. Fragen zu einer Richtlinie von Real Consulting sollten zunächst an den direkten Vorgesetzten des Mitarbeiters gerichtet werden.