Information Security Policy für unsere Kunden

1. Einleitung

1.1 Zweck

Die vorliegende Information Security Policy wird von der Geschäftsleitung in Kraft gesetzt und dokumentiert die grundsätzlichen Anforderungen an die Informationssicherheit bei der ITpoint Systems AG. Sie ist die Grundlage aller weiteren Anweisungen und Aktivitäten im Information Security Management und beweist den hohen Stellenwert von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in der Obhut der ITpoint Systems AG.

Die ITpoint Systems AG ist sich der Tatsache bewusst, dass absolute Sicherheit in einer flexibel genutzten IT-Infrastruktur nicht erreichbar ist. Diese Policy definiert deshalb ein anzustrebendes Sicherheits-Niveau unter Berücksichtigung von Faktoren wie Funktionalität, Kosten, Effizienz und gesetzlichen Bestimmungen. Insbesondere fühlt sich die ITpoint Systems AG der Sicherheit der Kundenwerte verpflichtet.

1.2 Gültigkeitsbereich

Dieses Dokument und die darin enthaltenen Regelungen sowie davon abgeleitete Dokumente sind für alle internen und externen Mitarbeitenden der ITpoint Systems AG verbindlich und müssen diesen zur Kenntnis gebracht werden. Die Geltungsbereiche erstrecken sich auf alle Services, Daten, Systeme, Komponenten und Dienstleistungen in der Verantwortung der ITpoint Systems AG. Die Sicherheitsregelungen von Vereinbarungen mit Kunden, Partnern und Lieferanten sind auf die Information Security Policy abgestimmt.

1.3 Verstösse

Mit seiner Unterschrift und Durchführung des ITpoint Systems AG Information Security Compliance Test erkennt der Mitarbeitende an, dass er die Security Policy sowie die weiteren Anforderungen (s. Kapitel 1.5) zur Kenntnis genommen und verstanden hat.

Als Verstösse gelten Handlungen, die entweder tatsächlich oder potenziell Schaden angerichtet haben oder anrichten könnten. Unter Schaden werden finanzielle Einbussen, Beschädigung des guten Rufs und gesetzliche Übertretungen mit Straffolge verstanden. Dies bezieht sich auch auf die Nutzung von Unternehmens- und Kundeninformationen für illegale oder nicht dienstliche Zwecke.
Vorsätzliche oder grob fahrlässige Verstösse gegen diese Information Security Policy und daraus abgeleitete Regelungen können disziplinarische oder arbeitsrechtliche Konsequenzen haben – in schweren Fällen auch straf- oder zivilrechtliche Folgen.
Verwarnungen werden durch den Security Manager oder dem direkten Vorgesetzten ausgesprochen und werden in der Personalakte vermerkt. Bei Missachtung vertraglicher Vereinbarungen in Bezug auf Sicherheit können bereitgestellte Services und Dienste eingeschränkt oder eingestellt werden.

Angestellte in Führungsfunktionen sind dafür besorgt, dass Sicherheitsvorgaben eingehalten werden und melden Verstösse dem HR und dem Security & Compliance Team. Dies wird des Weiteren unterstützt: durch Überprüfung der Ergebnisse interner Audits, durch Ergebnisse, die von Überwachungs- und Messinstrumenten geliefert werden und durch die Bewertung der erzielten Ergebnisse anhand von Sicherheitszielen und Leistungsindikatoren (KPIs). Darüber hinaus müssen die Verantwortlichen festlegen, wie eventuelle festgestellte Nichtkonformitäten behandelt werden sollen.

1.4 Genehmigung und Änderung

Die Information Security Policy wird durch die Geschäftsleitung der ITpoint Systems AG verabschiedet und in Kraft gesetzt. Sie wird regelässig, aber mindestens einmal pro Jahr, geprüft und ggf. nachgeführt. Änderungen werden durch den Chief Information Security Officer am Management Review vorgeschlagen, diskutiert und durch die Geschäftsleitung genehmigt. Ausnahmeregelungen werden durch den Chief Information Security Officer oder das Change Advisory Board vorgeschlagen und durch den CEO oder die Geschäftsleitung genehmigt.

1.5 Gesetzliche, vertragliche und interne Anforderungen

ITpoint Systems AG verpflichtet sich folgende Anforderungen einzuhalten:

  • Anforderungen aus dem Gesetz (CH DSG Datenschutzgesetz, EU DSGVO Datenschutz Grundverordnung)
  • Anforderungen aus Kunden- und Lieferantenverträgen
  • Interne übergeordnete Anforderungen aus der Geschäftsstrategie
  • Interne untergeordnete Anforderungen aus den Dokumenten (jeweils aktuelle Version):
    • ITpoint Information Security Compliance Test
    • ITpoint Information Security Guidelines
    • ITpoint ISDS Public Cloud Guidelines
    • ITpoint Datenträger Guidelines
    • ITpoint Kryptografische Guidelines

2. Sicherheitsziele

Informationen entscheiden über den Erfolg der ITpoint Systems AG und deren Kunden. Von grösster Wichtigkeit ist neben der Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeitende muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Dies ist nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber Kunden und Aufsichtsbehörden. Die ITpoint Systems AG will, dass Kunden, Mitarbeitende, Partner und Lieferanten verstehen, dass ITpoint Systems AG ein sicherer und vertrauenswürdiger Service Provider und Dienstleister ist. Folgende Sicherheitsziele wurden von der ITpoint Systems AG Geschäftsleitung verabschiedet:

  • Schutz von Assets und speziell von Informationen nach den Kriterien:
    • Vertraulichkeit / Confidentiality
    • Integrität / Integrity
    • Verfügbarkeit / Availability
  • Die Vereinbarungen mit den Kunden in Bezug auf Qualität und Sicherheit werden bei allen von ITpoint Systems AG Systems angebotenen Produkten und Dienstleistungen permanent eingehalten. Das Sicherheitsniveau unserer Produkte und Dienstleistungen ist marktgerecht.
  • Alle Mitarbeitenden nehmen ihre Eigenverantwortung in Bezug auf die Sicherheitsbelange wahr. Die Mitarbeitenden sind durch angemessene Massnahmen dazu in die Lage versetzt.
  • Vertragspartner der ITpoint Systems AG (Kunden, Partner, Dienstleistungsunternehmen, externe Berater, Lieferanten usw.) halten die relevanten Sicherheitsanforderungen ein. Es wird mindestens ein gegenseitiges Non Disclosure Agreement (NDA) unterschrieben.
  • Gesetzliche Vorschriften werden eingehalten.

3. Umsetzung

Um die Ziele zu erreichen, sind die nachfolgenden Rahmenbedingungen zu beachten und sicherzustellen.

3.1 Sicherheitsbewusstsein (Awareness)

Die Vorgaben über Sicherheitsziele und Massnahmen werden in regelmässigen Abständen, mindestens einmal pro Jahr, zur Kenntnis gebracht. Insbesondere wird sichergestellt, dass neue interne oder externe Mitarbeitende mit den Sicherheitsbestimmungen vertraut gemacht und auf ihre persönliche Verantwortung hingewiesen werden. ITpoint Systems AG bietet seinen Mitarbeitern IT Sicherheitstrainings an, um die Awareness zu fördern und Wissen aus dem Tagesgeschäft weiterzugeben. Zudem hat sich ein regelmässiger Security Newsletter etabliert, welcher über die firmeninterne Kommunikationsplattform zur Verfügung gestellt wird.

3.2 Risikomanagement

Es werden periodisch im Rahmen des Risikomanagementprozesses, Risikobewertungen vorgenommen. Das Risikomanagement System ist wesentlicher Bestandteil des Informations-Sicherheits-Management Systems und angelehnt an den Standard ISO27005. Es werden alle relevanten Bedrohungen nach ISO27005 auf Schadensausmass und Schadenshäufigkeit beurteilt. Zudem werden die ENISA Top 15 Bedrohungen periodisch überprüft und neu bewertet.

Die Risikoanalyse dient zur detaillierten Feststellung des Risikos basierend auf der Konformität zu den festgelegten ITpoint Systems AG Sicherheitsstandards, sowie möglicher zusätzlicher Massnahmen, die bei erhöhtem Schutzbedarfs getroffen werden. Die Kriterien des Schutzbedarfes sind wie folgt festgelegt:

Vertraulichkeit
Die Assets von ITpoint Systems AG werden nach Vertraulichkeitsstufen gemäss ITpoint Systems AG Security Policy kategorisiert

  • External V0: Jeder kann diese nutzen und es sind keine speziellen Anforderungen vorhanden. Ein Verlust solcher Daten hätte keinen Einfluss auf das Schadensausmass.
  • Internal V1: Informationen sind innerhalb der ITpoint Systems AG frei verfügbar gemäss den zugeteilten Zugriffsrechten. Ein Verlust solcher Daten hätte Auswirkungen auf das Schadensausmass (Compliance/Finanz/Image -> A2)
  • Confidential V2: Informationen sind sensitiv und nur für definierte Personen bestimmt. Ein Verlust solcher Daten hätte enorme Auswirkungen auf das Schadensausmass (Compliance/Finanz/Image -> A3-A4)

Integrität

  • Normal I1: Grundsätzlich haben alle Assets einen normalen Schutzbedarf
  • Hoch I2: Wenn die Korrektheit und Nachvollziehbarkeit des Inhalts des Assets für das Unternehmen essenziell ist, hat es den Schutzbedarf hoch

Verfügbarkeit (Availability)

  • Niedrig A1: Kunden ohne SLA
  • Normal A2: Kunden mit SLA, 99.7%, RTO 72h
  • Hoch A3: Kunden mit SLA, 99.7%, RTO 12h
  • Sehr Hoch A4: ITpoint Umgebung / CNG Management Umgebung

Grundsätzlich sind die Anforderungen zur Durchführung einer RA wie folgt festgelegt. Level gleich oder grösser als:

  • Vertraulichkeit = V2
  • Integrität = I2
  • Verfügbarkeit = A3

Die definierten Massnahmen im Informationssicherheit Management System decken die Standardbedrohungen und Schwachstellen als Teil der Basis-Sicherheit ab:

  • Vertraulichkeit = V1
  • Integrität = I1
  • Verfügbarkeit = A1, A2

Die Risikoakzeptanzkriterien werden durch die Geschäftsleitung definiert und jährlich überprüft. Bei zu hohen Risiken werden Massnahmen zu deren Minderung definiert. Die Massnahmen werden ins ITpoint Systems AG CSI Register übertragen und abgearbeitet.

3.3 Sicherheitsmassnahmen

Die ITpoint Systems AG ergreift technische und organisatorische Sicherheitsmassnahmen zum Schutz und Erhalt aller unternehmenskritischen und für unsere Geschäftstätigkeit relevanten Systeme und Daten.

Technische Massnahmen:

  • Identity & Access Management für sensibel Infrastrukturen/Anwendungen
  • Überwachungslösungen zur Erkennung von Sicherheitsvorfällen
  • Generelle Sicherheitseinrichtungen wie Firewall, Virenschutz, IDS/IPS, Proxy, DDoS etc.
  • Sicherer Remote-Zugang (VPN / 2FA)
  • Physische Sicherheit der ITpoint Systems AG Rechenzentren wie abschliessbare Türen, Zutrittskontrolle, Videoüberwachung etc.
  • Verfügbarkeit der Daten durch redundante Infrastrukturen
  • Wiederherstellbarkeit durch Backup / Restore Verfahren
  • Kryptografische Massnahmen (Datenverschlüsselung / Datenübermittlung)
  • Ransomware Protection auf Common Internet File System (CIFS) Filesystem
  • Schwachstellenmanagement mittels regelmässigem Schwachstellen Scans
  • Ransomwaresicheres Immutable (unveränderliche) Backup
  • Active Directory (AD) Auditing mittels Netwrix Reports

Organisatorische Massnahmen:

  • Geschulte Mitarbeiter im Bereich Information Security
  • Regulation bezüglich Umgangs mit personenbezogenen Daten (Privacy Schulung)
  • Personenprüfung (Back Ground Checks)
  • Management-Systeme für Informationssicherheit, Risikomanagement, Business Continuity gemäss ISO/IEC 20000 und 27001
  • Zertifizierungen nach ISO/IEC 20000 und 27001
  • NDA / Geheimhaltungsvereinbarungen mit externen Dienstleistern
  • ISAE3402 Typ 2 Bericht
  • Auftragsverarbeitungsverträge für DSGVO relevante Kundenbeziehungen
  • Auftragsverarbeitungsvertrag mit dem Mutterhaus (Sharp)
  • Auftragsverarbeitungsverträge nach neuem CH Datenschutzgesetzt (ab Sept. 2023)
  • Auftragsverarbeitungsverträge für Partnerunternehmen (Sub Contractors) nach neuem CH Datenschutzgesetzt (ab Sept. 2023)

4. Sicherheitsorganisation

4.1 Geschäftsleitung

Die Geschäftsleitung der ITpoint Systems AG trägt die Gesamtverantwortung für die Sicherheit, trifft Entscheidungen in diesem Bereich und verabschiedet die Security Policy. Periodisch, aber mindestens einmal pro Jahr, findet ein Management Review statt. Der Security Manager und der Process Manager erstellen einen konsolidierten ISO20000/27001 Management Bericht, welcher durch die Geschäftsleitung elektronisch signiert wird.

Der Bericht enthält mindestens die folgenden Aspekte im Bezug auf ISO27001:

  • Allgemeiner Zustand des Sicherheitsmanagementsystems
  • Durchgeführte Audits
  • Entwicklung des Sicherheitsstatus
  • Definition und Erreichung der Sicherheitsziele
  • Risikolage und Status besonderer Risiken

Beschlossene Massnahmen werden im Protokoll dokumentiert.

4.2 CISO

Der CISO ist als Stabstelle zur Geschäftsleitung definiert. Er bildet die Schnittstelle vom Security & Compliance Team zur Geschäftsleitung. Der Chief Information Security Officer ist zuständig für:

  • Definition der unternehmensweiten Informations-Sicherheitsrichtlinie (Information Security Policy)
  • Definition von Sicherheitsvorgaben in Absprache mit der Geschäftsleitung
  • Aufbau und Betrieb eines Risikomanagement-Systems
  • Entwicklung von Information Security bezogenen Policies, Standards und Guidelines
  • Regelmässige Durchführung von internen und externen Security-Audits
  • Definition von KPI mit Kontrolle der Wirksamkeit von Information Security Massnahmen
  • Regelmässiges Reporting
  • Unterstützung bei Fragen zur Information Security sowie bei der Festlegung spezifischer Sicherheitsanforderungen auf Stufe Management
  • Ausarbeiten von Awareness Programmen
  • Analyse aktueller Bedrohungslagen und Erstellen von Berichten
  • Aufbau und Betrieb des Information Security Management Systems (ISMS)
  • Austausch mit Sicherheitsorganisationen und Behörden
  • Informationsbeschaffung über die aktuellen Bedrohungen sowie den gezielten Gegenmassnahmen

4.3 Security & Compliance Manager

Der Security & Compliance Manager ist mit der Sicherstellung des Schutzes von Informationswerten beauftragt und für die Umsetzung respektive Koordination von Sicherheits-Massnahmen verantwortlich.

  • Definition der unternehmensweiten Informations-Sicherheitsrichtlinie
    (Information Security Policy)
  • Aufbau und Betrieb eines Risikomanagement-Systems
  • Entwicklung von Information Security bezogenen Policies, Standards und Guidelines
  • Regelmässige Durchführung von internen und externen Security-Audits
  • Definition von KPI mit Kontrolle der Wirksamkeit von Information Security Massnahmen
  • Regelmässiges Reporting
  • Ausarbeiten von Awareness Programmen
  • Analyse aktueller Bedrohungslagen und Erstellen von Berichten
  • Aufbau und Betrieb des neuen Information Security Management Systems (ISMS)
  • Austausch mit Sicherheitsorganisationen und Behörden
  • Informationsbeschaffung über die aktuellen Bedrohungen sowie den gezielten
    Gegenmassnahmen
  • Beratung und Unterstützung der Fachabteilungen in Fragen der Informationssicherheit sowie der IT-Compliance
  • Auditierung von IT-Projekten

4.4 Informationseigentümer

Die Informationseigentümer stellen in ihrem Verantwortungsbereich sicher, dass

  • die Informationen und Systeme nach geschäftlicher Relevanz klassifiziert sind
  • die Sicherheitsziele eingehalten werden

4.5 Informationsnutzer

Jede Geschäftseinheit der ITpoint Systems AG ist für die Sicherheit ihrer Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und einen angemessenen Schutz der Informationen entsprechend ihrem Wert und Risikos für das betreffende Geschäfts- oder technische Umfeld verantwortlich. Nutzer melden Verletzungen der Security Policy dem ServiceDesk, dieser zieht den Vorgesetzen bzw. den Security Manager hinzu. In den Service Verträgen wird auf die Pflichten der Informationsnutzer bei den Anwendern hingewiesen, ebenso in Verträgen mit externen Mitarbeitenden.

4.6 Partner, Lieferanten, Besucher

Mit Partner oder Lieferanten wird, falls Informationen ausgetauscht werden, ein Non Disclosure Agreement (NDA) unterschrieben. Das ITpoint Systems AG NDA gilt gegenseitig und für die im NDA definierte Zusammenarbeit. Sollten Mitarbeiter von Partner Zugriff auf ITpoint Systems AG Systeme bzw. einen ITpoint Systems AG Account benötigen, werden diese gleich behandelt wie interne Mitarbeiter. Sie müssen die Policies und Weisungen durchlesen und den Security Test absolvieren. Besucher müssen sich beim Zutritt zu einem ITpoint Systems AG Büro auf einer Besucherliste ein-tragen.

4.7 Krisenstab und Notfallmanagement

Der KrisenstabDer Krisenstab hat die Aufgabe, die Behandlung von geschäftskritischen Vorfällen (wie z.B. ein Major Incident), die zu Krisen eskaliert werden, zu steuern. Der Business Continuity Manager ist für die Entwicklung und kontinuierliche Verbesserung der Notfallvorsorge zuständig. Der Krisenstab setzt sich bei einem Major Incident mindestens aus dem Major Incident Manager und dem Communication Manager zusammen. Bei Bedarf werden GL Mitglieder und Team-Leiter hinzugezogen. Bei umweltbedingten Krisen (Pandemie, Umweltkatastrophe etc.) wird der Krisenstab nach Bedarf zusammengestellt (siehe z.B. Pandemieplan).

4. Unterschrift

Diese Policy tritt mit Datum der Unterschrift in Kraft und wird elektronisch unterschrieben. Sie wird allen Parteien über unsere Webseite www.itpoint.ch sowie www.oria.ch verfügbar gemacht.

ITpoint Information Security Policy
Version: 1.5 | 03.06.2022