Richtlinie zur Informationssicherheit

1. OBJEKTIV

Ojmar ist sich der Auswirkungen auf die Informationssicherheit bewusst, die mit seinem Betrieb und seinem Engagement für die Stakeholder verbunden sind. Daher besteht der Hauptzweck dieses Dokuments darin, die Informationssicherheitsrichtlinie von Ojmar festzulegen. Der Hauptzweck dieser Richtlinie besteht darin, den ordnungsgemäßen Schutz von Informationsbeständen und die Kontinuität der angebotenen Dienste zu gewährleisten, indem über die erforderlichen Kapazitäten zur Verhinderung, Erkennung, Reaktion und Wiederherstellung möglicher Sicherheitsvorfälle verfügt wird. Zu diesem Zweck ergreift die Organisation die notwendigen Sicherheitsmaßnahmen, um ein Risikoniveau aufrechtzuerhalten, das als akzeptabel angesehen wird. Es erkennt auch an, wie wichtig es ist, die Leistung von Diensten zu überwachen, identifizierte Schwachstellen zu analysieren und wirksame Reaktionen auf Vorfälle zu entwickeln.

Für Ojmar ist es eine Priorität, dass die Informationsdienste ihre Funktionen erfüllen und die Integrität der Daten ohne Unterbrechungen oder unbefugte Änderungen bewahren, und dass ein unbefugter Zugriff auf sie nicht gestattet ist. Im Einklang mit diesem Ziel müssen die Informationssysteme und Netzwerke des Unternehmens robust genug sein, um versehentlichen Ereignissen oder böswilligen Aktionen, die die Vertraulichkeit, Verfügbarkeit und Integrität gespeicherter oder übertragener Daten sowie von Diensten, die in digitalen Umgebungen verwendet werden, gefährden können, zuverlässig zu widerstehen.

Es liegt in der Verantwortung von Ojmar, dafür zu sorgen, dass die Sicherheit von Informations- und Kommunikationstechnologien (IKT) in alle Phasen des Lebenszyklus von Informationssystemen integriert wird. Dies reicht von der Konzeption über die Stilllegung bis hin zu Entwicklungs- oder Akquisitionsentscheidungen sowie operativen Tätigkeiten. Die Sicherheitsanforderungen und der Finanzierungsbedarf, die mit jeder Phase verbunden sind, werden identifiziert und in Planungs- und Projektausschreibungen berücksichtigt.

Um die Bestimmungen dieser Informationssicherheitsrichtlinie einzuhalten und das von Ojmar geforderte Sicherheitsniveau zu gewährleisten, erstellt der Ausschuss für Informationssicherheit jährlich einen Bericht, in dem die vom Ausschuss genehmigten Sicherheitsmaßnahmen auf der Grundlage des Risikomanagements aufgeführt sind. Diese Maßnahmen müssen aufgrund ihres wesentlichen Charakters im Laufe des folgenden Haushaltsjahres nach ihrer Genehmigung durchgeführt werden. Darüber hinaus enthält der Bericht die Maßnahmen, die als wünschenswert erachtet werden, um die vom Ausschuss entworfene Sicherheitsstrategie voranzubringen.

2. GELTUNGSBEREICH

In Übereinstimmung mit der Informationssicherheitsrichtlinie und den entsprechenden Vorschriften werden Sicherheitsmaßnahmen festgelegt, die gemäß den in diesen Normen definierten Richtlinien auf alle Systeme, Dienste und Ressourcen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) angewendet werden müssen, die von Ojmar zur Unterstützung seiner organisatorischen Prozesse verwendet werden und die sich auf die verschiedenen damit verbundenen Informationselemente auswirken.

Der Zweck der IKT-Ressourcen des Unternehmens besteht darin, den Geschäftsbetrieb sowie die für den Betrieb des Unternehmens wesentlichen Managementaktivitäten zu unterstützen. Diese Ressourcen umfassen sowohl zentrale als auch abteilungsbezogene Systeme, Workstations, Computer, Drucker, Ausgabegeräte und andere Peripheriegeräte, interne und externe Netzwerke, Kommunikationsdienste und Speichersysteme, die sich im Besitz von Ojmar befinden.

In diesem Zusammenhang werden Computer oder persönliche Geräte, die nicht von der Organisation gekauft oder auf ihren Namen registriert sind, nicht als Teil der IKT-Ressourcen des Unternehmens betrachtet, obwohl sie gelegentlich für Aktivitäten im Zusammenhang mit Geschäftsprozessen verwendet werden können. Daher sind sie von der Anwendung dieser Richtlinie sowie von allen Sicherheitserwägungen oder -bedenken ausgeschlossen. Jedes persönliche Gerät, das sich mit dem Unternehmensnetzwerk verbindet oder Informationen von Ojmar enthält, unterliegt jedoch den Verpflichtungen, die in dieser Informationssicherheitsrichtlinie festgelegt sind, sowie den Vorschriften und Richtlinien, die sie ergänzen.

Diese Richtlinie gilt nicht nur für das interne Personal der Organisation, sondern ist auch für alle internen und externen Personen, Organisationen, Institutionen oder Einheiten und Dienste verbindlich, die IKT-Ressourcen nutzen und Zugang zu den Informationselementen des Unternehmens haben. Dazu gehören diejenigen, die sich direkt oder indirekt mit solchen Ressourcen verbinden, entweder aus der Ferne oder über Geräte von Drittanbietern, und umfasst insbesondere Dienste, die über das Internet angeboten werden. Im Rahmen dieser Aktivität werden diese Personen gemäß den in dieser Richtlinie festgelegten Bedingungen als Benutzer betrachtet.

3. GRUNDSÄTZE DER INFORMATIONSSICHERHEIT

Diese Richtlinie basiert zusammen mit den entsprechenden Vorschriften auf wesentlichen Schutzprinzipien mit dem Ziel, sicherzustellen, dass die Organisation ihre Ziele durch die korrekte Verwaltung von Informationssystemen erreichen kann.

Diese Grundprinzipien, die bei allen Entscheidungen im Zusammenhang mit der Informationssicherheit berücksichtigt werden müssen, werden im Folgenden beschrieben:

3.1. Umfassender Sicherheitsansatz

Sicherheit wird als globaler Prozess betrachtet, der alle menschlichen, materiellen, organisatorischen und technologischen Elemente im Zusammenhang mit dem System umfasst. Daher ist es von entscheidender Bedeutung, geeignete Maßnahmen zu ergreifen, damit alle am Prozess beteiligten Akteure die Informationssicherheitsrichtlinie kennen und ihre Verantwortlichkeiten in Übereinstimmung damit wahrnehmen. Die Koordination zwischen allen Beteiligten gilt für alle Initiativen und Aktionen, die von Ojmar durchgeführt werden.

3.2. Risikomanagement

Risikoanalyse und -management spielen eine entscheidende Rolle bei der Informationssicherheit. Es ist wichtig, das Risikoniveau durch die kontinuierliche Umsetzung geeigneter und aktueller Sicherheitsmaßnahmen in akzeptablen Grenzen zu halten. Dadurch wird die Verhältnismäßigkeit zwischen der Art der Daten und Verarbeitungsprozesse, den Risiken, denen sie ausgesetzt sind, und den entsprechenden Sicherheitsmaßnahmen gewährleistet.

3.3. Vorbeugung und Wiederherstellung von Vorfällen

Die Systemsicherheit sollte die Prävention, Erkennung und Wiederherstellung umfassen, um zu verhindern, dass Bedrohungen auftreten oder erhebliche Auswirkungen auf die von den angebotenen Informationssystemen oder -diensten verarbeiteten Daten haben. Dies wird durch vorbeugende Maßnahmen erreicht, einschließlich Abschreckung und Verringerung der Exposition; Erkennungsmaßnahmen, die durch wirksame Reaktionen auf Sicherheitsvorfälle und Wiederherstellungsmaßnahmen ergänzt werden, die die Wiederherstellung von Diensten und Informationen ermöglichen. Das System gewährleistet die Datenerhaltung und Serviceverfügbarkeit während des gesamten Informationslebenszyklus.

3.4. Mehrere Verteidigungsebenen

Das System muss über eine Schutzstrategie verfügen, die aus mehreren Sicherheitsebenen besteht, die so angeordnet sind, dass bei einem Ausfall einer von ihnen aufgrund eines unvermeidlichen Vorfalls genügend Zeit für eine angemessene Reaktion bleibt, wodurch die Wahrscheinlichkeit einer Kompromittierung des gesamten Systems verringert und die endgültigen Auswirkungen minimiert werden. Diese Verteidigungsebenen umfassen organisatorische, physische und logische Maßnahmen.

3.5. Regelmäßige Überprüfung

Ojmar überprüft und aktualisiert regelmäßig die implementierten Sicherheitsmaßnahmen, um sicherzustellen, dass sie angesichts der sich ständig weiterentwickelnden Risiken und Schutzsysteme weiterhin wirksam sind.

4. FÜHRUNG & ENGAGEMENT

Die Geschäftsleitung von Ojmar demonstriert ihre Führungsrolle und ihr Engagement für die Grundprinzipien der Informationssicherheit durch die Implementierung des Informationssicherheitsmanagementsystems (ISMS), für das sie die folgenden Verantwortlichkeiten übernimmt:

  • Festlegen und Anpassen der Informationssicherheitsrichtlinie und der Informationssicherheitsvorschriften an der strategischen Ausrichtung der Organisation.
  • Sicherstellung, dass die für das wirksame Funktionieren des ISMS erforderlichen Ressourcen zur Verfügung stehen.
  • Kommunizieren Sie die Bedeutung eines effizienten Systemmanagements und der Einhaltung festgelegter Anforderungen auf allen Ebenen des Unternehmens.
  • Orientierung und Unterstützung für die Personen, die zum Betrieb des ISMS beitragen, und Förderung einer Kultur der Informationssicherheit.
  • Zusammenarbeit mit anderen relevanten Managementbereichen, um deren Führungsrolle in ihren jeweiligen Verantwortungsbereichen zu stärken und die Integration der Informationssicherheit in alle Prozesse sicherzustellen.
  • Stellen Sie sicher, dass das ISMS die erwarteten Ergebnisse in Bezug auf den Informationsschutz und die Kontinuität der Dienste erzielt.
  • Förderung der kontinuierlichen Verbesserung im Bereich der Informationssicherheit durch Unterstützung von Initiativen, die zu mehr Effektivität und Effizienz im Sicherheitsmanagement führen.

5. MANAGEMENTPOLITIK UND SICHERHEITSZIELE

Das Management von Ojmar ist sich der Notwendigkeit bewusst, die Einhaltung definierter Vertraulichkeits-, Integritäts- und Verfügbarkeitsstufen für seine Informationsbestände zu gewährleisten. Dies ist unerlässlich, um die Aktivitäten des Unternehmens durchzuführen und die strategischen Ziele zu erreichen sowie seine Fähigkeit zu demonstrieren, die den Kunden angebotenen Dienstleistungen effizient zu verwalten.

Um diese Ziele zu erreichen, wurde das Informationssicherheits-Managementsystem (ISMS) entwickelt und implementiert, das einen soliden Rahmen für die sichere Verwaltung des Unternehmensvermögens bietet. Darüber hinaus dient dieses System als Garantie, um das Vertrauen und die Zufriedenheit aller Beteiligten zu gewährleisten, indem es eine sichere Methodik für die Erbringung von Dienstleistungen integriert.

Um sein Engagement zu verstärken und unter Berücksichtigung der Tatsache, dass die Informationssicherheit darauf abzielt, die Kontinuität des Betriebs des Unternehmens zu gewährleisten und Risiken zu mindern, indem Sicherheitsvorfälle verhindert und gegebenenfalls reduziert werden, legt Ojmar die folgenden strategischen Ziele im Bereich der Informationssicherheit fest:Im Einklang mit dem Kontext und der strategischen Ausrichtung des Unternehmens:

  • Fördern Sie eine Unternehmenskultur, in der Informationssicherheit eine grundlegende Säule ist und in allen Managementpraktiken und -prozessen des Unternehmens verankert ist.
  • Schützen Sie die Vertraulichkeit, Verfügbarkeit und Integrität der Unternehmensdaten, um die Geschäftsstrategie zu unterstützen und die aktuellen gesetzlichen und vertraglichen Anforderungen zu erfüllen.
  • Durchführung von Risikoanalysen und -management mit Schwerpunkt auf Informationssicherheit.
  • Nutzen Sie Sicherheitsressourcen optimal, um Ihre Geschäftsziele zu unterstützen.
  • Nutzen Sie das vorhandene Sicherheitswissen und die vorhandene Infrastruktur effizient und effektiv.
  • Schützen Sie die von Ojmar verwendeten Informationsressourcen und Technologien vor internen und externen Bedrohungen, ob absichtlich oder versehentlich.
  • Richten Sie Überwachungs- und Berichtsprozesse ein, um die Einhaltung der Informationssicherheitsziele sicherzustellen und eine angemessene Reaktion auf Vorfälle zu gewährleisten.

Im Einklang mit seiner Strategie und seinem Geschäft definiert Ojmar eine Reihe spezifischer Ziele für die Informationssicherheit:

5.1. Schutz von Informationsbeständen

Die Fähigkeit, Systemressourcen zu schützen, ist eine grundlegende Säule in der Strategie von Ojmar. Das Risikomanagement stellt eine der wesentlichsten Grundlagen der Informationssicherheit dar und gilt als Kernpraxis in allen anerkannten Sicherheitsstandards. Daher basieren viele der Bemühungen, die dem Schutz der Informationen, Vermögenswerte und Geschäfte des Unternehmens gewidmet sind, auf den Ergebnissen, die sich aus der Analyse und Bewertung von Sicherheitsrisiken ergeben.

5.2. Logische Zugriffskontrollen und Authentifizierung

Die Sicherstellung, dass das Informationssystem nur für autorisierte Benutzer zugänglich ist, ist ein weiterer wichtiger Punkt für Ojmar. Die Implementierung einer starken Authentifizierung ist entscheidend, um das Risiko von Spoofing und anderen betrügerischen Zugriffen zu verringern.

5.3. Schutz der Vertraulichkeit

Die Gewährleistung der Vertraulichkeit von Daten ist ein integraler Bestandteil der Informationssicherheit. Dabei geht es darum, Informationen zu schützen, die zwischen autorisierten Parteien ausgetauscht werden, und sicherzustellen, dass sie nicht unbefugten Dritten zugänglich gemacht werden.

5.4. Integritätsschutz

Die Sicherstellung der Datenintegrität ist entscheidend, um unbefugte Änderungen oder Manipulationen zu verhindern. Das Unternehmen implementiert Sicherheitsmaßnahmen, um das Risiko von Datenmanipulationen zu mindern, insbesondere in nicht vertrauenswürdigen Umgebungen wie öffentlichen Netzwerken oder dem Internet.

5.5. Schutz der Verfügbarkeit

Die Aufrechterhaltung der ununterbrochenen Verfügbarkeit von Informationssystemen ist von entscheidender Bedeutung. Ojmar legt Verfahren fest, um die Geschäftskontinuität in widrigen Situationen aufrechtzuerhalten, um so die Auswirkungen von Störungen zu minimieren und sicherzustellen, dass die Systeme immer verfügbar sind.

5.6. Prüfung der Sicherheitsaktivitäten

Die kontinuierliche Überwachung und Aufzeichnung potenzieller Vorfälle und verdächtiger Aktivitäten sind wichtige Ziele, um unerwünschte Ereignisse zu verhindern. Dies trägt zur Sicherheit bei, indem Bedrohungen proaktiv erkannt und darauf reagiert wird.

6. SICHERHEITS-ORGANISATION

Um all diese Ziele in allen Phasen des Informationslebenszyklus zu erreichen und die Verantwortlichkeiten für ihre Umsetzung angemessen zuzuweisen, etabliert Ojmar eine Struktur, die die konsequente Anwendung der Informationssicherheitspolitik fördert. Diese Struktur passt sich effektiv an die häufigen technologischen und organisatorischen Veränderungen in dem Umfeld an, in dem sie ihre Geschäftstätigkeit ausübt.

Dementsprechend richtet Ojmar das folgende Komitee und die folgende Rolle im Zusammenhang mit der Aufsicht und dem Management der Informationssicherheit ein:

  • Ausschuss für Informationssicherheit.
  • Leiter der Sicherheitsabteilung.

7. PERSONENBEZOGENE DATEN

Ojmar führt die Verarbeitung personenbezogener Daten durch und führt ein Verzeichnis der Verarbeitungstätigkeiten, in dem diese Prozesse dokumentiert und die entsprechenden Verantwortlichen identifiziert werden. Jedes seiner Informationssysteme entspricht den von den Vorschriften geforderten Sicherheitsniveaus unter Berücksichtigung der Art und des Zwecks der betreffenden personenbezogenen Daten.

Die gemäß dieser Informationssicherheitsrichtlinie umgesetzten Sicherheitsmaßnahmen sowie die zur Einhaltung der Verpflichtungen der Datenschutz-Grundverordnung durchgeführten Risikobewertungen werden effektiv mit dem Sicherheitsbeauftragten und dem Informationssicherheitsausschuss abgestimmt. Dadurch wird sichergestellt, dass der Schutz personenbezogener Daten vollständig in das ISMS-Rahmenwerk integriert ist und die geltenden Datenschutzbestimmungen eingehalten werden.

8. PFLICHTEN DER NUTZER

Es liegt in der Verantwortung aller Mitglieder von Ojmar, die Informationssicherheitsrichtlinie und die Sicherheitsvorschriften, die sich aus dieser Richtlinie ergeben, zu kennen und strikt einzuhalten. Die Direktion ist dafür verantwortlich, dass diese Strategien alle Interessengruppen erreichen und die notwendigen Mittel für ihre Verbreitung und ihr Verständnis bereitstellen.

Es ist von entscheidender Bedeutung, dass sich alle Mitarbeiter in der Organisation der Bedeutung der Wahrung der Sicherheit von Informationssystemen voll bewusst sind. Jeder Einzelne spielt eine wesentliche Rolle bei der Aufrechterhaltung und Verbesserung der Sicherheit bei Ojmar.

Dementsprechend wird ein kontinuierliches Sensibilisierungsprogramm eingerichtet, das alle Mitglieder der Organisation umfasst, mit besonderem Schwerpunkt auf denen, die kürzlich beigetreten sind. Personen, die für die Nutzung, Verwaltung oder den Betrieb von Systemen der Informations- und Kommunikationstechnologie (IKT) verantwortlich sind, erhalten eine spezifische Schulung in der sicheren Verwaltung dieser Systeme, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Diese Schulung ist obligatorisch, bevor Sie Verantwortung übernehmen, entweder in Ihrer ersten Position oder im Falle eines Rollen- oder Verantwortungswechsels innerhalb der Organisation.

9. VERANTWORTLICHKEITEN DER NUTZER IM FALLE VON VERSTÖSSEN

Das Informationssicherheitskomitee ist befugt zu beurteilen, ob die Benutzer der Organisation gegen eine der in dieser Richtlinie sowie in den damit verbundenen Vorschriften und zusätzlichen Anweisungen festgelegten Verpflichtungen verstoßen.

Für den Fall, dass eine Nichteinhaltung festgestellt wird, werden sowohl vorbeugende als auch korrigierende Maßnahmen ergriffen, mit dem Hauptziel, die Informationssysteme und -netzwerke der Organisation zu erhalten und zu schützen. Diese Maßnahmen werden unbeschadet etwaiger disziplinarischer Konsequenzen angewandt.

Sobald ein Verstoß gegen die Informationssicherheitsrichtlinie bestätigt wurde, befolgt das Komitee die festgelegten Verfahren, um geeignete Disziplinarmaßnahmen einzuleiten. Das einzuhaltende Verfahren und die zu verhängenden Sanktionen entsprechen den geltenden Rechtsvorschriften, die das Disziplinarregime des in der Organisation beschäftigten Personals regeln.

10. BEZIEHUNG ZU DRITTEN

Wenn Ojmar Dienstleistungen für andere Organisationen erbringt oder Informationen von ihnen verarbeitet, ist die für diese Beziehung verantwortliche Person dafür verantwortlich, sie über die Informationssicherheitsrichtlinie sowie über die Regeln und Anweisungen zu informieren, die für die Weitergabe erforderlich sind. Darüber hinaus werden Kommunikations- und Abstimmungskanäle zwischen den jeweiligen Informationssicherheitsgremien eingerichtet, um eine effektive Zusammenarbeit in Sicherheitsfragen zu gewährleisten. Darüber hinaus werden Verfahren implementiert, um auf potenzielle Sicherheitsvorfälle zu reagieren, die eine schnelle und effiziente Reaktion bei Ereignissen ermöglichen, die die Informationssicherheit gefährden.

Wenn Ojmar Dienste Dritter in Anspruch nimmt oder Informationen mit ihnen teilt, werden vertragliche Vereinbarungen getroffen, die diese Dritten zur Einhaltung der in diesen Verträgen festgelegten Verpflichtungen und Sicherheitsmaßnahmen verpflichten. Diese Dritten können ihre eigenen Betriebsverfahren implementieren, um die Einhaltung dieser Verpflichtungen zu gewährleisten. Darüber hinaus können spezifische Verfahren festgelegt werden, um Sicherheitsvorfälle in Zusammenarbeit mit Dritten zu verhindern, zu erkennen, zu melden und zu beheben. Ziel ist es, sicherzustellen, dass das Personal dieser Dritten in Sicherheitsfragen angemessen informiert und geschult ist, und zwar mindestens auf dem gleichen Niveau wie in dieser Sicherheitspolitik festgelegt.

Insbesondere müssen Dritte die Einhaltung standardbasierter Sicherheitsmaßnahmen sicherstellen, die überprüfbar sein können, und können Kontrollen und Überprüfungen durch zertifizierte Dritte unterliegen, die ihre Einhaltung dieser Richtlinien überprüfen.

Wenn ein Dritter nicht in der Lage ist, einen Aspekt dieser Sicherheitsrichtlinie einzuhalten, wird ein Bericht von seinem Sicherheitsbeauftragten angefordert, in dem die damit verbundenen Risiken und Maßnahmen zu deren Behebung aufgeführt sind. Dieser Bericht muss von Ojmar genehmigt werden, bevor mit der betreffenden Beziehung oder Dienstleistung fortgefahren werden kann.

11. REGULIERUNGSRAHMEN

Diese Richtlinie wurde in Übereinstimmung mit dem folgenden Rechtsrahmen entwickelt und genehmigt:

  • Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
  • Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte.
  • Königliches Gesetzesdekret 1/1996 vom 12. April 1996 zur Genehmigung des überarbeiteten Textes des Gesetzes über geistiges Eigentum (LPI), zur Regelung, Klärung und Harmonisierung der geltenden Bestimmungen in diesem Bereich.

12. GENEHMIGUNG UND INKRAFTTRETEN

Die Geschäftsleitung von Ojmar hat diese Informationssicherheitsrichtlinie am 30. Oktober 2023 genehmigt.

Diese Richtlinie tritt ab dem oben genannten Datum in Kraft und bleibt in Kraft, bis sie durch eine neue Version ersetzt wird.

Alle gleichrangigen oder minderwertigen Bestimmungen, die im Widerspruch zu den Bestimmungen dieser Informationssicherheitsrichtlinie stehen, werden automatisch aufgehoben.