Leitlinie zur Informationssicherheit
1 Präambel
Die Produktions- und Leistungsfähigkeit der Capita Europe hängt maßgeblich von der Verfügbarkeit und Qualität der Dienste der Informationstechnik ab. Die „Sicherheit der Informationen“ und damit verbunden die Einhaltung und Umsetzung der gesetzlichen Anforderungen wie dem Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) ist für die Capita Europe nicht nur Voraussetzung und Pflichterfüllung für ihre Dienstleistungserbringung als Customer Service Center, sie hat auch einen großen strategischen Wert.
Vor diesem Hintergrund ist ein angemessenes Niveau der Informationssicherheit in den Geschäftsprozessen der Capita Europe zu organisieren.
Die Sicherheit der Informationen und der damit genutzten Informationstechnik ist unabdingbare Voraussetzung für die Umsetzung der einzuhaltenden Gesetze und Vorgaben unserer Auftraggeber, die insbesondere bei der Verarbeitung personenbezogener Daten zu gewährleisten und darüber hinaus gesetzlich gefordert sind.
Eine erfolgreiche Umsetzung des Informationssicherheitsprozesses setzt geregelte Verantwortungsstrukturen sowie die Unterstützung aller Mitarbeitenden der Capita Europe voraus.
Um Informationssicherheit nachhaltig zu betreiben, wird mit der Leitlinie zur Informationssicherheit ein allgemeingültiger Rahmen formuliert und von der Unternehmensleitung verabschiedet.
Das Ziel ist ein dem Stand der Technik wirtschaftlich angemessener Schutz der Informationen, unter Berücksichtigung mitgeltender gesetzlicher Anforderungen.
Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerledigung und damit für die Informationssicherheit trägt die Unternehmensleitung.
Die Unternehmensleitung der Capita Europe ist insbesondere verantwortlich für
- die Schaffung organisatorischer Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit,
- die Definition und Festlegung der erforderlichen Verantwortlichkeiten und Befugnisse,
- die Einrichtung eines Information Security Management Systems,
- die Umsetzung der vereinbarten Sicherheitsmaßnahmen einschließlich der Bereitstellung der erforderlichen Mittel und,
- eine hinreichende und geeignete Dokumentation der Informationstechnik sowie aller Sicherheitsvorkehrungen und Sicherheitsmaßnahmen.
Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.
1.1 Geltungsbereich
Die Leitlinie zur Informationssicherheit gilt für die gesamte Capita Europe Group.
Die darauf aufbauenden Leit- Richtlinien und Maßnahmen sind von allen Mitarbeitenden der Capita Europe Group zu beachten, einzuhalten und entsprechend in den jeweiligen Geschäftseinheiten umzusetzen.
Auftragnehmer und Lieferanten welche Dienstleistungen für die Capita Europe Group erbringen werden zur Einhaltung und Umsetzung der Informationssicherheitsvorgaben verpflichtet.
2 Grundsätze und Ziele der Informationssicherheit
2.1 Grundsätze
2.1.1 Begrifflichkeiten
Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Informationen und Informationstechnik dem Stand der Technik entsprechend durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind.
Die Informationssicherheit umfasst neben der Sicherheit der eingesetzten Informationstechnik und der darin gespeicherten Informationen auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Informationen.
Dabei bedeuten
- Vertraulichkeit: Vertrauliche Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange, mit wem etc.) sowie die Daten über den Sende- und Empfangsvorgang.
- Integrität: Der Begriff der Integrität bezieht sich sowohl auf Informationen, Daten als auch die gesamte IC-Technik. Integrität der Informationen bedeutet deren Vollständigkeit und Korrektheit. Vollständigkeit bedeutet, dass alle Teile der Information verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben.
- Verfügbarkeit: Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen stehen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfügung.
- Belastbarkeit/Widerstandsfähigkeit:
- Robustheit wird erreicht durch Reduzierung der Fehleranfälligkeit von einzelnen Komponenten eines Systems. Sie ist relativ zu bekannten Gefahren.
- Resilienz wird erreicht durch Aufrechterhaltung der Funktionen des Gesamtsystems. Sie ist die inhärente Eigenschaft eines Systems, mit Einwirkungen aller Art umzugehen und ist unabhängig von einer konkreten Gefahr.
2.1.2 Wirtschaftlichkeit
Die Sicherheitsmaßnahmen müssen dem Stand der Technik und in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schützenden Informationen und der Informationstechnik definiert.
Für die Umsetzung der erforderlichen und angemessenen Sicherheitsmaßnahmen sind die notwendigen Ressourcen, Personal, Sach- und Investitionsmittel bereit zu stellen.
2.1.3 Sicherheit vor Verfügbarkeit
Wenn Angriffe auf die Sicherheit der Informationstechnik und Informationen der Capita Europe drohen oder bekannt werden oder sonstige Sicherheitsrisiken auftreten, kann die Verfügbarkeit von IC-Technik, Applikationen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden.
Im Interesse der Funktionsfähigkeit der gesamten Organisation ist der Schutz vor Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Maße für die Übergänge zu anderen Netzwerken, insbesondere zum Internet.
2.1.4 Prinzip des informierten Mitarbeiter
Alle Mitarbeitenden der Capita Europe sind im erforderlichen Umfang bezüglich der Informationssicherheit mindestens einmal Jährlich zu sensibilisieren und zu qualifizieren.
2.2 Informationssicherheitsziele
2.2.1 Verfügbarkeit
Für alle IC-Verfahren sind die Zeiten, in denen sie verfügbar sein sollen, festzulegen.
Betriebsunterbrechungen sind in diesen Zeiten weitgehend zu vermeiden. Die Beschreibung der notwendigen Verfügbarkeit umfasst
- die regelmäßigen Betriebszeiten,
- die Zeiten mit erhöhter Verfügbarkeitsanforderung,
- die maximal tolerierbare Dauer einzelner Ausfälle.
Ebenfalls festzulegen sind regelmäßig geplante Auszeiten, insbesondere zu Wartungszwecken.
2.2.2 Vertraulichkeit
Die in IC-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schützen. Zu diesem Zweck ist für alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen.
Der Zugriff auf IC-Technik, IC-Applikationen und Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken.
Jeder Mitarbeiter erhält eine Zugriffsberechtigung nur auf die Informationen, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt.
2.2.3 Integrität
Informationen sind gegen unbeabsichtigte Veränderung und vorsätzliche Verfälschung zu schützen. Alle IC-Verfahren sollen stets aktuelle und vollständige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren.
2.2.4 Belastbarkeit u. Widerstandsfähigkeit
Die innerhalb der Capita Europe bereitgestellte Informationstechnik muss dem jeweiligen Stand der Technik einem Minimalprinzip (Systemhärtung) entsprechen, damit eine adäquate Belastbarkeit und Widerstandsfähigkeit im Verhältnis zur jeweiligen Dienstleistungserbringung und Wirtschaftlichkeit gewährleistet werden kann.
Die Informationstechnik unterliegt einer regelmäßigen Prüfung (Revision) welche durch den Fachbereich Information Security Management oder durch beauftragte dritte vorgenommen wird.
3 Verantwortlichkeiten
3.1 Verantwortung der Unternehmensleitung
Die Unternehmensleitung erlässt verbindliche Vorgaben und Maßnahmen zur Informationssicherheit und gibt sie allen Mitarbeitenden bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Vorgaben und Maßnahmen sicher.
Hierfür wird vom Fachbereich Information Security Management ein ISMS betrieben welches allen internen Capita Europe Mitarbeitenden unter dem ISM-Portal zur Verfügung steht.
In einem Management Review Meeting welches mindestens einmal im Jahr erfolgt, werden die definierten Ziele der Unternehmensleitung anhand von vorab vereinbarten Messwerten auf ihre Wirksamkeit und Angemessenheit überprüft. Die definierten Messwerte dienen der Erfüllung zur Aufrechterhaltung der Informationssicherheit, welche in einem separierten Anhang dem ganzheitlichen Informationssicherheitskonzept beiliegt.
3.2 Verantwortung der Mitarbeitenden
Alle Mitarbeitenden gewährleisten die Informationssicherheit durch verantwortungsbewusstes Handeln und halten die für die Sicherheit mitgeltenden Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen verantwortungsvoll mit der zur Verfügung gestellten Informationstechnik und Informationen um.
Verhalten, dass die Sicherheit von Informationstechnik oder Informationen gefährdet, kann disziplinar- oder arbeitsrechtlich geahndet werden. Vorfälle gegen die Informationssicherheit sind unverzüglich dem Fachbereich Information Security Management (ISM) unter ism@capita-europe.com zu melden.
3.3 Fachverantwortliche
Für Geschäftsprozesse oder Fachverfahren sind Fachverantwortliche zu benennen, die in dem ihnen zugewiesenen Verantwortungsbereich zuständig sind für
- die Festlegung der geschäftlichen Relevanz der verarbeiteten Informationen und deren Schutzbedarf,
- die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der im Verantwortungsbereich befindlichen Informationen implementiert werden.
Der Fachverantwortliche muss den Zugang zu Informationen sowie den Umfang und die Art der Autorisierung definieren, der im jeweiligen Verfahren erforderlich ist. Bei diesen Entscheidungen ist zu berücksichtigen
- die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen,
- die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen und
- die notwendige Zugänglichkeit der für die jeweiligen Geschäftsanforderungen erforderlichen Informationen.
3.4 Verantwortung Auftragnehmer
Personen, Vertragspartner, Service- und Dienstleister die nicht zur Capita Europe gehören, für diese aber Leistungen erbringen, haben die Vorgaben zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie zur Informationssicherheit einzuhalten.
Der Auftraggeber informiert den Auftragnehmer über diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung.
Dazu gehört auch, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber zu informieren hat.
4 Information Security Management
4.1 Information Security Officer
Als zentrale Sicherheitsinstanz der Capita Europe ernennt und bestellt die Unternehmensleitung einen Information Security Officer, der für alle operativen Belange und Fragen der Informationssicherheit zuständig ist.
Dabei ist er der Unternehmensleitung direkt unterstellt und berichtet auch an diese.
4.1.1 Fachbereich Information Security Management
Der Fachbereich Information Security Management (ISM) unterstützt den Information Security Officer bei der Erfüllung seiner Aufgaben in Bezug auf Informationssicherheit und der damit verbundenen Aufrechterhaltung der Sicherheit innerhalb der Capita Europe.
5 Umsetzung
Die Leitlinie zur Informationssicherheit bildet die Grundlage für die Erstellung eines ganzheitlichen Informationssicherheitskonzeptes und muss immer Anwendung finden.
Alle weiterführenden Leitlinien, Richtlinien und Konzepte haben sich an den Vorgaben der Unternehmensleitung gemäß der Leitlinie zur Informationssicherheit zu orientieren um das ausgesprochene Informationssicherheitsniveau der Capita Europe jederzeit zu gewährleisten.
6 Verbesserung der Informationssicherheit
Der Informationssicherheitsprozess ist regelmäßig mindestens jedoch einmal im Jahr auf seine Aktualität und Wirksamkeit zu überprüfen. Insbesondere sind die Maßnahmen daraufhin zu untersuchen, ob sie den betroffenen Mitarbeitern bekannt, umsetzbar und in den Betriebsablauf integrierbar sind.
Die Unternehmensleitung unterstützt die ständige Verbesserung des Sicherheitsniveaus.
Alle Mitarbeitenden sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheitsniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern.