Informationssicherheit bei Securitas
Für die Securitas ist eine sichere und zuverlässige Informations- und Kommunikationstechnik von höchster Bedeutung. Sie ist darüber hinaus ein unerlässliches Qualitätsmerkmal.
Leitlinie Informationssicherheit
Informationssicherheit resultiert aus der Verpflichtung gegenüber allen Stakeholdern der Securitas bei der Erhebung, Speicherung, Übermittlung und Nutzung von Informationen / Daten angemessen sicher vorzugehen. Die erforderliche Informationssicherheit muss sowohl durch organisatorische, infrastrukturelle, als auch personelle und technische Maßnahmen gewährleistet werden.
Sicherheitsziele
Grundwerte der Informationssicherheit
Die Wahrung der Sicherheit von Informationen bezieht sich auf die folgenden Grundwerte:
- Vertraulichkeit: Schutz vor unberechtigtem Zugriff auf Informationen.
- Integrität: Schutz vor ungewollter Verfälschung von Informationen.
- Verfügbarkeit: Schutz vor ungewollter Beeinträchtigung des Zugriffs auf Informationen.
Angestrebtes Sicherheitsniveau
Für die Securitas wird ein gehobenes Maß an Informationssicherheit angestrebt. Das bedeutet insbesondere, dass bei Verstößen gegen die Grundwerte der Informationssicherheit (s. o.) das Schadensausmaß in der Regel keine signifikanten oder existenzbedrohlichen Ausmaße annehmen soll.
Es ist sicherzustellen, dass dem Schutzbedarf angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um den erforderlichen Schutz der Informationen / Daten sowie die notwendige Verfügbarkeit der IT-Systeme zu gewährleisten. Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen.
Gesetzesverstöße werden nicht toleriert. Alle Mitarbeiter der Securitas und Dritte, derer sich Securitas zur Aufgabenerfüllung bedient haben alle einschlägigen Gesetze (z. B. Strafgesetzbuch, Gesetze und Regelungen zum Datenschutz) einzuhalten.
Alle Mitarbeiter sind sich ihrer Verantwortung beim Umgang mit Informationen (analog wie digital) bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften.
Die Sicherheitsprinzipien der Securitas
Bei der Umsetzung der Informationssicherheit in der Securitas sind die folgenden Sicherheitsprinzipien einzuhalten:
- Prinzip des "aufgeräumten" Arbeitsplatzes
Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Unterlagen (Papier, Datenträger) durch Unbefugte verhindert. - Prinzip des "gesperrten" Bildschirmes
Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Daten und Anwendungen durch Unbefugte verhindert. - Prinzip des minimalen Zugriffs (need to know)
Jeder Nutzer erhält nur die Zugriffsrechte, die zur Erfüllung der jeweiligen Aufgabe, insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen, erforderlich sind. - Prinzip der Nachvollziehbarkeit und Nachweisbarkeit
Ziel ist es, alle sicherheitsrelevanten Aktivitäten nachvollziehbar zu gestalten, die Verantwortlichen eindeutig identifizieren zu können sowie Datenmaterial für Streitfälle/Unstimmigkeiten in einem angemessenen Maße insbesondere unter Beachtung der geltenden Datenschutzbestimmungen vorzuhalten und zu erheben. Dies umfasst die Nachvollziehbarkeit von Datenzugriffen, Transaktionen und der (geschäftlichen) Kommunikation zwischen den jeweiligen Stakeholdern. Dabei ist die Integrität der Daten und Informationen stets zu gewährleisten. - Prinzip der kontinuierlichen Selbstkontrolle
Die Fehlerquellen werden identifiziert, Folgen minimiert und nachhaltig abgestellt. - Prinzip der ganzheitlichen Vorgehensweise
Alle wesentlichen Anforderungen werden von Beginn eines jeden Vorgangs an berücksichtigt.
Sicherheit der Informationssysteme während des Lebenszyklus
Die Sicherheit eines Informationssystems muss ab Beginn des Lebenszyklus ein fester Bestandteil bei der Planung, der Spezifikation, der Beschaffung, der Entwicklung, der Einführung, dem Betrieb, der Wartung und der geordneten Außerbetriebnahme sein. Das Informationssystem muss den geltenden Sicherheitsstandards (Sicherheitsrichtlinien) entsprechen.
Sicherheitsstrategie
Um die angestrebten Sicherheitsziele zu erreichen, wird bei der Securitas ein Informations-sicherheitsmanagementsystem (kurz: ISMS) betrieben, welches sich an den Vorgaben der DIN ISO/IEC 27001/2 orientiert.
Organisationsstruktur
Um die Ziele im Bereich Informationssicherheit zu erreichen, wurde ein Informationssicherheitsbeauftragter (ISB) ernannt und eine Informationssicherheitsorganisation etabliert.
Informationssicherheitsprozess
Der Informationssicherheitsprozess orientiert sich am PDCA-Modell (Plan-Do-Check-Act bzw. Planung-Umsetzung-Erfolgskontrolle-Optimierung) der ISO/IEC 27001.
Die einzelnen Phasen beschreiben einen Zyklus der wiederkehrenden Arbeiten, die im Rahmen des Informationssicherheitsmanagements durchzuführen sind. Dies sind im Einzelnen:
- Plan-Phase (Planung und Konzeption)
Hierzu gehören die Planung des Vorgehens des Informationssicherheitsmanagementsystems (Planung ISMT, Entwicklung Leitlinie etc.) sowie die Erstellung eines Sicherheitskonzeptes. - Do-Phase (Umsetzung der Planung)
In der Do-Phase werden das ISMT etabliert und die im Rahmen des Sicherheitskonzeptes geplanten Vorgehen und Maßnahmen umgesetzt. - Check-Phase (Erfolgskontrolle, Überwachung der Zielerreichung)
Diese Phase beinhaltet die internen Prüfungen, die sicherstellen sollen, dass die angestrebten Sicherheitsziele erreicht werden. - Act-Phase (Optimierung, Verbesserung)
Zur Act-Phase gehören Tätigkeiten, die (meist basierend auf den Ergebnissen der internen Prüfungen der Check-Phase) Abweichungen behandeln, indem Prozesse oder Maßnahmen so angepasst bzw. verbessert werden, dass das anvisierte Sicherheitsniveau besser erreicht werden kann.
-
Verwandte Dokumente
Laden Sie hier die Informationssicherheitsleitlinie der Securitas Holding GmbH als PDF-Datei herunter.