itpoint von aussen

Information Security Policy für unsere Kunden

Einleitung

Zweck

Die vorliegende Information Security Policy wird von der Geschäftsleitung in Kraft gesetzt und do-kumentiert die grundsätzlichen Anforderungen an die Informationssicherheit bei der ITpoint Systems AG. Sie ist die Grundlage aller weiteren Anweisungen und Aktivitäten im Information Security Management und beweist den hohen Stellenwert von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in der Obhut der ITpoint Systems AG.

Die ITpoint Systems AG ist sich der Tatsache bewusst, dass absolute Sicherheit in einer flexibel genutzten IT-Infrastruktur nicht erreichbar ist. Diese Policy definiert deshalb ein anzustrebendes Si-cherheits-Niveau unter Berücksichtigung von Faktoren wie Funktionalität, Kosten, Effizienz und gesetzlichen Bestimmungen. Insbesondere fühlt sich die ITpoint Systems AG der Sicherheit der Kundenwerte verpflichtet.

Gültigkeitsbereich

Dieses Dokument und die darin enthaltenen Regelungen sowie davon abgeleitete Dokumente sind für alle internen und externen Mitarbeitenden der ITpoint Systems AG verbindlich und müssen diesen zur Kenntnis gebracht werden. Die Geltungsbereiche erstrecken sich auf alle Services, Daten, Systeme, Komponenten und Dienstleistungen in der Verantwortung der ITpoint Systems AG.
Die Sicherheitsregelungen von Vereinbarungen mit Kunden, Partnern und Lieferanten sind auf die Information Security Policy abgestimmt.

Verstösse

Mit seiner Unterschrift und Durchführung des ITpoint Information Security Compliance Test erkennt der Mitarbeitende an, dass er die Security Policy sowie die weiteren Anforderungen zur Kenntnis genommen und verstanden hat.

Als Verstösse gelten Handlungen, die entweder tatsächlich oder potenziell Schaden angerichtet haben oder anrichten könnten. Unter Schaden werden finanzielle Einbussen, Beschädigung des guten Rufs und gesetzliche Übertretungen mit Straffolge verstanden. Dies bezieht sich auch auf Nutzung von Unternehmens- und Kundeninformationen für illegale oder nicht dienstliche Zwecke.
Vorsätzliche oder grob fahrlässige Verstösse gegen diese Information Security Policy und daraus abgeleitete Regelungen können disziplinarische oder arbeitsrechtliche Konsequenzen haben - in schweren Fällen auch straf- oder zivilrechtliche Folgen.
Verwarnungen werden durch den Security Manager oder dem direkten Vorgesetzten ausgesprochen und werden in der Personalakte vermerkt.

Bei Missachtung vertraglicher Vereinbarungen in Bezug auf Sicherheit können bereitgestellte Services und Dienste eingeschränkt oder eingestellt werden.

Genehmigung und Änderung

Die Information Security Policy wird durch die Geschäftsleitung der ITpoint Systems AG verabschiedet und in Kraft gesetzt. Sie wird regelmässig, aber mindestens einmal pro Jahr, geprüft und ggf. nachgeführt.
Änderungen werden durch den Chief Information Security Officer am Management Review vorgeschlagen, diskutiert und durch die Geschäftsleitung genehmigt.

Ausnahmeregelungen werden durch den Chief Information Security Officer oder das Change Advisory Board vorgeschlagen und durch den CEO oder die Geschäftsleitung genehmigt.

Gesetzliche, vertragliche und interne Anforderungen

ITpoint Systems AG verpflichtet sich folgende Anforderungen einzuhalten:

  • Anforderungen aus dem Gesetz (DSG Datenschutzgesetz, DSGVO Datenschutz Grundverordnung)
  • Anforderungen aus Kunden- und Lieferantenverträgen
  • Interne übergeordnete Anforderungen aus der Geschäftsstrategie
  • Interne untergeordnete Anforderungen aus den Dokumenten:
    • ITpoint Information Security Compliance Test
    • ITpoint Information Security Weisung
    • Informationssicherheits- und Datenschutzkonzept (ISDS) Public Cloud Services
    • ITpoint Datenträger-Policy

Sicherheitsziele
Informationen entscheiden über den Erfolg der ITpoint Systems AG und deren Kunden. Von grösster Wichtigkeit ist neben der Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeitende muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Dies ist nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber Kunden und Aufsichtsbehörden. Die ITpoint Systems AG will, dass Kunden, Mitarbeitende, Partner und Lieferanten verstehen, dass ITpoint Systems AG ein sicherer und vertrauens-würdiger Service Provider und Dienstleister ist.

Folgende Sicherheitsziele wurden von der ITpoint Geschäftsleitung verabschiedet:

  • Schutz von Assets und speziell von Informationen nach den Kriterien:
    • Vertraulichkeit / Confidentiality
    • Integrität / Integrity
    • Verfügbarkeit / Availability
  • Die Vereinbarungen mit den Kunden in Bezug auf Qualität und Sicherheit werden bei allen von ITpoint angebotenen Produkten und Dienstleistungen permanent eingehalten. Das Sicher-heitsniveau unserer Produkte und Dienstleistungen ist marktgerecht.
  • Alle Mitarbeitenden nehmen ihre Eigenverantwortung in Bezug auf die Sicherheitsbelange wahr. Die Mitarbeitenden sind durch angemessene Massnahmen dazu in die Lage versetzt.
  • Vertragspartner von ITpoint (Kunden, Partner, Dienstleistungsunternehmen, externe Berater, Lieferanten usw.) halten die relevanten Sicherheitsanforderungen ein. Es wird mindestens ein gegenseitiges NDA unterschrieben.
  • Gesetzliche Vorschriften werden eingehalten.

Umsetzung

Um die Ziele zu erreichen, sind die nachfolgenden Rahmenbedingungen zu beachten und sicherzustellen.

Sicherheitsbewusstsein (Awareness)

Die Vorgaben über Sicherheitsziele und Massnahmen werden in regelmässigen Abständen, mindestens einmal pro Jahr, zur Kenntnis gebracht. Insbesondere wird sichergestellt, dass neue inter-ne oder externe Mitarbeitende mit den Sicherheitsbestimmungen vertraut gemacht und auf ihre persönliche Verantwortung hingewiesen werden. ITpoint Systems AG bietet seinen Mitarbeitern IT Sicherheitstrainings an, um die Awareness zu fördern und Wissen aus dem Tagesgeschäft weiter zu geben. Zudem hat sich ein regelmässiger Security Newsletter etabliert, welcher über die Interne Kommunikationsplattform Yammer zur Verfügung gestellt wird.

Risikomanagement

Es werden periodisch im Rahmen des Risikomanagementprozesses, Risikobewertungen vorgenommen. Das Risikomanagement System ist wesentlicher Bestandteil des Informations-Sicherheits-Management Systems und angelehnt an den Standard ISO27005. Es werden alle relevanten Bedrohungen nach ISO27005 auf Schadensausmass und Schadenshäufigkeit beurteilt.

Die Risikoanalyse dient zur detaillierten Feststellung des Risikos basierend auf der Konformität zu den festgelegten ITpoint Sicherheitsstandards, sowie möglicher zusätzlicher Massnahmen, die ge-troffen werden bei erhöhtem Schutzbedarfs. Die Kriterien des Schutzbedarfes sind wie folgt festgelegt:

  • Vertraulichkeit (Die Assets von ITpoint werden nach Vertraulichkeitsstufen gemäss ITpoint Security Policy kategorisiert)
    • External V0: Jeder kann diese nutzen und es sind keine speziellen Anforderungen vorhanden. Ein Verlust solcher Daten hätte keinen Einfluss auf das Schadensausmass
    • Internal V1: Informationen sind innerhalb der ITpoint Systems AG frei verfügbar gemäss den zugeteilten Zugriffsrechten. Ein Verlust solcher Daten hätte Auswirkungen auf das Schadensausmass.
    • Confidential V2: Informationen sind sensitiv und nur für definierte Personen bestimmt. Ein Verlust solcher Daten hätte enorme Auswirkungen auf das Schadensausmass
  • Integrität
    • Normal I 1: Grundsätzlich haben alle Assets einen normalen Schutzbedarf
    • Hoch I 2: Wenn die Korrektheit und Nachvollziehbarkeit des Inhalts des Assets für das Unternehmen essenziell ist, hat es den Schutzbedarf hoch
  • Verfügbarkeit (Availability)
    • Niedrig A1: Kunden ohne SLA
    • Normal A2: Kunden mit SLA, 99.7%, RTO 72h
    • Hoch A3: Kunden mit SLA, 99.7%, RTO 12h
    • Sehr hoch A4: ITpoint Umgebung / CNG Management Umgebung

Grundsätzlich sind die Anforderungen zur Durchführung einer RA wie folgt festgelegt:
Level gleich oder grösser als:

  • Vertraulichkeit = V2
  • Integrität = I2
  • Verfügbarkeit = A3

Die definierten Massnahmen im Informationssicherheit Management System decken die Standard Bedrohungen und Schwachstellen als Teil der Basis-Sicherheit ab:

  • Vertraulichkeit = V1
  • Integrität = I1
  • Verfügbarkeit = A1, A2

Die Risikoakzeptanzkriterien werden durch die Geschäftsleitung definiert und jährlich überprüft.

Bei zu hohen Risiken werden Massnahmen zu deren Minderung definiert. Die Massnahmen werden ins ITpoint CSI Register übertragen und abgearbeitet.

Sicherheitsmassnahmen

ITpoint Systems AG ergreift technische und organisatorische Sicherheitsmassnahmen zum Schutz und Erhalt aller unternehmenskritischen und für unsere Geschäftstätigkeit relevanten Systeme und Daten.

Technische Massnahmen:

  • Identity & Access Management für sensibel Infrastrukturen/Anwendungen
  • Überwachungslösungen zur Erkennung von Sicherheitsvorfällen
  • Generelle Sicherheitseinrichtungen wie Firewall, Virenschutz, IDS/IPS,
    Proxy, DDoS etc.
  • Sicherer Remote-Zugang
  • Physische Sicherheit der ITpoint Rechenzentren wie abschliessbare Türen, Zutrittskontrolle, Vi-deoüberwachung etc.
  • Verfügbarkeit der Daten durch redundante Infrastrukturen
  • Wiederherstellbarkeit durch Backup / Restore Verfahren

Organisatorische Massnahmen:

  • Geschulte Mitarbeiter
  • Regulation bezüglich Umgangs mit personenbezogenen Daten
  • Personenprüfung
  • Management-Systeme für Informationssicherheit, Risikomanagement, Business Continuity gemäss ISO/IEC 20000 und 27001
  • Zertifizierungen nach ISO/IEC 20000
  • NDA / Geheimhaltungsvereinbarungen mit externen Dienstleistern
  • Auftragsverarbeitungsverträge für DSGVO relevante Kundenbeziehungen

Sicherheitsorganisation

Geschäftsleitung

Die Geschäftsleitung der ITpoint Systems AG trägt die Gesamtverantwortung für die Sicherheit, trifft Entscheidungen in diesem Bereich und verabschiedet die Security Policy. Periodisch, aber mindestens einmal pro Jahr, findet ein Management Review statt. Der Security Manager erstellt zu diesem Zweck einen Sicherheitsbericht. Der Bericht enthält mindestens die folgenden Aspekte:

  • Allgemeiner Zustand des Sicherheitsmanagementsystems
  • Durchgeführte Audits
  • Entwicklung des Sicherheitsstatus
  • Definition und Erreichung der Sicherheitsziele
  • Risikolage und Status besonderer Risiken

Beschlossene Massnahmen werden im Protokoll dokumentiert.

CISO

Der CISO ist als Stabstelle zur Geschäftsleitung definiert. Er bildet die Schnittstelle vom Security & Compliance Team zur Geschäftsleitung. Der Chief Information Security Officer ist zuständig für:

  • Definition der Unternehmensweiten Informations-Sicherheitsrichtlinie
  • (Information Security Policy)
  • Definition von Sicherheitsvorgaben in Absprache mit der Geschäftsleitung
  • Aufbau und Betrieb eines Risikomanagement-Systems
  • Entwicklung von Information Security bezogenen Policies, Standards und Guidelines
  • Regelmässige Durchführung von internen und externen Security-Audits
  • Definition von KPI mit Kontrolle der Wirksamkeit von Information Security Massnahmen
  • Regelmässiges Reporting
  • Unterstützung bei Fragen zur Information Security sowie bei der Festlegung spezifischer Sicher-heitsanforderungen auf Stufe Management
  • Ausarbeiten von Awareness Programmen
  • Analyse aktueller Bedrohungslagen und Erstellen von Berichten
  • Aufbau und Betrieb des Information Security Management Systems (ISMS)
  • Austausch mit Sicherheitsorganisationen und Behörden
  • Informationsbeschaffung über die aktuellen Bedrohungen sowie den gezielten Gegenmassnahmen

Security & Compliance Manager

Der Security & Compliance Manager ist mit der Sicherstellung des Schutzes von Informationswer-ten beauftragt und für die Umsetzung respektive Koordination von Sicherheits-Massnahmen ver-antwortlich.

  • Definition der Unternehmensweiten Informations-Sicherheitsrichtlinie
  • (Information Security Policy)
  • Aufbau und Betrieb eines Risikomanagement-Systems
  • Entwicklung von Information Security bezogenen Policies, Standards und Guidelines
  • Regelmässige Durchführung von internen und externen Security-Audits
  • Definition von KPI mit Kontrolle der Wirksamkeit von Information Security Massnahmen
  • Regelmässiges Reporting
  • Ausarbeiten von Awareness Programmen
  • Analyse aktueller Bedrohungslagen und Erstellen von Berichten
  • Aufbau und Betrieb des neuen Information Security Management Systems (ISMS)
  • Austausch mit Sicherheitsorganisationen und Behörden
  • Informationsbeschaffung über die aktuellen Bedrohungen sowie den gezielten
  • Gegenmassnahmen
  • Beratung und Unterstützung der Fachabteilungen in Fragen der Informationssicherheit sowie der IT-Compliance
  • Auditierung von IT-Projekten

Informationseigentümer

Die Informationseigentümer stellen in ihrem Verantwortungsbereich sicher, dass

  • die Informationen und Systeme nach geschäftlicher Relevanz klassifiziert sind.
  • die Sicherheitsziele eingehalten werden.

Informationsnutzer

Jede Geschäftseinheit der ITpoint Systems AG ist für die Sicherheit ihrer Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und einen angemessenen Schutz der Informationen entsprechend ihres Wertes und Risikos für das betreffende Geschäfts- oder technische Umfeld verantwortlich. Nutzer melden Verletzungen der Security Policy dem Security Manager oder ihrem Vorgesetzten, der wiederum den Security Manager einbindet.

In den Service Verträgen wird auf die Pflichten der Informationsnutzer bei den Anwendern hinge-wiesen, ebenso in Verträgen mit externen Mitarbeitenden.

Partner, Lieferanten, Besucher

Mit Partner oder Lieferanten wird -falls Informationen ausgetauscht werden- ein NDA unterschrie-ben. Das ITpoint NDA gilt gegenseitig und für die im NDA definierte Zusammenarbeit. Sollten Mit-arbeiter von Partner Zugriff auf ITpoint Systeme bzw. einen ITpoint Account benötigen, werden diese gleich behandelt wie interne Mitarbeiter. Sie müssen die Policies und Weisungen durchlesen und den Security Test absolvieren. Besucher müssen sich beim Zutritt zu einem ITpoint Büro auf einer Besucherliste eintragen.

Krisenstab und Notfallmanagement

Der Krisenstab hat die Aufgabe, die Behandlung von geschäftskritischen Vorfällen (wie z.B. ein Major Incident), die zu Krisen eskaliert werden, zu steuern. Der Continuity Manager ist für die Ent-wicklung und kontinuierliche Verbesserung der Notfallvorsorge zuständig.

Der Krisenstab setzt sich bei einem Major Incident mindestens aus dem Major Incident Manager und dem Communication Manager zusammen. Bei Bedarf werden GL Mitglieder und Team-Leiter hinzugezogen. Bei umweltbedingten Krisen (Pandemie, Umweltkatastrophe etc.) wird der Krisen-stab nach bedarf zusammengestellt (s. z.B. Pandemieplan).


ITpoint Information Security Policy
Version: 1.1 | 27.03.2020