Politik der Informationssicherheit

Zuletzt aktualisiert im Februar 2021

1 Informationssicherheitsrichtlinie der Inepro-Gruppe

1.1 Einleitung

Inepro verfügt über eine breite Palette von Anwendungen, die nahtlos mit seinen Hardwareprodukten zusammenarbeiten und deren Gesamteffektivität erhöhen. Zusammen bilden sie die Komplettlösungen, die Inepro für Bildungs-, Pflege-, Regierungs- und Unternehmensorganisationen anbietet. Intuitive und klare Bedienelemente stehen bei der Entwicklung der Anwendungen im Vordergrund. Die benutzerfreundlichen Oberflächen sorgen für ein effizientes und angenehmes Arbeiten. Alle Anwendungen können vollständig konfiguriert werden, um Ihre spezifischen Anforderungen vollständig zu erfüllen.

Die Software ist in zwei Kategorien unterteilt: Back-End-Anwendungen wie Management- und Buchhaltungssoftware und Front-End-Anwendungen wie Point-of-Sale-Lösungen, Cloud Printing und Embedded Software für MFPs.

Neben der Software entwickelt und liefert die Inepro Group auch Dienstleistungen für Implementierung, Schulung, Coaching, Wartung, Support und Hosting.

Einige Kunden und Interessenten verlangen nun jedoch, dass die Inepro Group ein ISO 27001-Zertifikat erwirbt. Die Inepro Group betrachtet die Erlangung des ISO 27001-Zertifikats als eine Maßnahme zur Deckung der kurzfristigen operativen Risiken, denn wenn wir das Zertifikat nicht erhalten, könnten wir wichtige Kunden oder Aufträge verlieren.

2 Verantwortung, Zweck und Zielgruppe

In Anbetracht der möglichen Auswirkungen von Störungen auf den Geschäftsbetrieb und die Kontinuität der Inepro-Gruppe und ihrer Kunden hat der Vorstand der Inepro-Gruppe die Gesamtverantwortung für die Informationssicherheitspolitik.

Das Dokument zur Informationssicherheitspolitik (im Folgenden als IS-Politik bezeichnet) zielt darauf ab, die Risiken in Bezug auf die Vertraulichkeit, Integrität und Kontinuität der Informationsversorgung innerhalb der Inepro Group zu verwalten und kann wie folgt definiert werden:

'Bereitstellung eines Rahmens von Politikprinzipien für die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsversorgung, für die ein ausgewogenes (effektives und effizientes) System von miteinander verbundenen Maßnahmen entwickelt wurde, um die Struktur vor internen und externen Bedrohungen zu schützen.'

Alle Beteiligten müssen sicherstellen, dass die in dieser IS-Policy dargelegten Grundsätze bei der Umsetzung der Organisation, der Verfahren, der Methoden und der verwendeten Informationssysteme eingehalten werden.

3 Geltungsbereich

Diese Richtlinie gilt für alle Informationen, die im Rahmen der Dienstleistungen, die die Inepro-Gruppe für ihre Kunden erbringt, erstellt, empfangen, übertragen oder gespeichert werden, sowie für die damit verbundenen vertraglichen Verpflichtungen und unterstützenden Prozesse. Die Richtlinie und ihre Umsetzung gelten für alle Mitarbeiter der Inepro-Gruppe. Abweichungen müssen gemeldet werden, um sicherzustellen, dass das Managementsystem ständig verbessert werden kann. Die Richtlinie gilt auch für die Auftragnehmer, die die Inepro Group bei der Erbringung von Dienstleistungen für ihre Kunden unterstützen.

Der Ethikkodex ist ein integraler Bestandteil dieser Politik und muss von allen Mitarbeitern, Auftragnehmern und Auszubildenden eingehalten werden. Die Inepro-Gruppe ist bestrebt, Sicherheitsmaßnahmen auf der Grundlage logischer Prinzipien auszuwählen, die möglichst kosteneffizient und nachhaltig sind. Diese Prinzipien sind:

- Daten, die sich nicht in Ihrem Besitz befinden oder die nicht vertraulich sind, brauchen Sie nicht zu sichern.

- Schleppen Sie Daten nicht herum (d. h. kopieren Sie sie nicht).

- Trennen von Daten

Alle Mitarbeiter müssen diese Grundsätze in die Praxis umsetzen.

3.1 Verantwortlichkeit und Geltungsbereich der Richtlinie

Die Inepro Group ist dafür verantwortlich, dass ihre Dienstleistungen mit ausreichenden Sicherheitsoptionen ausgestattet sind, damit ihre Kunden die geltenden IS-Standards und andere Gesetze und Vorschriften einhalten können. Auch das Hosting und die Verwaltung der Software erfüllen diese Anforderungen. Dies entbindet den Kunden jedoch nicht von der letztendlichen Verantwortung für die Sicherheit seiner Informationsversorgung.

Jedes Informationssystem, einschließlich der zugehörigen Daten, muss einen eindeutigen Eigentümer haben. Die Eigentümerschaft impliziert die letztendliche Verantwortung für das System, einschließlich der Bestimmung der mit dem System verbundenen Risiken, der Klassifizierung des Systems und der zugehörigen Daten sowie der (ausgelagerten) Entwicklung angemessener Sicherheitsmittel und interner Kontrollmaßnahmen. Dazu gehören neben der Anwendung auch die korrekte Nutzung der Infrastrukturkomponenten (Workstations, Server und das interne und externe Netzwerk), die korrekte Verarbeitung, das adäquate Management, die ordnungsgemäße Leistung der Mitarbeiter, Vereinbarungen mit Dritten sowie die physische Sicherheit und die Einrichtungen, die zur Verhinderung oder Bewältigung von Vorfällen und Kalamitäten eingesetzt werden.

Wir nennen dies die oberste Verantwortung, da eine Reihe von Aspekten des Informationssystems an andere Inhaber ausgelagert sind, z. B. an die Inepro-Gruppe. Es wird kein maximales Sicherheitsniveau angestrebt, sondern das bestmögliche Niveau, um sicherzustellen, dass die Inepro Group ihre Dienstleistungen zu akzeptablen Kosten auslagern kann.

3.2 Ausarbeitung dieser Richtlinie

Auf der Grundlage dieser Richtlinie werden Risikoanalysen durchgeführt und eine Reihe von Maßnahmen und Kontrollen als interner Standard definiert, der als Mindestniveau für die gegenüber Kunden erbrachten Dienstleistungen dient. Ein höheres Sicherheitsniveau kann in Absprache mit einem Kunden vereinbart werden.

3.3 Bewertung der Effektivität und Einhaltung der Richtlinie

Der Vorstand wird die Effektivität und Einhaltung der Richtlinie intern bewerten und gegebenenfalls Anpassungen vornehmen.

Jedes Jahr findet ein internes Audit statt. Diese interne Prüfung beinhaltet eine Neubewertung der Risiken, neuer Verträge und Gesetze und Vorschriften. Der Bericht enthält auch einen Plan mit Verbesserungsvorschlägen. Der Vorstand bewertet den Bericht, nimmt die Vorschläge an oder lehnt sie ab und stellt ein Budget zur Verfügung, um sie umzusetzen.

Eine kompetente und qualifizierte externe Partei wird jährlich die Effektivität des IS-Managementsystems prüfen. Dieser Bericht wird den (potenziellen) Kunden zur Verfügung gestellt.

4 Politische Grundsätze/IS-Ziele

Der Vorstand gibt mit diesen Grundsatzprinzipien/IS-Zielen an, wie er die Informationssicherheit in einer für die Inepro-Gruppe angemessenen Weise umsetzen will. Die folgenden Grundsätze/IS-Ziele müssen bei der Umsetzung dieser Richtlinie angewendet werden:

1. Die Informationssicherheit ist ein wichtiges betriebliches Risiko für die Inepro-Gruppe. Aus diesem Grund verabschiedet der Vorstand die Politik, bewertet die Risiken, legt die Maßnahmen fest und veranlasst regelmäßig die interne und externe Bewertung dieser Maßnahmen, um sicherzustellen, dass das IS-Managementsystem weiterhin angemessen funktioniert und gegebenenfalls verbessert wird.

2. Die Inepro-Gruppe hält sich bei der Informationssicherheit an die einschlägige Gesetzgebung und die vertraglichen Vereinbarungen mit ihren Kunden und Geschäftspartnern.

3. Die Inepro Gruppe ist bestrebt, die Dienstleistungen für ihre Kunden kontinuierlich zu verbessern.

4. Die Ziele und Kontrollmaßnahmen der Norm NEN-ISO/IEC 27001 und die Datenschutzrichtlinien des AP dienen, soweit sie zur Informationssicherheit der Inepro Group beitragen, als Grundlage für die zu definierenden Maßnahmen. Dies ist vor allem eine wirtschaftliche Betrachtung.

5. Die Inepro Gruppe betrachtet Cyberkriminalität als ein unerwünschtes gesellschaftliches Problem und sieht es als ihre Pflicht an, geeignete Maßnahmen zu ergreifen, um den durch kriminelle Aktivitäten verursachten Schaden so weit wie möglich zu begrenzen.

6. Die Inepro Group betrachtet Vertrauen als ein wichtiges Gut und beachtet das Prinzip der Gegenseitigkeit gegenüber ihren Mitarbeitern, Lieferanten und anderen Stakeholdern. Die Inepro Group erwartet von diesen Parteien, dass sie ihre Vereinbarungen erfüllen, wenn es um die Integrität, Vertraulichkeit und Kontinuität der Informationsversorgung geht.

7. Die Personalpolitik zielt auch darauf ab, die Integrität, Vertraulichkeit und Kontinuität der Informationsversorgung unter den Mitarbeitern zu verbessern. Dies wird in einer jährlichen Überprüfung angesprochen.

8. Die physische und logistische Sicherheit der Gebäude und des Geländes wird so beschaffen sein, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und deren Verarbeitung gesichert sind.

9. Bei der Anschaffung, Installation und Wartung der Informations- und Kommunikationssysteme sowie bei der Einführung neuer Technologien ist gegebenenfalls durch zusätzliche Maßnahmen sicherzustellen, dass die Informationssicherheit nicht beeinträchtigt wird.

10. Verträge, die an Dritte zur Ausführung von Arbeiten vergeben werden, müssen ausreichende Maßnahmen enthalten, um sicherzustellen, dass keine Verletzung der Vertraulichkeit, Integrität und Kontinuität der Informationsversorgung möglich ist.

11. Bei der Verarbeitung und Nutzung von Daten werden Maßnahmen ergriffen, um die Privatsphäre von Kunden, Mitarbeitern und anderen betroffenen Personen zu schützen.

12. Die Zugriffssicherheit stellt sicher, dass unbefugte Personen oder Prozesse keinen Zugang zu den Informationssystemen, Dateien und Software der Inepro Group erhalten.

13. Die externe Bereitstellung von Daten erfolgt auf der Grundlage des "Need to know". Dies ist intern nicht immer der wünschenswerteste Ansatz, da der Austausch von Wissen für die kosteneffiziente Erbringung von Dienstleistungen für Kunden unerlässlich ist.

14. Die Inepro Group und ihre Mitarbeiter werden Maßnahmen ergreifen, um sicherzustellen, dass vertrauliche Informationen nicht in die Hände von Dritten gelangen.

15. Kundeneingaben mit vertraulichen Daten werden archiviert oder zeitnah nach der Bearbeitung vernichtet.

16. Der Datentransport erfolgt mit ausreichenden Sicherheitsmaßnahmen, um sicherzustellen, dass keine Verletzung der Vertraulichkeit und Integrität der Daten möglich ist.

17. Autorisierte Mitarbeiter müssen auch einen sicheren Fernzugriff auf die für sie relevanten Produktionsumgebungen haben. Es werden keine vertraulichen Daten außerhalb der Produktionsumgebung gespeichert. Abweichungen sind unter bestimmten Bedingungen möglich.

18. Produktionsumgebungen sind von anderen Umgebungen getrennt und erlauben spezifische Zugriffsrechte und Zugriffsüberwachung.

19. Die Verwaltung und Speicherung von Daten in Produktionsumgebungen erfolgt in einer Weise, die sicherstellt, dass keine Daten verloren gehen können, außer in Fällen höherer Gewalt.

20. Die Entwicklungs-, Management- und Benutzerorganisationen enthalten klare Unterscheidungen zwischen den Positionen. Wo möglich und erwünscht, werden auch die Positionen klar unterschieden.

21. Die Inepro-Gruppe verfügt über ein Verfahren, um Vorfälle angemessen zu behandeln und aus ihnen zu lernen.

22. Es gibt auch Notfallpläne und -einrichtungen, die die Kontinuität der Informationsversorgung sicherstellen.

23. Wenn die Datenverarbeitung ausgelagert wird, kann der Vorstand beschließen, vorübergehend von diesen Grundsätzen abzuweichen und die entsprechenden Risiken zu akzeptieren.

24. Die aufgeführten Grundsätze gelten für die Datenverarbeitung, für die die Inepro Group gesetzlich und/oder vertraglich verantwortlich ist.

25. Informationssicherheit ist Teil des Designs, der Entwicklung und des Managements von Software, auch wenn dies von Dritten durchgeführt wird. Sicherheit und Privacy by Design sind in diesem Zusammenhang die wichtigsten Prinzipien.

26. Die Inepro Group und ihre Mitarbeiter sind sich der Datenschutzsensibilität der von ihnen verarbeiteten (speziellen) personenbezogenen Daten bewusst und sorgen stets für den Schutz, die Korrektheit und die Transparenz dieser Daten, um die Privatsphäre der betroffenen Personen zu schützen.