Informationssicherheitsleitlinie für Externe

Präambel

Diese Leitlinie für Externe ist ein Auszug aus der internen Leitlinie zur Informationssicherheit der RealCore.

Geschäftsprozesse, Informationstechnik, Bedrohungsszenarien und Sicherheitstechnik unterliegen einem kontinuierlichen Wandel, ebenso das äußere Umfeld, in dem eine Organisation tätig ist, zum Beispiel durch neue Gesetze und Verordnungen. Informationssicherheit ist für die RealCore daher ein wichtiger Prozess, dessen Angemessenheit und Wirksamkeit eine Schlüsselrolle für den Erfolg unserer Organisation spielt. Durch diese Leitlinie für Informationssicherheit wird die Übernahme der Gesamtverantwortung durch den gebildeten Lenkungsausschuss zum ISMS der RealCore manifestiert. Durch dieses Bekenntnis zur Informationssicherheit wird die zukünftige Arbeit des Informationssicherheits-Managements ermöglicht und verbindlich.

    Bedeutung der Informationssicherheit

    In nahezu allen Bereichen unserer Organisation werden Daten und Informationen elektronisch verarbeitet, gespeichert und übermittelt. Diese Daten spiegeln die zu schützenden Werte der RealCore wieder. In allen Abteilungen spielt Informationstechnik eine tragende Rolle, sowohl in der Kommunikation mit Kunden als auch mit Geschäftspartnern und anderen Organisationen. Der Stellenwert der Informationssicherheit wird in den folgenden Beispielen deutlich:

    • In unserer Personalabteilung und in vielen Arbeitsbereichen werden personenbezogene Daten verarbeitet. Diese Informationen müssen im Interesse der Betroffenen und aus gesetzlichen Gründen geschützt werden.
    • Durch Geschäftsbeziehungen mit Partnern und Kunden werden an vielen Stellen unserer Organisation vertrauliche Informationen vorrätig gehalten und verarbeitet. Ein Missbrauch dieser Informationen schadet nicht nur dem Ansehen und dem geschäftlichen Erfolg unserer Organisation, sondern kann auch rechtliche Folgen und Schadensersatzansprüche verursachen. Dieser Missbrauch ist daher zu verhindern.
    • Der Erfolg unserer Organisation basiert auf unseren innovativen Ideen und Technologien und den eingesetzten Prozessen. Diese Informationen unterliegen daher der Geheimhaltung und sind sowohl intern als auch extern vor unberechtigten Zugriffen zu schützen.
    • Der Schutz zukünftiger Entwicklungs- und Investitionsvorhaben ist ebenfalls ein wichtiger Erfolgsfaktor und hilft, unsere Wettbewerbsfähigkeit zu erhalten und zu verbessern. Diese Informationen über Zukunftsvorhaben unterliegen daher der Geheimhaltung und sind unter anderem vor Wirtschaftsspionage zu schützen.
    • Dadurch wird deutlich, dass eine funktionsfähige Informationstechnik und ein sicherheitsbewusster Umgang mit ihr, wesentliche Voraussetzungen für den Geschäftserfolg sind. Es gilt, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu gewährleisten. Durch diese Leitlinie für Informationssicherheit übernimmt die oberste Leitung die Gesamtverantwortung innerhalb der RealCore. Aus dieser Verantwortung für die Informationssicherheit heraus haben wir einen Informationssicherheitsmanagementprozess eingeführt. Dazu gehören die Entwicklung und Umsetzung dieser Leitlinie und eines Sicherheitskonzepts. Zu diesem Sicherheitskonzept gehören auch die Einhaltung der Leitlinie sowie die regelmäßige Überprüfung des Sicherheitskonzepts auf seine Wirksamkeit und Angemessenheit.

    Wer bekommt Ihre Daten?

    Innerhalb unseres Unternehmens erhalten nur die Personen und Stellen Ihre personenbezogenen Daten, die diese für die Anbahnung oder Durchführung eines Kaufvertrags oder zur Bonitätsprüfung benötigen.

    Wir stellen Ihre Daten nur an unsere verbundenen Unternehmen bereit. Diese lauten:

    • RealCore Consulting GmbH, Essen
    • RealCore Services GmbH, Essen
    • RealCore Solutions GmbH, Essen
    • RealCore Technology GmbH, Saarbrücken
    • RealCore Business Consulting GmbH, Essen
    • RealCore Omnishore GmbH, Hamburg
    • RealCore Maintenance GmbH, Essen
    • RealCore Media GmbH, Bremen
    • RealCore Spain SL, Malaga
    • rps GmbH, Essen
    • secudor GmbH, Treuchtlingen
    • Darüber hinaus können wir Ihre personenbezogenen Daten an weitere Empfänger außerhalb des Unternehmens übermitteln, soweit dies zur Erfüllung der vertraglichen und gesetzlichen Pflichten als Dienstleister erforderlich ist.

    Wer ist verantwortlich für die Verarbeitung Ihrer Daten?

    Verantwortlicher im Sinne der Datenschutz-Grundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter lautet:

    RealCore Group GmbH

    Zeche Zollverein
    Im Welterbe 2
    D- 45141 Essen

    Tel: +49 201 486 399-0
    E-Mail: info@realcore.de

    Geschäftsführer: Marcus Banner (Sprecher), Roger Hillebrand, Michael Thielecke

    Weitere Angaben finden Sie in unserem Impressum

      Welche Rechte haben Sie?

      Ihre Rechte zur Verarbeitung

      Sie haben jederzeit den Anspruch auf folgende Rechte, eine genauere Beschreibung finden Sie in unserem Glossar:

      • Recht auf Bestätigung und Auskunft (Art. 15, DSGVO)
      • Recht auf Berichtigung (Art. 16, DSGVO)
      • Recht auf Löschung (Recht auf Vergessen werden) (Art. 17, DSGVO)
      • Recht auf Einschränkung der Verarbeitung (Art. 18, DSGVO)
      • Recht auf Datenübertragbarkeit (Art. 20, DSGVO)
      • Recht auf Widerspruch (Art. 21, DSGVO)
      • Recht auf Widerruf einer datenschutzrechtlichen Einwilligung (Art. 7 Abs. 3, DSGVO)
      • Automatisierte Entscheidung im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
      • Um diese Rechte geltend zu machen oder bei Fragen wenden Sie sich einfach an den angegebenen Datenschutzbeauftragten oder die verantwortliche Stelle.

      Recht auf Beschwerde

      Sie können außerdem eine Beschwerde bei dem oben angegeben Datenschutzbeauftragten oder einer Aufsichtsbehörde (Art. 77, DSGVO) einreichen. Eine Liste der deutschen Aufsichtsbehörden finden Sie unter diesem Link.

        Werden Ihre Daten in ein Drittland übermittelt?

        Wir übermitteln Ihre Daten nur in Drittländer, wenn Sie uns die Einwilligung dafür gegeben haben und wir die notwendigen datenschutzrechtlichen Vereinbarungen und Garantien geregelt haben.

          Sind Sie verpflichtet Ihre Daten bereitzustellen?

          Soweit es für die Abwicklung von Aufträgen und Dienstleistungen notwendig ist, personenbezogene Daten zu verarbeiten, benötigen wird diese von Ihnen.

            Führen wir automatisierte Einzelfallentscheidungen oder Maßnahmen zum Profiling durch?

            Wir nutzen keine rein automatisierten Verarbeitungsprozesse zur Herbeiführung einer Entscheidung.

              Aktualität und Änderungen dieses Informationsblatts

              Dieses Informationsblatt hat den Stand Januar 2019.

                Geltungsbereich

                Diese Leitlinie zur Informationssicherheit gilt verbindlich für die RealCore und soweit anwendbar für externe Mitarbeiter und Dienstleister. Diese Leitlinie wird durch Informationssicherheitsrichtlinien etc. ausgestaltet.

                  Verpflichtung jedes einzelnen Mitarbeiters

                  Jeder Mitarbeiter ist dazu aufgefordert, die Prinzipien der Informationssicherheit zu achten. Die einzelnen Geschäftsführer der RealCore sind dafür verantwortlich, ihre Mitarbeiter entsprechend zu verpflichten, die Leitlinie einzuhalten.

                    Prinzipien der Informationssicherheit

                    Für die RealCore gelten folgende Grundprinzipien der Informationssicherheit:

                    Prinzip „Vertraulichkeit“

                    Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

                    Prinzip „Verfügbarkeit“

                    Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT- Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

                    Prinzip „Integrität”

                    Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf "Daten" angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf "Informationen" angewendet.

                    Der Begriff "Information" wird dabei für "Daten" verwendet, denen je nach Zusammenhang bestimmte Attribute wie z. B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

                      Sicherheitsziele der Sicherheitsstrategie

                      Die Informationstechnik bei der RealCore ist die notwendige Voraussetzung für alle unsere Organisationsbereiche und operativen Tätigkeiten. Unsere Daten und die Daten unserer Kunden werden in Hinblick auf die definierten Schutzziele so gesichert, dass ein Ausfall wichtiger IT-Systeme tolerierbar ist und unsere Organisation, Mitarbeitern und Kunden daraus kein Schaden entsteht.

                        Kernziele der Sicherheitsstrategie

                        In Abwägung der Gefährdungen, der Werte der zu schützenden Güter sowie des vertretbaren Aufwands an Personal und Finanzmitteln sind uns die folgenden Aspekte zur Informationssicherheit besonders wichtig:

                        • Die Vertraulichkeit und Integrität der für die Organisation wichtigen Informationen sind zu schützen. Im Umgang mit elektronischen Dokumenten und Informationen sind Geheimhaltungsanweisungen strikt zu befolgen.
                        • Die für die Organisation relevanten Gesetze und Vorschriften (z. B. Strafgesetzbuch, Betriebsverfassungsgesetz, Handelsgesetzbuch, Sozialgesetzbuch, Gesetze und Regelungen zum Datenschutz) sowie vertragliche und aufsichtsrechtliche Verpflichtungen müssen eingehalten werden.
                        • Geschäftsprozesse, Anwendungen und Informationstechnik müssen sorgfältig durchdacht werden und einfach zu steuern sein. Komplexe Strukturen, die zu unnötigen Risiken führen, sind zu vermeiden.
                        • Alle Mitarbeiter müssen sich möglicher Gefährdungen bewusst sein und sich sicherheitsgerecht verhalten.
                        • Verursachte Ersatzansprüche, Schadensregulierungen und Imageschäden durch Sicherheitsmängel im Umgang mit der IT müssen vorgebeugt werden.
                        • Gebäude und Räumlichkeiten unserer Organisation werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu den IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Informationen durch ein restriktives Berechtigungskonzept geschützt.
                        • Es ist darauf zu achten, dass bei Investitionen die Belange der Informationssicherheit angemessen berücksichtigt sind.
                        • Die Kommunikation mit externen Netzen ist besonders zu schützen. Dies betrifft sowohl Zugriffe von außen auf unser Netzwerk (z. B. Heimarbeitsplätze oder Partnernetzzugänge) als auch Zugriffe aus unserem Netzwerk in fremde Systeme. Zugriffe und durchgeführte Aktionen sind vom System zu protokollieren.
                        • Bei der Entwicklung von Konzepten und der Einführung von Maßnahmen zur Informationssicherheit orientieren wir uns an allgemein anerkannten Standards der ISO 27000 Reihe.

                        Informationssicherheitsmanagementsystem

                        Die RealCore implementiert ein Informationssicherheitsmanagementsystem, welches sich an die Phasen eines Planen-Durchführen-Überprüfen-Agieren (PDCA) Kontrollprozesses orientiert.

                        • Der Informationssicherheitsprozess wird vom Lenkungsausschuss durch die Verabschiedung einer Leitlinie zur Informationssicherheit initiiert.
                        • Es gilt ein einheitliches Berichtswesen.
                        • Nachvollziehbare Dokumentation des Vorgehens und eine einheitliche Informationskategorisierung und Informationsklassifizierung.
                        • Durchführung regelmäßiger Kontrollen der Wirksamkeit gemäß den Maßnahmen.

                        Informationssicherheitsrichtlinien

                        Informationssicherheitsrichtlinien dienen der thematischen Regelung und Steuerung der Informationssicherheit. Diese Richtlinien werden im Rahmen des Informationssicherheitsprozesses angepasst, ergänzt oder außer Kraft gesetzt. Die Informationssicherheitsrichtlinien sind für alle Beschäftigten frei zugänglich und einsehbar zur Verfügung zu stellen. Für Externe relevante Dokumente werden im Einzelfall bestimmt und entsprechend zur Verfügung gestellt

                          Informationssicherheitsorganisation

                          Eine tragfähige Umsetzung der Informationssicherheit ist nur in Teamarbeit unter aktiver Mitarbeit jedes einzelnen Beschäftigten möglich.

                          Dazu ist es erforderlich, die Ziele der Informationssicherheit und die daraus folgenden Maßnahmen zu definieren und umzusetzen.

                          Die oberste Leitung ist für die Einhaltung der Informationssicherheit der internen Organisationseinheiten und ggf. verbundener Unternehmen verantwortlich, verabschiedet die vorliegende Informationssicherheitsleitlinie.

                          Als zentrale Informationssicherheitsinstanz ist ein zentraler ISB von der obersten Leitung berufen worden und berichtet entsprechend an diese.

                          (Bei Fragen zur Informationssicherheit ist dieser unter (infosec@realcore.de) zu erreichen.)

                            Leitaussagen zur Durchsetzungs- und Erfolgskontrolle

                            Die Durchsetzung dieser Leitlinie wird für die RealCore durch die oberste Leitung geregelt. Bestandteil dieser Regelung ist die Leitlinie zur Informationssicherheit sowie die dazugehörigen Richtlinien. Jeder Beschäftigte verpflichtet sich, sorgfältig mit den ihm zur Verfügung stehenden Informationen umzugehen. Grobfahrlässige Verletzung der Informationssicherheit kann zu disziplinarischen Folgen bis hin zur Kündigung des Arbeitsverhältnisses führen; straf- und zivilrechtliche Konsequenzen sind nicht ausgeschlossen. Bei finanziellen Schäden werden Haftungsansprüche und Regressforderungen geltend gemacht.

                              Aktualisierung der Leitlinie für Informationssicherheit

                              Das Sicherheitskonzept wird vom Informationssicherheitsbeauftragten jährlich auf seine Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst. Die oberste Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mitarbeiter und Externe sind angehalten, mögliche Verbesserungen oder Schwachstellen an den Informationssicherheitsbeauftragten (ISB) weiterzugeben. Durch ein kontinuierliches Controlling der Regelungen und deren Einhaltung werden das angestrebte Sicherheitsniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der Sicherheitstechnik zu halten.

                                Where
                                Technology
                                meets
                                Business

                                © realcore group 2024