Rechtliche Hinweise

Informationssicherheit

Alle Urheberrechte sowie geistigen und gewerblichen Schutzrechte an diesem Dokument und dem darin enthaltenen technischen Wissen liegen bei Ink Innovation S.L. und/oder den jeweiligen Rechteinhabern.

Dieses Dokument wird den Endnutzern ausschließlich für den internen Gebrauch zur Verfügung gestellt. Kein Teil dieses Dokuments und keine darin enthaltenen Daten dürfen ohne vorherige schriftliche Genehmigung von Ink Innovation S.L. in irgendeiner Form oder mit irgendwelchen Mitteln – sei es elektronisch oder mechanisch – veröffentlicht, weitergegeben, kopiert, vervielfältigt, weiterverbreitet oder für irgendeinen anderen Zweck verwendet werden.

Alle hier nicht ausdrücklich gewährten Rechte bleiben vorbehalten.

Zweck

Der Zweck dieser Richtlinie zur Informationssicherheit besteht darin, die Informationsressourcen von Ink Innovation S.L. vor allen Bedrohungen zu schützen, seien diese intern oder extern, vorsätzlich oder unbeabsichtigt. Diese Richtlinie legt den Rahmen und die Grundsätze für die Sicherung unserer Informationsressourcen fest und gewährleistet deren Vertraulichkeit, Integrität und Verfügbarkeit.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeiter, Auftragnehmer, Berater, Zeitarbeitskräfte und sonstigen Beschäftigten bei Ink Innovation S.L., einschließlich aller Mitarbeiter von Drittunternehmen. Sie erstreckt sich auf alle Informationssysteme, Netzwerke und physischen Standorte, an denen Informationen verarbeitet, gespeichert oder übertragen werden.

Die Richtlinie gilt auch für betroffene Parteien wie Kunden, Aufsichtsbehörden, Lieferanten und Partner und gewährleistet die Einhaltung der geltenden vertraglichen, behördlichen und gesetzlichen Verpflichtungen.

Ziele der Informationssicherheit

  • Um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
  • Zum Schutz vor unbefugtem Zugriff und Sicherheitsverletzungen.
  • Zur Einhaltung der einschlägigen Gesetze, Vorschriften und vertraglichen Verpflichtungen, einschließlich der Datenschutz- und Privatsphäreeanforderungen.
  • Zum Schutz personenbezogener, sensibler und vertraulicher Daten gemäß den geltenden Datenschutzbestimmungen.
  • Unser Informationssicherheits-Managementsystem im Einklang mit den Anforderungen der Norm ISO/IEC 27001 und des NIST kontinuierlich zu verbessern.

Aufgaben und Zuständigkeiten

  • Führungsteam von Ink: Übernahme von Führungsaufgaben, Engagement und Förderung der ISMS-Richtlinien und -Verfahren, Zuweisung von Ressourcen sowie Unterstützung der kontinuierlichen Verbesserung. Übernahme von Verantwortung für die Wirksamkeit des ISMS und Sicherstellung der Abstimmung mit den Unternehmenszielen.
  • Chief Information Security Officer (CISO): Entwicklung, Umsetzung und Pflege des Informationssicherheits-Managementsystems (ISMS) sowie Sicherstellung der Einhaltung der Anforderungen der Norm ISO/IEC 27001. Überwachung von Risikobewertungen, Sicherstellung der Einhaltung gesetzlicher und vertraglicher Sicherheitsanforderungen sowie Durchsetzung der Übereinstimmung mit der NIST-FIPS-199-Kategorisierung.
  • IT-Abteilung:Technische Kontrollmaßnahmen umsetzen, Systeme überwachen, Sicherheitsprotokolle erfassen und auswerten, Bedrohungsinformationen nutzen und auf Sicherheitsvorfälle reagieren. Sicherstellen, dass die Aufgabentrennung eingehalten wird, um unbefugte oder unbeabsichtigte Änderungen an Systemressourcen zu verhindern.
  • An alle Mitarbeiter: Halten Sie sich an die Richtlinien und Verfahren zur Informationssicherheit, melden Sie Sicherheitsvorfälle unverzüglich, schützen Sie vertrauliche Informationen und nehmen Sie an regelmäßigen Sicherheitsschulungen und Sensibilisierungsprogrammen teil.

Risikomanagement

  • Führen Sie regelmäßig Risikobewertungen durch, um Risiken für die Informationssicherheit zu ermitteln, zu bewerten und zu priorisieren.
  • Führen Sie eine Kategorisierung der Informationssysteme anhand der NIST-FIPS-199-Kriterien durch, um Systeme und Daten entsprechend den potenziellen Auswirkungsstufen (gering, mittel, hoch) in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit einzustufen.
  • Führen Sie geeignete Kontrollmaßnahmen auf der Grundlage einer Kategorisierung ein, wobei Systeme der Kategorie „Hoch“ die strengsten Schutzmaßnahmen erfordern.
  • Die Risikobehandlung auf die festgelegte Risikobereitschaft der Organisation und den ISMS-Kontext abstimmen.
  • Überprüfen und aktualisieren Sie die Risikobewertungen regelmäßig und bei wesentlichen Änderungen.

Maßnahmen zur Informationssicherheit

  • Zugriffskontrolle: Stellen Sie sicher, dass der Zugriff auf Informationen entsprechend den geschäftlichen Erfordernissen und vorbehaltlich einer ordnungsgemäßen Autorisierung gewährt wird.
  • Physische Sicherheit: Schützen Sie physische Standorte, an denen Informationsressourcen untergebracht sind, vor unbefugtem Zugriff und Umweltgefahren.
  • Kommunikationssicherheit: Schützen Sie Daten während der Übertragung durch Verschlüsselung und sichere Kommunikationsprotokolle.
  • Vorfallmanagement: Erstellung und Pflege eines Plans zur Reaktion auf Sicherheitsvorfälle, um diese zu erkennen, darauf zu reagieren und die Folgen zu beheben.
  • Geschäftskontinuität und Notfallwiederherstellung: Entwicklung und Erprobung von Plänen zur Sicherstellung der Aufrechterhaltung kritischer Geschäftsfunktionen im Falle ungeplanter Störungen.
  • Sicherheit bei Lieferanten und Dritten: Definieren, kommunizieren und setzen Sie Anforderungen an die Informationssicherheit gegenüber Lieferanten, Auftragnehmern und Dienstleistern durch.
  • Überwachung und Protokollierung: Überwachung von Informationssystemen auf Anomalien und Sicherheitsvorfälle. Erfassung, Aufbewahrung und regelmäßige Überprüfung von Sicherheitsprotokollen zur Erkennung von Bedrohungen und zur Unterstützung von Untersuchungen.
  • Bedrohungsinformationen: Nutzen Sie interne und externe Bedrohungsinformationen, um Risiken proaktiv zu erkennen und zu mindern.
  • Klassifizierung und Kategorisierung von Informationen: Informationsressourcen sind entsprechend ihrer Vertraulichkeitsstufe zu klassifizieren und zu kennzeichnen, und Systeme sind gemäß NIST FIPS 199 (niedrig, mittel, hoch) zu kategorisieren. Die Kontrollmaßnahmen sind entsprechend den Ergebnissen der Kategorisierung anzuwenden.

Schulung und Sensibilisierung

  • Bieten Sie allen Mitarbeitern regelmäßige Schulungen zu Richtlinien, Verfahren und bewährten Praktiken im Bereich der Informationssicherheit an.
  • Das Bewusstsein für Bedrohungen der Informationssicherheit und die Bedeutung der Meldung von Sicherheitsvorfällen schärfen.

Einhaltung

  • Stellen Sie sicher, dass die einschlägigen gesetzlichen, behördlichen und vertraglichen Anforderungen eingehalten werden.
  • Führen Sie regelmäßig Audits und Überprüfungen durch, um die Wirksamkeit des ISMS und die Einhaltung der Norm ISO/IEC 27001 sicherzustellen.

Kontinuierliche Verbesserung

  • Überwachen und messen Sie die Leistungsfähigkeit des ISMS durch interne Audits und Überprüfungen.
  • Korrektur- und Vorbeugungsmaßnahmen umsetzen, um Nichtkonformitäten zu beheben und das ISMS zu verbessern.
  • Ermutigen Sie Mitarbeiter und Interessengruppen, Feedback zu geben, um die Maßnahmen zur Informationssicherheit zu verbessern.

Überprüfung der Richtlinien

Diese Richtlinie ist mindestens einmal jährlich oder bei wesentlichen Änderungen zu überprüfen, um ihre fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Richtlinie ist allen relevanten internen und externen interessierten Parteien mitzuteilen und als dokumentierte Information zur Verfügung zu stellen.