Geltungsbereich des ISMS
Software-Entwicklung, Support, Lizenzhandel, Beratung, Schulung, sonstige Dienstleistungen und unterstützende Prozesse mit Schwerpunkt im Atlassian- und Google-Ökosystem und allgemein bei agiler Zusammenarbeit mit Software.
Die Verarbeitung von Informationen gehört zu unserem Tagesgeschäft. Um die Sicherheit dieser Informationen gewährleisten zu können, brauchen wir eine grundsätzliche Zielvorgabe, an die wir uns halten wollen. In dieser Leitlinie werden die Ziele, Organisation und Maßnahmen sowie zentrale Leitsätze rund um Informationssicherheit, zu denen wir uns bekennen wollen, erläutert.
Software-Entwicklung, Support, Lizenzhandel, Beratung, Schulung, sonstige Dienstleistungen und unterstützende Prozesse mit Schwerpunkt im Atlassian- und Google-Ökosystem und allgemein bei agiler Zusammenarbeit mit Software.
Informationsverarbeitung spielt eine Schlüsselrolle für die Erfüllung unserer Aufgaben. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben werden durch Informationstechnik (IT) maßgeblich unterstützt. Ein Ausfall von IT-Systemen muss insgesamt kurzfristig kompensiert werden können. Auch in Teilbereichen darf unser Geschäft nicht zusammenbrechen.
Insbesondere für uns als Unternehmen, das nicht nur Software herstellt, sondern auch Hosting und Cloud-Service anbietet, genießt die Informationssicherheit einen sehr hohen Stellenwert.
Alle Aktivitäten zur Aufrechterhaltung und Verbesserung der Informationssicherheit haben zum Ziel, die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – insbesondere unserer Kundendaten – zu gewährleisten.
Die konkreten Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schutzbedarf der verarbeiteten Daten stehen. Als Kernaktivität zur Aufrechterhaltung und Verbesserung der Informationssicherheit werden kontinuierlich Risiken für die Informationssicherheit identifiziert, bewertet und behandelt. An die Informationssicherheit werden verschiedene gesetzliche, behördliche und vertragliche Anforderungen gestellt, welche fortlaufend identifiziert und für die Informationssicherheit berücksichtigt werden.
Abgeleitet von den Unternehmenszielen und dem aktuellen Stand unseres Informationssicherheitsniveaus haben wir uns folgende Ziele gesetzt:
Sensibilisierung zum Thema Informationssicherheit aller Beschäftigten intensivieren
Ziel ist es, das Aufklärungs- und Schulungsangebot im Bereich IT-Security weiter auszubauen und dessen Wirksamkeit zu messen.
Sicherstellung der Erfüllung von individuellen, vertraglichen Kundenforderungen an die IT-Security
Vertragliche Kundenanforderungen an die IT-Security, die über den Standard unserer eigenen Vertragsvorlagen hinaus gehen, sollen einheitlich geprüft und freigegeben, zentral erfasst, transparent dokumentiert, intern kommuniziert und die Einhaltung regelmäßig kontrolliert werden.
Verbesserung der Sicherheit unserer Software-Produkte
Als Software-Entwicklungsunternehmen und Cloud-Anbieter ist uns die konstante Verbesserung der IT-Sicherheit unserer Produkte sehr wichtig.
Ziel ist es, das Wissen zu IT-Sicherheit in den Entwicklungsteams systematisch zu stärken und eine teamübergreifende Gruppe aus Expert*innen zu etablieren, die zur sicheren Implementierung neuer Funktionen intern berät und regelmäßig Sicherheitstests (Pentests) unserer Softwareprodukte durchführt oder durch Dritte durchführen lässt.
Kontinuierliche Verbesserung des ISMS
Mit dem Aufbau des ISMS gilt es, die Prozesse instand zu halten und die Wirksamkeit des Systems zu verbessern.
Diese Ziele werden im Rahmen des Management-Reviews geprüft und bewertet.
Zur Erreichung der Informationssicherheitsziele wurde ein ISMS-Team gegründet und ein Informationssicherheitsbeauftragter (CISO) von der Geschäftsführung benannt. Ein Informationssicherheitsmanagementsystem (ISMS) ist unternehmensweit eingeführt und wird regelmäßig auf seine Wirksamkeit überprüft.
Verantwortlich für die Sicherheitsorganisation ist die Geschäftsführung. Der Informationssicherheitsbeauftragte berät die Geschäftsführung bei der Planung und Umsetzung der Informationssicherheit im Unternehmen. Er berichtet in seiner Funktion anlassbezogen, mindestens jedoch einmal jährlich, unmittelbar an die Geschäftsführung.
Dem ISMS-Team werden von Unternehmensseite ausreichende finanzielle und zeitliche Ressourcen zur Verfügung gestellt, um sich regelmäßig weiterzubilden und zu informieren.
Die Mitarbeiter*innen des ISMS-Teams sind frühzeitig in IT-sicherheitsrelevante Projekte (z. B. neue Produkte, Standorterschließung, größere IT-Infrastruktur-Anpassungen) einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen.
Es wurde ein Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte wurde sorgfältig ausgewählt und verfügt über die erforderliche Fachkunde. Es ist sichergestellt, dass der Datenschutzbeauftragte rechtzeitig und frühzeitig in alle relevanten Fragestellungen einbezogen wird.
Für alle Verfahren, Informationen, IT-Anwendungen und IT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf bestimmt.
Zugriffsberechtigungen werden bedarfsgerecht vergeben und zentral verwaltet.
Für alle verantwortlichen Funktionen sind Vertretungen einzurichten. Es muss durch Unterweisungen und ausreichende Dokumentationen sichergestellt werden, dass Vertreter*innen ihre Aufgaben erfüllen können.
Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein restriktives Berechtigungskonzept geschützt.
Malware-Schutzprogramme werden überall dort, wo es sinnvoll ist, insbesondere auf Mail-Servern, Dokument-Speicherorten und Firmen-PCs mit Administrations-Zugriff auf Kundensysteme, eingesetzt. Alle Internetzugänge werden durch geeignete technische Filter- und Schutzmechanismen gesichert. Fernwartungszugriffe auf alle internen Systeme und Kunden-Server sind durch VPN-Verbindungen geschützt. Durch ein umfangreiches Monitoring-System werden Beeinträchtigungen der Sicherheitsziele von IT-Infrastruktur und Anwendungen erkannt und durch eingewiesene Mitarbeiter*innen zügig behoben. Des Weiteren unterstützen die IT-Benutzer*innen durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.
Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Informationen werden einheitlich gekennzeichnet und so aufbewahrt, dass sie schnell auffindbar sind.
Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfall-Vorsorgekonzept zusammengestellt. Unser Ziel ist, auch bei einem Systemausfall kritische Geschäftsprozesse aufrechtzuerhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.
IT-Benutzer*innen nehmen regelmäßig an Schulungen zur korrekten Nutzung der IT-Dienste und den hiermit verbundenen Sicherheitsmaßnahmen teil. Die Unternehmensleitung unterstützt dabei die bedarfsgerechte Weiterbildung.
Das Managementsystem der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. Daneben werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeiter*innen bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. Die Überwachung dieser Prüfung wird durch unseren CISO sichergestellt.
Mitarbeiter*innen sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutz-Niveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Sicherheitstechnik zu halten.
Wir unterscheiden zwischen Daten, die wir erheben und speichern, und Daten, welche Kunden auf den von uns für den Kunden betriebenen Systemen ablegen.
Wir unterscheiden zwischen Daten, die wir selbst im Rahmen unserer täglichen Arbeit erheben und speichern (eigene Daten), und den Daten, die im Rahmen einer Dienstleistungserbringung (Betrieb von Atlassian-Anwendungen) auf dedizierten Kunden-Systemen gehalten werden, mit denen wir aber ansonsten nicht arbeiten (Kundendaten). Alle eigenen Informationen, die über Kunden bei uns in CRM-, ERP-, Buchungs- und Abrechnungssystemen oder in E-Mails, Chats, Wikis oder Aufgabensoftware gespeichert werden, sind zwar im weiteren Sinne auch Daten, die Kundeninformationen enthalten. Trotzdem werden sie mit rein internen Daten gemeinsam verarbeitet und deshalb unter „eigene Daten“ eingeordnet.
Da wir Kundendaten mit einem höheren Schutzbedarf einstufen, ist auch das Sicherheitsniveau höher, wenn Kunden Informationen mit uns in den dedizierten Kunden-Systemen teilen als wenn sie in unseren Systemen (z. B. E-Mails, Extranet, Jira-Aufgabenverwaltung) verarbeitet werden. Wir machen dabei den Unterschied für Kunden so deutlich und transparent wie möglich und respektieren, wenn Kunden uns bitten, auf den Kunden-Systemen zu arbeiten, auch wenn das für uns Einschränkungen mit sich bringt. Je nach Situation, Team und Zusammensetzung kann es sein, dass bestimmte Informationen für einen reibungslosen Ablauf auf unseren Systemen gespeichert werden müssen. Diese Situationen kündigen wir vorab an und erklären die Hintergründe.
Eine zentrale Leitlinie unseres Handelns ist der bewusste Ausgleich zwischen praktisch und einfach (Usability) und hoher Sicherheit. Wir versuchen, Technologie zu nutzen, um Sicherheit und Usability gleichzeitig zu steigern.
Wir verstehen, dass Usability (Einfachheit für Anwender*innen) und IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Diensten) oft in einem Gegensatz zueinander stehen. Gerade bei der Arbeit in Kundenumgebungen stellen wir häufig fest, dass hohe Sicherheitsanforderungen dazu führen, dass wir mehr damit beschäftigt sind, den Zugriff auf Informationen zu bekommen, als daran, an der Wertschöpfung für den Kunden zu arbeiten. Deshalb streben wir an, stets auch die Usability zu betrachten und im Zweifel abzuwägen, was im Anwendungsfall (Um welche Daten handelt es sich? Wie ist deren Sicherheitseinstufung?) adäquate Lösungen sind. Eine sinnvolle Lösung finden wir im Team im Gespräch und Diskurs und mittels einer für alle Mitarbeitenden transparenten Dokumentation in unseren zentralen Systemen. Beim Umgang mit eigenen Daten tendieren wir dabei Richtung Usability. Diese Tendenz gründen wir auf unseren Unternehmenswerten und auf das Vertrauen in unsere Mitarbeiter*innen.
Die IT-Sicherheit der Daten unserer Kunden hat für uns höchste Priorität.
Die Sicherheit von Kundendaten ist die Grundlage unserer Integrität und des Vertrauens in der dauerhaften Zusammenarbeit. Wir schließen sämtliche Formen der Verarbeitung von Kundendaten außerhalb des vertraglich gesetzten Rahmens (insbesondere Auftragsverarbeitung) aus. Veränderungen in der Verarbeitung erfolgen allein auf Weisung oder in Abstimmung mit dem Kunden.
Im Zweifel werden Daten unserer Kunden immer sicherer und nicht einfacher gehalten. Dort geht Sicherheit vor Usability.
Dokumente sollten primär nicht ausgedruckt, sondern digitalisiert werden und bleiben.
Wir sind davon überzeugt, dass wir alle Daten digital speichern möchten, da wir nur dann sinnvoll in der Lage sind, die IT-Sicherheit dieser Informationen zu gewährleisten. Wenn wir die Möglichkeit haben, versuchen wir vornehmlich digitale Daten und Informationen im Unternehmen vorzuhalten. Wenn wir Papier nutzen, dann um unsere Arbeitsabläufe zu beschleunigen. Papier dient dann als vorübergehendes Werkzeug, um die Sichtbarkeit, Präsenz oder Interaktion zu erhöhen. Wir arbeiten aktiv daran, auf Papier erfasste Informationen zu digitalisieren, und heben Papier nach Möglichkeit nicht auf, es sei denn gesetzliche Anforderungen erfordern das. Papier wird entsprechend der Schutzklasse der Informationen auf diesem fachgerecht entsorgt.
Die Geschäftsführung bekennt sich zu Ihrer Aufgabe, die in dieser Leitlinie beschriebenen Zielsetzungen zur Informationssicherheit zu unterstützen, und fordert alle Beschäftigten dazu auf, ebenfalls zur Aufrechterhaltung bzw. zur Verbesserung der Informationssicherheit beizutragen.
Diese Leitlinie gilt für alle Mitarbeitenden ohne Ausnahme. Es gibt keine Rechtfertigung für Abweichungen. Wir sorgen als Unternehmen dafür, dass Mitarbeitende diese Leitlinie lesen, verstehen und ihr Einverständnis dokumentieren. Wir kündigen Änderungen intern an und erklären sie.
Version: V1.1, Stand: 22.03.2024
Sicherer Betrieb für eure Atlassian-Applikationen
Wir stellen eine leistungsfähige, stabile und sichere Betriebsumgebung für eure Atlassian-Tools zur Verfügung. Durch die Auswahl eures präferierten Hosting Providers und der Betriebsart erhaltet ihr ein auf eure Bedürfnisse zugeschnittenes Hosting-Angebot.
Das könnte dich auch interessieren
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
