Informationssicherheit

Für die Eagle Eye Security & Cleaning GmbH ist eine sichere und zuverlässige Informations- und Kommunikationstechnik von höchster Bedeutung. Sie ist darüber hinaus ein unerlässliches Qualitätsmerkmal.

 

Leitlinie Informationssicherheit

Informationssicherheit resultiert aus der Verpflichtung gegenüber allen Stakeholdern der Eagle Eye Security & Cleaning GmbH bei der Erhebung, Speicherung, Übermittlung und Nutzung von Informationen / Daten angemessen sicher vorzugehen. Die erforderliche Informationssicherheit muss sowohl durch organisatorische, infrastrukturelle, als auch personelle und technische Maßnahmen gewährleistet werden.

 

Sicherheitsziele

Grundwerte der Informationssicherheit

Die Wahrung der Sicherheit von Informationen bezieht sich auf die folgenden Grundwerte:

  • Vertraulichkeit: Schutz vor unberechtigtem Zugriff auf Informationen.
  • Integrität: Schutz vor ungewollter Verfälschung von Informationen.
  • Verfügbarkeit: Schutz vor ungewollter Beeinträchtigung des Zugriffs auf Informationen.

 

Angestrebtes Sicherheitsniveau

Für die Eagle Eye Security & Cleaning GmbH wird ein gehobenes Maß an Informationssicherheit angestrebt. Das bedeutet insbesondere, dass bei Verstößen gegen die Grundwerte der Informationssicherheit (s. o.) das Schadensausmaß in der Regel keine signifikanten oder existenzbedrohlichen Ausmaße annehmen soll.

Es ist sicherzustellen, dass dem Schutzbedarf angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um den erforderlichen Schutz der Informationen / Daten sowie die notwendige Verfügbarkeit der IT-Systeme zu gewährleisten. Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Wert der schützenswerten Informationen und IT-Systeme stehen.

Gesetzesverstöße werden nicht toleriert. Alle Mitarbeiter der Eagle Eye Security & Cleaning GmbH und Dritte, derer sich Eagle Eye Security & Cleaning GmbH zur Aufgabenerfüllung bedient haben alle einschlägigen Gesetze (z. B. Strafgesetzbuch, Gesetze und Regelungen zum Datenschutz) einzuhalten.
Alle Mitarbeiter sind sich ihrer Verantwortung beim Umgang mit Informationen (analog wie digital) bewusst und unterstützen die Sicherheitsstrategie nach besten Kräften.

 

Die Sicherheitsprinzipien der Eagle Eye Security & Cleaning GmbH

Bei der Umsetzung der Informationssicherheit in der Eagle Eye Security & Cleaning GmbH sind die folgenden Sicherheitsprinzipien einzuhalten:

  • Prinzip des "aufgeräumten" Arbeitsplatzes
    Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Unterlagen (Papier, Datenträger) durch Unbefugte verhindert.
  • Prinzip des "gesperrten" Bildschirmes
    Bei Abwesenheit wird der Zugang und Zugriff auf vertrauliche Daten und Anwendungen durch Unbefugte verhindert.
  • Prinzip des minimalen Zugriffs (need to know)
    Jeder Nutzer erhält nur die Zugriffsrechte, die zur Erfüllung der jeweiligen Aufgabe, insbesondere unter Wahrung der datenschutzrechtlichen Bestimmungen, erforderlich sind.
  • Prinzip der Nachvollziehbarkeit und Nachweisbarkeit
    Ziel ist es, alle sicherheitsrelevanten Aktivitäten nachvollziehbar zu gestalten, die Verantwortlichen eindeutig identifizieren zu können sowie Datenmaterial für Streitfälle/Unstimmigkeiten in einem angemessenen Maße insbesondere unter Beachtung der geltenden Datenschutzbestimmungen vorzuhalten und zu erheben. Dies umfasst die Nachvollziehbarkeit von Datenzugriffen, Transaktionen und der (geschäftlichen) Kommunikation zwischen den jeweiligen Stakeholdern. Dabei ist die Integrität der Daten und Informationen stets zu gewährleisten.
  • Prinzip der kontinuierlichen Selbstkontrolle
    Die Fehlerquellen werden identifiziert, Folgen minimiert und nachhaltig abgestellt.
  • Prinzip der ganzheitlichen Vorgehensweise
    Alle wesentlichen Anforderungen werden von Beginn eines jeden Vorgangs an berücksichtigt.

Sicherheit der Informationssysteme während des Lebenszyklus

Die Sicherheit eines Informationssystems muss ab Beginn des Lebenszyklus ein fester Bestandteil bei der Planung, der Spezifikation, der Beschaffung, der Entwicklung, der Einführung, dem Betrieb, der Wartung und der geordneten Außerbetriebnahme sein. Das Informationssystem muss den geltenden Sicherheitsstandards (Sicherheitsrichtlinien) entsprechen.

 

Sicherheitsstrategie

Um die angestrebten Sicherheitsziele zu erreichen, wird bei der Eagle Eye Security & Cleaning GmbH ein Informations-sicherheitsmanagementsystem (kurz: ISMS) betrieben, welches sich an den Vorgaben der DIN ISO/IEC 27001/2 orientiert.

 

Organisationsstruktur

Um die Ziele im Bereich Informationssicherheit zu erreichen, wurde ein Informationssicherheitsbeauftragter (ISB) ernannt und eine Informationssicherheitsorganisation etabliert.

 

Informationssicherheitsprozess

Der Informationssicherheitsprozess orientiert sich am PDCA-Modell (Plan-Do-Check-Act bzw. Planung-Umsetzung-Erfolgskontrolle-Optimierung) der ISO/IEC 27001.
Die einzelnen Phasen beschreiben einen Zyklus der wiederkehrenden Arbeiten, die im Rahmen des Informationssicherheitsmanagements durchzuführen sind. Dies sind im Einzelnen:

  • Plan-Phase (Planung und Konzeption)
    Hierzu gehören die Planung des Vorgehens des Informationssicherheitsmanagementsystems (Planung ISMT, Entwicklung Leitlinie etc.) sowie die Erstellung eines Sicherheitskonzeptes.
  • Do-Phase (Umsetzung der Planung)
    In der Do-Phase werden das ISMT etabliert und die im Rahmen des Sicherheitskonzeptes geplanten Vorgehen und Maßnahmen umgesetzt.
  • Check-Phase (Erfolgskontrolle, Überwachung der Zielerreichung)
    Diese Phase beinhaltet die internen Prüfungen, die sicherstellen sollen, dass die angestrebten Sicherheitsziele erreicht werden.
  • Act-Phase (Optimierung, Verbesserung)
    Zur Act-Phase gehören Tätigkeiten, die (meist basierend auf den Ergebnissen der internen Prüfungen der Check-Phase) Abweichungen behandeln, indem Prozesse oder Maßnahmen so angepasst bzw. verbessert werden, dass das anvisierte Sicherheitsniveau besser erreicht werden kann.