Politik der Informationssicherheit
1 Zweck
2 Umfang
3 Richtlinien
3.1 Überprüfung der Richtlinien
3.2 Zugänglichkeit der Richtlinie
4 Zuständigkeiten
5 Umgang mit Informationen
5.1 Klassifizierung von Informationen
5.2 Kennzeichnung von Dokumenten
5.3 Vernichtung von klassifiziertem Material
5.4 Zulässige Nutzung von IT-Mitteln
5.5 Umgang mit Medien
5.6 Rückgabe von IT-Vermögenswerten
5.7 Ausmusterung und Garantie
6 Betriebssicherheit
6.1 Schutz vor Schadsoftware
6.2 Datensicherung
6.3 Protokollierung und Überwachung
6.4 Verwaltung von Schwachstellen
6.5 Verwaltung von Sicherheitsvorfällen
6.6 Passwort-Richtlinie
6.7 Zugriffsverwaltung
6.8 Richtlinien für mobile Geräte
7 Schulung zur Informationssicherheit
8 Sicherheit der Kommunikation
9 Physische Sicherheit
9.1 Zugangskontrollen
9.2 Physische Identifizierung
9.3 Inspektion von eingehendem Material
10 Erwerb, Entwicklung und Wartung von Systemen
11 Kryptographie
12 Management der Geschäftskontinuität
13 Einhaltung
Geschichte der Revision
1 Zweck
Der Zweck dieser Richtlinie ist es, die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen zu gewährleisten, die innerhalb von Leadfeeder und mit seinen Geschäftspartnern verarbeitet werden. Die Informationssicherheit muss in allen Phasen der Informationsverarbeitung angewandt werden, um das Erreichen der strategischen Ziele zu unterstützen. Um dies zu erreichen, werden die Informationen durch mehrere Kontrollen gesichert. Dazu gehören unter anderem Kontrollen wie Richtlinien, Leitlinien, technische Ereignisüberwachung und Zugriffskontrollen.
Zurück zum Anfang
2 Geltungsbereich
Diese Informationssicherheitspolitik gilt für alle Informationen, die bei Leadfeeder verwendet werden. Diese Richtlinie gilt für jeden, der Zugang zu den Geräten, Systemen oder Einrichtungen von Leadfeeder erhält. Dazu gehören Mitarbeiter, Auftragnehmer, Zeitarbeiter, Geschäftspartner und andere Dritte.
Zurück zum Anfang
3 Richtlinien
Diese Richtlinie ist die übergreifende Richtlinie für die übrigen Sicherheitsrichtlinien, die das Informationssicherheitsprogramm von Leadfeeder ausmachen. Die Reihe der Sicherheitsrichtlinien umfasst:
1. Richtlinie zur Zugriffsverwaltung
2. Richtlinie zur akzeptablen Nutzung
3. Richtlinie zur Vermögensverwaltung
4. Backup-Richtlinie
5. Geschäftskontinuitätsplan
6. Verhaltenskodex
7. Richtlinie zur Datenklassifizierung
8. Datenschutz-Politik
9. Richtlinie zur Datenaufbewahrung
10. Disaster Recovery Plan
11. Verschlüsselungspolitik
12. Plan zur Reaktion auf Vorfälle
13. Open-Source-Richtlinie
14. Passwort-Richtlinie
15. Richtlinie für physische Sicherheit
16. Richtlinie zur verantwortungsvollen Offenlegung von Informationen
17. Richtlinie zur Risikobewertung
18. Richtlinie für sichere Entwicklung
19. Richtlinie zum Lebenszyklus der Softwareentwicklung
20. Richtlinie zur Verwaltung von Anbietern
21. Richtlinie zum Management von Schwachstellen
Zurück zum Anfang
3.1 Überprüfung der Richtlinien
Mindestens einmal im Jahr müssen alle Richtlinien zur Informationssicherheit überprüft und/oder geändert werden, um mögliche technische/organisatorische Änderungen zu berücksichtigen und die erforderlichen Sicherheitsstandards zu erfüllen. Alle Richtlinien müssen von den definierten Richtlinienverantwortlichen genehmigt werden.
Zurück zum Anfang
3.2 Zugänglichkeit von Richtlinien
Richtlinien und/oder Verfahren müssen jederzeit zur Überprüfung zugänglich sein. Relevante Richtlinien, die je nach Rolle unterschiedlich sind, müssen jährlich von allen Mitarbeitern überprüft und unterzeichnet werden.
Zurück zum Anfang
4 Verantwortlichkeiten
Die Verantwortlichkeiten für die Informationssicherheit werden wie folgt festgelegt:
Mitarbeiter, Auftragnehmer und Drittparteien
Befolgung der Informationssicherheitspolitik und -richtlinien
Meldung von Informationssicherheitsrisiken in ihrem Arbeitsbereich
Meldung von vermuteten Vorfällen im Bereich der Informationssicherheit
Meldung mutmaßlicher Schwachstellen in Systemen oder Diensten im Bereich der Informationssicherheit
Teilnahme an Schulungen zur Informationssicherheit
Aufrechterhaltung der nicht verwalteten Endpunktsicherheit (nicht firmeneigene Geräte)
Systembesitzer und Administratoren
Anwendung der erforderlichen Informationssicherheitsmaßnahmen auf Systemen
Überwachung von Risiken, die Systeme betreffen
Personal für Informationssicherheit
Entwicklung von Richtlinien, Praktiken und Leitlinien für die Informationssicherheit
Umgang mit gemeldeten Informationssicherheitsvorfällen
Bereitstellung von Schulungen zur Informationssicherheit
Entwicklung von Risikomanagement und Risikobewertungen
Bewertung der Sicherheit und des Datenschutzes - Bewertung von Anbietern
Berichterstattung über die Leistung des Informationssicherheitsprogramms an die Geschäftsleitung
Exekutives Management
Akzeptieren von Richtlinien zur Informationssicherheit
Akzeptieren von Risiken, die den in der Risikobewertungsrichtlinie festgelegten Schwellenwert überschreiten
Zurück zum Anfang
5 Umgang mit Informationen
Der Umgang mit Informationen, die als nicht-öffentlich eingestuft sind, erfordert die Erlaubnis des Informationseigentümers. Der Zugang wird auf einer Need-to-know-Basis gewährt. Informationen, die als öffentlich eingestuft sind, können innerhalb oder außerhalb von Leadfeeder ohne Erlaubnis des Eigentümers weitergegeben werden. Ausführlichere Richtlinien zum Umgang mit Informationen finden Sie im Sicherheitshandbuch.
Zurück zum Anfang
5.1 Klassifizierung von Informationen
Alle Informationen, einschließlich Dokumente, werden klassifiziert. Alle Dokumente werden standardmäßig als intern eingestuft. Andere Klassifizierungsarten werden je nach Art der Information und der Person, für die sie bestimmt ist, verwendet. Die Klassifizierung wird auch verwendet, um die Auswirkungen von Sicherheitsvorfällen zu definieren. Vergewissern Sie sich, dass Sie die Erlaubnis des Eigentümers der Informationen haben, bevor Sie die Informationen an andere Parteien weitergeben. Die Klassifizierung muss nach den folgenden Klassen erfolgen.
Klassifizierung
Beschreibung
Öffentlich
Diese Art von Informationen kann sowohl innerhalb als auch außerhalb des Unternehmens weitergegeben werden. Die Veröffentlichung dieser Art von Informationen hat weder negative Auswirkungen auf das Geschäft noch schadet sie der Marke.
Intern
Diese Art von Informationen ist nur für den internen Gebrauch innerhalb des Unternehmens bestimmt. Wenn interne Informationen veröffentlicht werden, kann dies geringfügige negative finanzielle Auswirkungen, Publicity oder Gewinneinbußen zur Folge haben.
Vertraulich
Diese Art von Informationen ist sensibel, kann aber außerhalb des Unternehmens weitergegeben werden. Der Umgang mit vertraulichen Informationen erfordert die Erlaubnis des Eigentümers der Informationen. Wenn vertrauliche Informationen preisgegeben werden, kann dies die Kundenbeziehungen schädigen, mäßig negative Publicity oder Gewinneinbußen zur Folge haben.
Eingeschränkt
Diese Art von Informationen ist die sensibelste. Der Umgang mit eingeschränkten Informationen erfordert die Erlaubnis des Eigentümers der Informationen. Die Weitergabe dieser Art von Informationen muss sehr sorgfältig kontrolliert werden. Wenn eingeschränkte Informationen preisgegeben werden, kann dies die Kundenbeziehungen ernsthaft schädigen und zu großer negativer Publicity und Gewinneinbußen führen. Darüber hinaus kann die Offenlegung von vertraulichen Informationen einen irreparablen Markenschaden verursachen, zu strafrechtlichen Anklagen oder massiven Geldstrafen führen und das Unternehmen daran hindern, seine strategischen Ziele zu erreichen.
Zurück zum Anfang
5.2 Kennzeichnung von Dokumenten
Dokumente müssen mit der gewählten Klassifizierungsart gekennzeichnet sein. Befindet sich kein Etikett auf dem Dokument, wird es als intern eingestuft. Die Anweisungen zur Kennzeichnung sind im Sicherheitshandbuch enthalten.
Zurück zum Anfang
5.3 Vernichtung von klassifiziertem Material
Informationen, die auf einem Datenträger gespeichert sind, müssen unwiderruflich gelöscht werden, bevor der Datenträger wiederverwendet oder entfernt wird. Alle physischen Speichermedien müssen in Übereinstimmung mit den Unternehmensrichtlinien vernichtet werden. Wenn Sie gedrucktes Verschlusssachenmaterial vernichten, müssen Sie es mit einem Aktenvernichter schreddern.
Zurück zum Anfang
5.4 Zulässige Nutzung von IT-Assets
IT-Assets müssen in Übereinstimmung mit der Acceptable Use Policy (Richtlinie zur akzeptablen Nutzung) verwendet werden. Zusammenfassung der Richtlinie:
Nur autorisiertes Personal darf firmeneigene Geräte und vom Unternehmen bereitgestellte Dienste nutzen
Nur firmeneigene Geräte oder benutzereigene Geräte, die mit der internen IT-Abteilung vereinbart wurden, dürfen für den Zugriff auf vom Unternehmen bereitgestellte Ressourcen und Dienste verwendet werden
Für die Anmeldung ist in erster Linie Single-Sign-On (SSO, Login mit Okta/Google) zu verwenden.
Wo kein SSO-Login verfügbar ist, muss die Multi-Faktor-Authentifizierung (MFA) aktiviert werden
Auf den Computern darf nur die für die Erfüllung der Arbeitsaufgaben notwendige zusätzliche (nicht im Betriebssystem integrierte) Software installiert werden. Eine Liste mit zugelassenen Clients und Browsern finden Sie im Sicherheitshandbuch.
Anwendungen dürfen nur von vertrauenswürdigen Quellen installiert werden (z.B. offizielle Websites, App Store)
Sicherheitsupdates von Betriebssystemen und Software müssen so schnell wie möglich installiert werden
Hardware und Software müssen ordnungsgemäß lizenziert sein
Sicherheitskontrollen wie Antivirensoftware oder Festplattenverschlüsselung dürfen unter keinen Umständen deaktiviert werden - Bildschirmsperren müssen auf allen Geräten aktiviert sein
Geräte, Dokumente oder Notebooks dürfen an öffentlichen Orten (z.B. Coworking Spaces) oder im Büro außerhalb der Arbeitszeiten nicht unbeaufsichtigt gelassen werden
Man muss sich vor Lauschangriffen und Shoulder Surfing schützen, insbesondere an öffentlichen Orten
Der Umfang der persönlichen Nutzung muss angemessen sein und darf der Mission von Leadfeeder nicht schaden
Verloren gegangene oder gestohlene Gegenstände müssen sofort der internen IT-Abteilung gemeldet werden.
Zurück zum Anfang
5.5 Umgang mit Medien
Die Übertragung von Unternehmensdaten auf externe Medien (z.B. USB-Festplatten) und nicht vom Unternehmen genehmigte Dienste ist verboten.
Vermeiden Sie Papierausdrucke von vertraulichen oder eingeschränkten Daten, insbesondere von persönlichen Daten. Bewahren Sie sie bei Bedarf in verschlossenen Schränken auf und vernichten Sie sie, wenn sie nicht mehr benötigt werden, mit einem Aktenvernichter.
Bevor Sie Material ausdrucken, bedenken Sie die Klassifizierung der Informationen.
Zurück zum Anfang
5.6 Rückgabe von IT-Beständen
Alle Benutzer müssen bei Beendigung ihres Arbeitsverhältnisses, ihres Vertrags oder ihrer Vereinbarung alle in ihrem Besitz befindlichen Organisationsmittel (z.B. Computer und Mobiltelefone) zurückgeben.
Zurück zum Anfang
5.7 Ausmusterung und Garantie
Firmeneigene Computer, die von den Mitarbeitern genutzt werden, werden in erster Linie geleast und haben eine Leasingdauer von 36 Monaten. Standardmäßig werden die Geräte nach Ablauf des Leasingzeitraums an die Leasinggesellschaft zurückgegeben. Der Endbenutzer hat die Möglichkeit, das Gerät nach Ablauf der Leasingdauer zu kaufen. Alle Unternehmensdaten werden nach Ablauf des Leasingzeitraums von dem Gerät entfernt. Die Notwendigkeit, einen Computer oder ein mobiles Gerät, das vom Unternehmen gekauft wurde und ihm gehört, zu ersetzen, wird alle 36 Monate von der IT-Abteilung geprüft. Bei der Bewertung muss berücksichtigt werden, für welchen Zweck das Gerät verwendet wird, wie es funktioniert und ob der Hersteller das Gerät unterstützt, z.B. indem er die neuesten Sicherheitspatches bereitstellt. Wenn das Gerät als unbrauchbar eingestuft wird und/oder nicht mehr unterstützt wird, muss es unter Berücksichtigung des Verwendungszwecks des Geräts ersetzt werden. Die Garantien für die Geräte werden vom Hersteller festgelegt.
Zurück zum Anfang
6 Sicherheit im Betrieb
6.1 Schutz vor Malware
Zur Erkennung und Vorbeugung von Malware-Infektionen werden folgende Kontrollen eingesetzt: Anti-Virus-Software (EDR-Lösung), E-Mail-Filterung, Firewalls, Schwachstellenmanagement, Risikomanagement und Schulungen zum Sicherheitsbewusstsein. Anti-Virus-Software muss auf allen Arbeitsstationen eingesetzt werden. Nicht verwaltete Antiviren-Software für Workstations wird vom Endbenutzer verwaltet. Die Wiederherstellung im Falle einer Malware-Infektion muss in Übereinstimmung mit dem Incident Response Plan erfolgen. Für geschäftskritische Systeme müssen Wiederherstellungspläne vorhanden sein.
Zurück zum Anfang
6.2 Datensicherung
Für geschäftskritische Systeme muss ein Backup-Zeitplan in Übereinstimmung mit der Backup-Richtlinie festgelegt werden.
Zurück zum Anfang
6.3 Protokollierung und Überwachung
Ereignisprotokolle werden verwendet, um die unbefugte Nutzung von Systemen zu erkennen und zu verhindern. Bei Bedarf werden sie auch im Rahmen des Managements von Sicherheitsvorfällen verwendet. Der Zugang zu den Protokollen wird nur autorisierten Personen auf einer Need-to-know-Basis gewährt. Sicherheitsereignisprotokolle müssen vor Manipulationen geschützt werden.
Zurück zum Anfang
6.4 Verwaltung von Sicherheitslücken
Technische Schwachstellen werden in Übereinstimmung mit der Richtlinie zum Schwachstellenmanagement behandelt. Andere Schwachstellen werden im Rahmen des Risikomanagementprozesses behandelt.
Zurück zum Anfang
6.5 Management von Sicherheitsvorfällen
Sicherheitsvorfälle werden in Übereinstimmung mit dem Incident Response Plan behandelt. Die Zuständigkeiten in Bezug auf Sicherheitsvorfälle sind in Absatz 4 beschrieben.
Zurück zum Anfang
6.6 Passwort-Richtlinie
Benutzer müssen für jeden Dienst ein starkes, eindeutiges Passwort verwenden. Die Passwörter müssen mindestens 15 Zeichen lang sein. Die Passwörter müssen sicher in dem vom Unternehmen festgelegten Passwortverwaltungssystem gespeichert werden. Es wird empfohlen, eines im Passwortverwaltungssystem zu generieren oder an Passphrasen zu denken, um die Komplexitätsanforderungen zu erfüllen. Vermeiden Sie die Verwendung von Daten (z.B. Geburtstagen), Namen (z.B. Haustieren) oder anderen persönlichen Informationen, die Sie online finden, in Passwörtern. Die Standardpasswörter für administrative Konten von Hardware wie Firewalls oder Routern müssen nach der ersten Anmeldung geändert werden. Das Gleiche gilt für alle Anwendungen mit administrativen Konten, einschließlich SaaS-Anwendungen/Dienste.
Zurück zum Anfang
6.7 Zugriffsverwaltung
Der Zugriff wird in Übereinstimmung mit der Zugriffskontrollpolitik verwaltet.
Zurück zum Anfang
6.8 Richtlinie für mobile Geräte
Mobile Geräte, die sich im Besitz des Unternehmens befinden, müssen im System zur Verwaltung mobiler Geräte (MDM) und im Anlagenregister registriert sein. Leadfeeder muss die Möglichkeit haben, Geschäftsdaten mit MDM aus der Ferne von den Geräten zu löschen, z.B. im Falle eines Diebstahls oder bei Beendigung des Arbeitsverhältnisses. Die Sicherung mobiler Geräte kann mit Google oder Apple erfolgen, mit der Ausnahme, dass eingeschränkte Daten nicht in die Sicherungen aufgenommen werden. Für mobile Geräte gelten die gleichen Grundsätze wie für Computer. Siehe akzeptable Nutzung von Assets in Absatz 5.4.
Zurück zum Anfang
7 Schulungen zur Informationssicherheit
Alle Mitarbeiter sind verpflichtet, an einer vom Unternehmen angebotenen Schulung zur Informationssicherheit teilzunehmen. Das Schulungsprogramm besteht aus folgenden Elementen: Sicherheitstrainings und -kampagnen, statisches Lernmaterial, aktuelle Sicherheitstipps und Ankündigungen, z.B. aufgrund aktueller Nachrichten.
Zurück zum Anfang
8 Sicherheit der Kommunikation
Eine Firewall und eine praktikable Netzwerktrennung müssen in allen internen Unternehmensnetzwerken implementiert werden. Drahtlose Netzwerke müssen mit den aktuellen Best Practices für Verschlüsselung geschützt werden. Die Firewall-Regeln müssen jährlich neu bewertet werden. Es ist verboten, eigene Router, Netzwerk- oder Firewall-Geräte in den Büros zu installieren. Die gemeinsame Nutzung einer Wi-Fi-Hotspot-Verbindung von Ihrem Telefon aus, falls das lokale Netzwerk nicht verfügbar ist, ist erlaubt. Die Anwendungskommunikation, einschließlich SaaS-Dienste, muss mit den aktuellen TLS Best Practices geschützt werden. Die Sicherheit der mit Endgeräten genutzten Netzwerke muss jederzeit gewährleistet sein. Anstelle von öffentlichen unbekannten Netzwerken sind in erster Linie mobile Daten zu verwenden. Falls ein öffentliches unbekanntes Netzwerk verwendet werden muss, muss der offizielle Netzwerkname (WiFi SSID) sichergestellt werden, z.B. durch Nachfragen bei den Mitarbeitern. Es wird empfohlen, ein vom Unternehmen bereitgestelltes VPN zu verwenden, wenn Sie mit unbekannten Netzwerken verbunden sind.
Zurück zum Anfang
9 Physische Sicherheit
9.1 Zugangskontrollen
Der Zugang zu den Büroräumen wird durch elektronische Schlüssel kontrolliert. Nur autorisiertes Personal darf die Schlüssel benutzen. Elektronische Schlüssel dürfen nicht an etwas befestigt werden, z.B. an einem Schlüsselband, auf dem "Leadfeeder" steht. Die Gäste müssen während des gesamten Besuchs begleitet werden, wobei beim Betreten und Verlassen der Einrichtungen besondere Vorsicht geboten ist. Verlorene Schlüssel oder Zugangscodes müssen sofort der örtlichen Geschäftsleitung gemeldet werden.
Zurück zum Anfang
9.2 Physische Identifizierung
Alle Mitarbeiter werden durch ihr Gesicht identifiziert. Nicht identifizierte Personen müssen dem Sicherheitspersonal gemeldet und aus dem Büro begleitet werden.
Zurück zum Anfang
9.3 Inspektion von eingehendem Material
Alle eingehenden Gerätelieferungen müssen auf dem Transportweg auf Anzeichen von Manipulationen überprüft werden. Wenn eine solche Manipulation entdeckt wird, muss dies sofort dem Sicherheitspersonal gemeldet werden.
Zurück zum Anfang
10 Erwerb, Entwicklung und Wartung von Systemen
Die Bewertung von Lieferanten muss in Übereinstimmung mit der Richtlinie für das Lieferantenmanagement durchgeführt werden. Sichere Entwicklungspraktiken sind in der Richtlinie für sichere Entwicklung vorgeschrieben. Die Anforderungen an die Informationssicherheit und Wartung von Systemen sind im Sicherheitshandbuch beschrieben.
Zurück zum Anfang
11 Kryptographie
Unternehmensdaten müssen im Ruhezustand und bei der Übertragung gemäß der Verschlüsselungsrichtlinie verschlüsselt werden. Die Festplatten der physischen Endgeräte (Computer und Telefone) müssen verschlüsselt sein. Die Anwendungskommunikation, auch bei SaaS-Diensten, muss mit den aktuellen TLS Best Practices geschützt werden. Die Praktiken der Schlüsselverwaltung sind im Sicherheitshandbuch beschrieben.
Zurück zum Anfang
12 Management der Geschäftskontinuität
Leadfeeder muss aktuelle Business-Continuity- und Disaster-Recovery-Pläne unterhalten. Das Business Continuity Management wird im Business Continuity Plan beschrieben.
Zurück zum Anfang
13 Einhaltung
Die Einhaltung geltender Gesetze, Vorschriften und anderer vertraglicher Anforderungen muss gewährleistet sein. Einschlägige Aufzeichnungen über Compliance-Aktivitäten müssen aufbewahrt werden.
Zurück zum Anfang
Geschichte der Revision
Version
Datum
Herausgeber
Beschreibung der Änderungen
Genehmigt von
1.0
18.07.2022
Henri Markkanen
Ursprüngliche Erstellung
Pekka Koskinen
1.1
02.05.2023
Henri Markkanen
Änderungen an Richtlinienverweisen
Bastian Karweg
1.2
23.05.2023
Henri Markkanen
Geringfügige Änderungen
Bastian Karweg
Zurück zum Anfang