Richtlinien

Sicherheitspolitik für Informationstechnologie

Präambel

Einführung

Premier Continuum ist sich bewusst, dass Informationen ein unverzichtbares Gut sind, das vor unbeabsichtigter oder freiwilliger Veränderung, Zerstörung oder Offenlegung geschützt werden muss. Die Richtlinie zielt darauf ab, die Risiken für diesen Vermögenswert zu minimieren. Tatsächlich schützt sie Premier Continuum und seine Mitarbeiter.

Es liegt in der Verantwortung des Managements von Premier Continuum, die Informationen und IT-Systeme des Unternehmens zu schützen. Ihre Verantwortung wird auch in dieser Hinsicht wahrgenommen. Das bedeutet, dass das Management von Premier Continuum Maßnahmen ergreifen muss, um sicherzustellen, dass Informationen und Computersysteme angemessen vor einer Vielzahl von Bedrohungen geschützt sind. Es ist auch für die Einführung und Aufrechterhaltung von Maßnahmen zur Informationssicherheit und -integrität verantwortlich, und sei es nur durch die Verwaltung geeigneter Kontrollen, die proportional zum Wert der zu schützenden Informationen sind.

Geltungsbereich und allgemeiner Grundsatz

Der allgemeine Geltungsbereich und das Prinzip dieser Richtlinie bestehen darin, einen umfassenden Überblick über die Sicherheit der Informationstechnologie („IT“) für Premier Continuum zu bieten. Die hier beschriebenen Richtlinien, Richtlinien, Verfahren und Anweisungen wurden auf der Grundlage von ISO 27001 erstellt. Die Richtlinie befasst sich nicht nur mit den spezifischen Verfahren, die in Bezug auf Informationseigentum und -schutz, physische Sicherheit, IT-Sicherheit und Datenwiederherstellung entwickelt werden müssen, sondern auch auf die Verpflichtungen der Geschäftsleitung und der Mitarbeiter von Premier Continuum bei der Umsetzung der betreffenden Verfahren. Die IT-Sicherheitsrichtlinie zielt darauf ab, eine Reihe fortschrittlicher Richtlinien für die Ausarbeitung, Aufbewahrung und Umsetzung spezifischer Richtlinien für die Verwendung und den Schutz von Informationen und der damit verbundenen Technologie bereitzustellen. Ziel dieser Politiken ist es, die grundlegende Struktur festzulegen, innerhalb derer spezifischere Leitlinien, Verfahren und Anweisungen festgelegt werden und aufeinander abgestimmt werden.

Das Information Security Management System (ISMS) basiert auf einem vierstufigen zyklischen Modell namens „PDCA“, dem Plan, Do, Check, Act, das auch als Deming Wheel bekannt ist.

1. Phasenplan: besteht darin, die Maßnahmen zu planen, die das Unternehmen in Bezug auf die Sicherheit ergreifen wird
2. Phase Do: Das Unternehmen realisiert, was es in diesem Bereich geplant hat
3. Phasen-Check: Das Unternehmen stellt sicher, dass keine Diskrepanz zwischen dem, was es gesagt hat, und dem, was es getan hat, besteht
4. Phase Act: besteht darin, Korrekturmaßnahmen für die zuvor festgestellten Unstimmigkeiten zu ergreifen

Um die Umsetzung und kontinuierliche Verbesserung des ISMS sicherzustellen, wird ein Aktivitätenregister geführt.

Premier Continuum stellt sicher, dass es alle Gesetze und Vorschriften zur Informationssicherheit sowie alle Vertragsklauseln mit seinen Kunden einhält. Darüber hinaus über verschiedene Hosting-Gruppen und Anbieter (Iweb, Cirrus Tech, Hostwinds, OVH, LeBleu, Tenable, Indusface, Synox, Webflow/AWS usw.) Premier Continuum hält sich über alle Änderungen oder Bedrohungen auf dem Laufenden, die eine Anpassung oder Hinzufügung von Kontrollen erfordern. Es gibt auch Mechanismen mit den Lieferanten, um die zuständigen Behörden umgehend über alle Ereignisse zu informieren, die ihre Mitwirkung erfordern.

Diese Richtlinie gilt für alle leitenden Angestellten, Direktoren und Mitarbeiter von Premier Continuum sowie für alle vertraglichen Ressourcen.

Obwohl Premier Continuum bei all seinen Geschäftsaktivitäten das Information Security Management System (ISMS) anwendet, deckt der Geltungsbereich der ISO27001-Zertifizierung, die seit 2013 vom Registrar Perry Johnson Inc. ausgestellt und von PECB 2017 erneut zertifiziert wurde, die Entwicklungs-, Produktions- und Supportumgebung von ParaSolution ab.

Regeln und Warnungen

Premier Continuum behält sich das Recht vor, seine Richtlinien, Verfahren oder Anweisungen vorübergehend, aufgrund eines unvorhergesehenen Ereignisses oder dauerhaft aufgrund sich ändernder Geschäftsbedingungen zu ändern. Wirtschaftlich. Premier Continuum gewährleistet die Einhaltung von Gesetzen und Vorschriften.

Jede Ausnahmeregelung, jeder Verzicht oder jede Ausnahme von genehmigten Richtlinien oder zugehörigen Dokumenten muss vom IT-Sicherheitsausschuss von Premier Continuum genehmigt werden.

Bitte richten Sie Ihre Fragen oder Anfragen zur Klärung an den IT-Sicherheitsausschuss von Premier Continuum.

Rollen und Verantwortlichkeiten

Mitarbeiter, Berater und Lieferanten von Premier Continuum: Mitarbeiter, Berater und Lieferanten von Premier Continuum müssen die IT-Sicherheitsrichtlinien von Premier Continuum einhalten. Darüber hinaus müssen sie ihrem Vorgesetzten oder dem IT-Sicherheitsausschuss alle etwaigen Verstöße gegen die Richtlinie, die von einer Person versehentlich oder freiwillig begangen wurde. Sie sind aktiv an ISMS-bezogenen Aktivitäten beteiligt.

Premier Continuum Management ist dafür verantwortlich, sicherzustellen, dass die IT-Richtlinien für die Mission und Entwicklung von Premier Continuum relevant sind und mit ihnen übereinstimmen. Sie ist verantwortlich für die Implementierung und Verbesserung des ISMS. Es ist dafür verantwortlich, alle Benutzer aufzuklären und sie über alle Aspekte der IT-Sicherheit auf dem Laufenden zu halten. Das Management muss sicherstellen, dass die Bestimmungen der IT-Sicherheitspolitik im gesamten Unternehmen einheitlich umgesetzt werden. Die Richtlinie und das ISMS beziehen sich auf die Bedingungen der Verträge mit Premier Continuum Inc. Als Kunden.

Abstimmung mit internen Politiken

Die IT-Sicherheitsrichtlinie von Premier Continuum entspricht den anderen Richtlinien des Unternehmens, einschließlich der Richtlinie von Premier Continuum zur Aufbewahrung von Aufzeichnungen. Auf die anderen Richtlinien des Unternehmens wird, sofern sie für den jeweiligen Gegenstand relevant sind, durch Verweise verwiesen.

Richtlinie

‍1. Überblick

1.1 Information: ein wichtiger Vorteil. Informationen sind ein äußerst wichtiges Gut. Genaue, aktuelle, relevante und gut geschützte Informationen sind für die Gesellschaft nach wie vor unverzichtbar. Um ein ordnungsgemäßes Informationsmanagement zu gewährleisten, müssen der Zugriff auf Informationen, deren Nutzung und Verarbeitung den Richtlinien und Standards für IT-Infrastrukturen und -Systeme entsprechen.

1.2 Teilnahme des IT-Sicherheitsausschusses. Der IT-Sicherheitsausschuss muss an der regelmäßigen Überprüfung der folgenden Punkte teilnehmen: (i) den aktuellen Stand der Sicherheits- und Informationsmanagementaktivitäten, (ii) Sicherheitsvorfälle innerhalb des Unternehmens sowie im Zusammenhang mit Informationssicherheitsprojekten und (iii) Genehmigung neuer Informationssicherheitsrichtlinien und ihrer möglichen Änderungen.

1.3 Personen, die die Richtlinien zur Informationssicherheit einhalten müssen. Mitarbeiter, Berater, Lieferanten oder Vertreter des Unternehmens (ob Vollzeit, Teilzeit oder Praktikant) müssen die Anforderungen an die Informationssicherheit erfüllen und für diese verantwortlich sein.

1.4 Unverzichtbare Software und Anwendungen. Premier Continuum muss eine Liste wichtiger Software und Anwendungen führen, die dem Unternehmen einen Wettbewerbs- oder Produktivitätsvorteil verschaffen.

1.5 Büroarbeitsplatz. Premier Continuum muss Computer bereitstellen, auf denen der Virenschutz und eine Firewall aktiv und auf dem neuesten Stand bleiben. Mitarbeiter sollten sicherstellen, dass sie ihre Position immer sperren, wenn sie das Unternehmen verlassen.

1,6 Telearbeit und Nutzung mobiler Geräte. Premier Continuum ermöglicht seinen Mitarbeitern, sofern sie dazu berechtigt sind, aus der Ferne zu arbeiten. Jeder Mitarbeiter, der sich anmeldet, muss jederzeit über eine aktive Firewall und einen Virenschutz verfügen. Der gesamte Zugriff zwischen Remote-Servern (zwischen ihnen) und dem Desktop (bei Telearbeit oder mobilem VPN) wird ebenfalls verschlüsselt, um Anwendungen oder andere Daten bei der Übertragung auf sichere Server zu schützen. (z. B. VPN, wenn extern, SSH-Tunnel zum Server, dann endlich ein RDP oder VNC auf diesem Tunnel). Firewallregeln sind so konzipiert, dass sie keine RDP- oder VNC-Ports verfügbar machen, sondern nur den SSH-Port.

1.7 Obligatorische Vertraulichkeitsvereinbarung. Alle Mitarbeiter, Berater, Lieferanten oder deren Vertreter (unabhängig davon, ob sie Vollzeit-, Teilzeit- oder befristete Mitarbeiter sind) müssen bei ihrem Eintritt in das Unternehmen eine Vertraulichkeitsvereinbarung unterzeichnen (dies wird umgesetzt, indem sie bestätigen, dass sie das Mitarbeiterhandbuch verstanden haben).

1.8 Klassifizierung der Daten. Alle Unternehmensinformationen sind vertraulich und nur für den internen Gebrauch bestimmt, sofern keine Genehmigung für externe Kommunikation erteilt wird. Informationen auf Papier- oder Datenträgern werden zu diesem Zweck in Büros oder Büros gesichert. Die Kundendaten von Parasolution müssen jederzeit und ausschließlich auf Produktionsservern verbleiben.

1.9 Vertraulichkeitsvereinbarungen und Offenlegung sensibler Informationen. Alle Offenlegungen sensibler Informationen an Dritte müssen durch eine ordnungsgemäß unterzeichnete Vertraulichkeitsvereinbarung mit Einschränkungen für die spätere Weitergabe und Verwendung der Informationen abgedeckt werden.

Verantwortung für Informationen

2.1 Verpflichtung zur Benennung eines Informationsbeauftragten. Der Vorstand von Premier Continuum muss schriftlich festlegen, wer die Mitglieder des IT-Sicherheitsausschusses, die Leiter der Datenbanken, Schlüsseldateien und anderer gemeinsam genutzter Informationsquellen sind.

IT-Sicherheitsausschuss:

-Präsident und IT-Systemarchitekt

-Sicherheitsbeauftragter

-Inhaber der Informationen

-Entwickler

-Interner Prüfer

-Einhaltung der ISO27000-Standards

-IT-Betriebskoordinator

-Besitzer von Datenbanken und Paradocs

-Verantwortlich für die Parasolution App

-Benutzer: Alle Mitarbeiter von Premier Continuum (Zugriff auf Daten basierend auf ihrer Rolle in der Organisation — Zugriffsrichtlinie nur auf die erforderlichen Verzeichnisse)

‍

2.2 Inhaber der Informationen. Der Eigentümer der Informationen in der Produktionsumgebung, die von einer bestimmten Geschäftseinheit verwendet wird, muss die entsprechenden Klassifizierungen und Zugriffskontrollen definieren. Es muss auch geeignete Maßnahmen ergreifen, um sicherzustellen, dass Kontrollen, die für die Speicherung, Handhabung, Verteilung und Nutzung von Informationen relevant sind, angewendet werden.

Ebene 1: Kontoadministrator

Stufe 2: Benutzerkonto mit eingeschränktem Zugriff für kleinere Anfragen, Suchanfragen und Änderungen, die vom Kunden angefordert wurden

2.3 Designierter Sicherheitsadministrator für alle Mehrbenutzersysteme. Für jedes Mehrbenutzersystem muss ein Sicherheitsadministrator ernannt werden, der die Benutzerrechte definiert, das Zugriffsprotokoll kontrolliert und alle vergleichbaren Aktivitäten durchführt und gleichzeitig die Anforderungen des Informationseigentümers erfüllt. Der IT-Sicherheitsausschuss ist für die Überwachung dieser Funktion verantwortlich. Sie kann jedoch einem Vertreter übertragen werden. Für die Zwecke dieser Richtlinie gelten lokale Netzwerkserver und das Telefonsystem als Mehrbenutzersysteme.

2.4 Die Abteilung für Informationstechnologie kann kein Informationsbeauftragter sein. Die Abteilung Informationstechnologie kann für keine Informationen verantwortlich sein, mit Ausnahme von Daten für die Verwaltung und Steuerung von Computersystemen und Betriebsnetzwerken.

2,5 Verpflichtung, einen Verwalter für alle wichtigen Arten von Informationen zu benennen. Für jede Hauptart von Informationen wird ein Verwalter zugewiesen. Jede Verwahrstelle muss den angemessenen Schutz der Informationen gemäß den grundlegenden Anforderungen von Premier Continuum und den Anweisungen des zuständigen Managers sicherstellen.

2.6 Pflichten des Sicherheitsverwahrers. Die Treuhänder sind dafür verantwortlich, spezifische Kontrollmechanismen zu definieren, den Zugriff auf Informationen zu verwalten, diese Elemente kostengünstig zu kontrollieren und sicherzustellen, dass Notfallwiederherstellungs- und Schutzdienste, die den grundlegenden Anforderungen der IT-Sicherheitsrichtlinien von Premier Continuum entsprechen, vorhanden sind.

2,7 Verantwortung der Nutzer gemäß Informationssicherheit. Benutzer der Informationen müssen die Informationen so behandeln, als ob sie materielles Eigentum des Unternehmens wären. Sie müssen sich sehr darum kümmern. Sie sind auch aktiv am ISMS beteiligt. Es liegt in der Verantwortung aller, ihr Benutzerkonto und ihr Passwort zu schützen, um unbefugten Missbrauch oder Aktivitäten zu vermeiden. Nutzer der Informationen können Mitarbeiter, Berater, Lieferanten oder deren Vertreter sein (unabhängig davon, ob es sich um Vollzeit-, Teilzeit- oder Zeitarbeitskräfte handelt) oder auch Dritte, für die besondere Bestimmungen gelten. Jeder, der zum Zugriff auf Informationen oder Computersysteme autorisiert wurde, gilt als Informationsnutzer.

Verwaltung der Informationssicherheit

3.1 Regelmäßige Analyse von Informationssicherheitsproblemen und Informationssicherheitsproblemen. Eine regelmäßige Analyse der Probleme und Probleme der Informationssicherheit ist erforderlich.

3.2 Melde- und Verwaltungsmechanismus für die Informationssicherheit. Der IT-Sicherheitsausschuss sollte regelmäßig und im Falle einer Krise, die durch Eindringversuche, Denial-of-Service-Angriffe, Virenangriffe und andere Vorfälle verursacht wird, die die Computersicherheit beeinträchtigen, auf dem Laufenden gehalten werden. Ein formeller Mechanismus zur Verwaltung von Vorfällen und Problemen wird eingeführt, um Probleme zu erfassen, ihre Auswirkungen zu verringern und ein erneutes Auftreten zu verhindern.

3.3 Obligatorische Risikobewertung der Produktions-IT-Infrastruktur und -Systeme. Der IT-Sicherheitsausschuss muss in regelmäßigen Abständen die gesamte IT-Infrastruktur und -Systeme der Produktion überprüfen, um ein Mindestmaß an Kontrollen festzulegen, mit denen das Risiko auf ein akzeptables Maß reduziert werden kann. Die Risikoakzeptanz basiert auf dem Restrisiko und den zur Risikobewältigung eingerichteten Kontrollen.

3.4 Vereinbarungen mit Dritten zum Informationsaustausch. Alle Vereinbarungen, die sich mit der Verarbeitung von Informationen durch Dritte befassen, müssen eine spezielle Klausel enthalten. Diese Klausel sollte es der Organisation ermöglichen, die Kontrollen der Informationsverarbeitungstätigkeiten zu überprüfen und klarzustellen, wie diese geschützt werden. Allerdings sollte nicht die gesamte Anwendungsentwicklung an Dritte ausgelagert werden.

3.5 Vereinbarungen über den Datenaustausch zwischen Kunden und Mitarbeitern von Premier Continuum. Um den Schutz der Kundendaten zu gewährleisten, erfolgt der Datenaustausch über SSH-Tunnel oder durch einen direkten Download auf die Anwendung in der Produktion. Beziehen Sie sich auf das etablierte Verfahren.

3.6 Disziplinarmaßnahmen bei Verstößen gegen Informationssicherheitsmaßnahmen. Die Nichteinhaltung von Richtlinien, Verfahren oder Anweisungen zur Informationssicherheit führt zu Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses und zu rechtlichen Schritten. Das Management muss allen klar machen, dass Informationssicherheit nach wie vor ein kritisches Thema ist, das jederzeit Aufmerksamkeit verdient.

3.7 Minimale Komplexität von Passwörtern. Die Länge, Dauer und Komplexität von Passwörtern sollten immer automatisch überprüft werden, wenn Benutzer sie erstellen oder wenn sie auf IT-Infrastrukturen und -Systeme zugreifen.

3.8 Verbot der Rotation von Passwörtern. Benutzer sollten kein Passwort erstellen, das auf einer elementaren Zeichenfolge basiert und dann aufgrund des Datums oder eines anderen vorhersehbaren Faktors teilweise geändert wird.

3.9 Zuweisung von Anfangspasswörtern. Das von einem Sicherheitsadministrator vergebene Anfangspasswort darf nur für die erste Anmeldung des Benutzers gültig sein. Nach der ersten Anmeldung muss der Benutzer ein neues Passwort wählen.

3,10 Begrenzung der Anzahl aufeinanderfolgender Versuche, ein falsches Passwort einzugeben. Um zu verhindern, dass Personen Systeme angreifen, indem sie versuchen, Passwörter zu erraten, muss die Anzahl der Versuche streng begrenzt werden.

3,11 Verbot der Weitergabe eines Passworts. Ein Passwort sollte niemals an Dritte weitergegeben oder offengelegt werden, die nicht der autorisierte Benutzer sind. Ein autorisierter Benutzer, der gegen diese Richtlinie verstößt, kann für Handlungen haftbar gemacht werden, die andere durch die Offenlegung seines Passworts begehen könnten. Wenn Benutzer Daten, die sich auf einem Computer befinden, gemeinsam nutzen müssen, müssen sie E-Mail, öffentliche Verzeichnisse von lokalen Netzwerkservern und andere Methoden des Dateiaustauschs verwenden. Besteht Grund zu der Annahme, dass Passwörter offengelegt wurden, müssen sie geändert werden. Die Übertragung eines Benutzerkontos auf eine andere Person aufgrund der Abwesenheit des Inhabers wegen Krankheit oder Urlaub gilt nicht als Weitergabe des Passworts. Die Anleitung zur Kontoneuzuweisung befasst sich mit diesen speziellen Fällen und enthält Verfahren, um zu verhindern, dass mehrere Personen mit demselben Passwort auf dasselbe Konto zugreifen.

3,12 Benutzername und Passwort sind für den Zugriff auf ein Computernetzwerk erforderlich. Bevor Benutzer Computer verwenden dürfen, die mit einem Netzwerk verbunden sind, muss ihre Identität durch einen Benutzernamen und ein geheimes Passwort oder sogar durch eine andere Methode überprüft werden, die ein gleichwertiges oder höheres Maß an Sicherheit bietet.

3,13 Obligatorischer eindeutiger Benutzername und Passwort. Um auf einen Mehrbenutzercomputer, Telefonsysteme oder ein kontrolliertes Computernetzwerk zugreifen zu können, müssen alle Benutzer über einen Benutzercode und ein geheimes persönliches Passwort verfügen.

3,14 Passwort-Verschlüsselung. Passwörter müssen an allen Stellen im Netzwerk verschlüsselt werden. Diese Maßnahme umfasst auch permanente Dateien mit Passwörtern, temporäre Datenspeicherorte (z. B. Festplattenspeicher) sowie Netzwerk-Telekommunikationsleitungen und -geräte. Passwörter müssen auch verschlüsselt werden, wenn sie externe Telekommunikationskanäle (z. B. das Internet, drahtlose Geräte) passieren.

3,15 Datenklassifizierung, Sicherung und Zerstörung. Die Daten sind in die folgenden 5 Kategorien unterteilt:

• Ebene 1: Kundendaten (Primärserver)
• Ebene 2: Kundendaten (sekundärer Server)
• Stufe 3: Geschäftsdaten, die mit dem Kunden ausgetauscht werden
• Level 4: Entwicklungsdaten und Quellcode
• Ebene 5: Andere Daten

Kundendaten werden gemäß den im Vertrag festgelegten Standards oder 7 Jahre nach ihrer Änderung für die Stufen 1 und 2 vernichtet. Premier Continuum-Daten (3.4.5) können 7 Jahre nach ihrer Änderung vernichtet werden.

Nur die kritischen Ressourcen des Unternehmens werden auf einen externen sicheren Server übertragen, ansonsten sind diese in Bezug auf Kundeninformationen gemäß der individuellen vertraglichen Vereinbarung vorprogrammiert. In allen Fällen werden diese Übertragungen verschlüsselt und der Zugriff ist auf Administratoren der jeweiligen Systeme beschränkt.

3,16 Registratur Eine Aufzeichnung aller ISMS-bezogenen Aktivitäten wird gespeichert und verwaltet und durch interne Auditvalidierungen verifiziert.

3,17 Einhaltung. Ein internes Audit der in ISO 27000 aufgeführten Kontrollen ist jährlich durchzuführen. Penetration- und Schwachstellentests werden an allen Produktionssystemen durchgeführt. Weitere Informationen zu den durchgeführten Kontrollen finden Sie im Dokument zur Risikoanalyse und -behandlung. Darüber hinaus stellt Premier Continuum sicher, dass alle Vorschriften zur Informationssicherheit eingehalten werden und dass die personenbezogenen Daten seiner Mitarbeiter angemessen geschützt werden.

3,18 Verteilung und Verwaltung von Benutzerzugriffsrechten. Die Zuteilung der Zugriffsrechte muss den Pflichten und der Rolle des Mitarbeiters entsprechen, sodass nur der Zugriff gewährt wird, der für die Arbeit im Zusammenhang mit der besetzten Stelle erforderlich ist. Bei Bedarf kann ein Mitarbeiter vorübergehend zusätzlichen Zugang beim Sicherheitsteam beantragen, das die Anfrage prüft. Wenn das Team auf einen nicht identifizierten Bedarf aufmerksam wird, erfolgt entweder der Zugriff auf ein geeignetes Tool oder eine Überprüfung der Zugriffsrechte.

3,19 Verwaltung von Schlüsseln. Alle im Unternehmen verwendeten Signaturschlüssel müssen das Ergebnis einer Vereinbarung mit einem vertrauenswürdigen Drittanbieter vor Ort sein. Wenn letzterer dies nicht erzwingt, werden die Schlüssel jährlich erneuert oder sobald ein Verschlüsselungsschlüssel oder eine höhere Chiffre verfügbar ist. (DigiCert ist derzeit der gewählte Lieferant) Alle im Unternehmen verwendeten Signaturschlüssel müssen das Ergebnis einer Vereinbarung mit einem vertrauenswürdigen Drittanbieter vor Ort sein. Wenn letzterer dies nicht erzwingt, werden die Schlüssel jährlich erneuert.

Planung der Geschäftskontinuität

4.1 Obligatorische Einhaltung der Notfall-, Geschäftskontinuitäts- und Disaster-Recovery-Standards. Alle Geschäftsbereiche der Organisation müssen ihre Anforderungen gemäß dem Geschäftskontinuitätsplan von Premier Continuum planen und schriftlich mitteilen.

4.2 Methode zur Festlegung der Prioritäten für Katastrophenwiederherstellungsmaßnahmen. Eine effektive Wiederherstellung nach einer Unterbrechung basiert auf festgelegten Prioritäten, die während des Business Impact Analyse-Prozesses festgelegt wurden. Um eine angemessene Wiederherstellung zu ermöglichen, müssen alle Dienste bei der Entwicklung ihrer Kontinuitätspläne und Notfallwiederherstellungspläne dieselbe Methode anwenden.

4.3 Jährliche Bewertung der Kritikalität von Mehrbenutzeranwendungen. In Zusammenarbeit mit den relevanten Entscheidungsträgern muss der Lenkungsausschuss in regelmäßigen Abständen zusammen mit der IT-Abteilung die Bewertung der Kritikalität aller produktionsbezogenen Mehrbenutzeranwendungen überprüfen. Daher müssen geeignete Notfallwiederherstellungspläne erstellt werden.

4.4 Erstellung und Aktualisierung eines Disaster Recovery-Plans speziell für IT-Infrastrukturen und -Systeme. Das Business Continuum-Team von Premier Continuum muss seinen Disaster Recovery-Plan regelmäßig einhalten und umsetzen, damit alle wichtigen IT-Systeme und zugehörigen Infrastrukturen und Systeme gemäß den Wiederherstellungsprioritäten im Falle eines größeren Ausfalls oder Verlustes (z. B. Überschwemmung, Erdbeben) zugänglich sind. Die Ziele für die Geschäftskontinuität sollten grundlegende IT-Funktionen sowie die entsprechende grundlegende Unterstützung umfassen.

4,5 Erstellung und Aktualisierung eines Geschäftskontinuitätsplans. Das Business Continuum-Team von Premier Continuum muss seinen Geschäftskontinuitätsplan regelmäßig einhalten und umsetzen. In dem Plan sollte festgelegt werden, welche alternativen Einrichtungen (Arbeitsbereiche, Ausrüstung, Systeme) geplant sind, damit die Mitarbeiter im Notfall- oder Katastrophenfall weiterarbeiten können.

Richtlinie in Bezug auf die Änderungskontrolle

5.1 Trennung von Produktions-, Qualitätssicherungs- und Entwicklungsumgebungen. Entwicklung von Nachrichtenanwendungen, Qualitätssicherung und Produktion müssen getrennt sein. Wenn ausreichend Platz zur Verfügung steht, muss diese Trennung zur Installation von Software auf getrennten IT-Systemen führen. Wo eine solche Installation aufgrund der Beschaffenheit der Räumlichkeiten nicht möglich ist, müssen separate passwortgeschützte Verzeichnisse und Bibliotheken verwendet werden. Die Übertragung von Informationen zwischen verschiedenen Umgebungen wird kontrolliert (Authentifizierung erforderlich).

Der gesamte Zugriff zwischen Remote-Servern (zwischen ihnen) und dem Desktop (bei Telearbeit oder mobilem VPN) wird ebenfalls verschlüsselt, um Anwendungen oder andere Daten bei der Übertragung auf sichere Server zu schützen. (z. B. VPN, wenn extern, SSH-Tunnel, dann endlich ein RDP oder VNC auf dem Server). Firewallregeln sind so konzipiert, dass sie keine RDP- oder VNC-Ports verfügbar machen, sondern nur den SSH-Port.

Bei Webdateien werden sie auch für die Übertragung verschlüsselt, um Informationen zu schützen, auf die über Port 443 (WebDAV, WebFolder) zugegriffen werden kann. Andernfalls muss ein Tunnel den Zugriff darauf ermöglichen, wie beim Direktzugriff (FTP).

5.2 Trennung von Produktions-, Qualitätssicherungs- und Entwicklungsaufgaben. Die Aufgaben werden vom IT-Architekten zugewiesen und, wenn möglich, aufgeteilt. Die Aufgaben werden in einem Projektmanagementsystem aufgezeichnet. IT-Mitarbeiter müssen sich auf jeder Plattform authentifizieren. Die Trennung von Aufgaben und Zugriff auf Unternehmensressourcen ist durch Gruppen oder Funktionen innerhalb des Unternehmens begrenzt, da es sich bei den Vermögenswerten hauptsächlich um digitale Vermögenswerte handelt. Diese Trennung erfolgt durch die Zugriffsrechte und die auf sie bezogenen Richtlinien.

5.3 Obligatorische Prüfung vor dem Transfer der Module in die Produktionsumgebung. Ausführbare Module aus Testbibliotheken sollten niemals direkt in Produktionsbibliotheken übertragen werden. Vollständig bewährte Module sollten überprüft werden, bevor sie in Produktionsbibliotheken übertragen werden.

5.4 Formeller Mechanismus zur Änderungskontrolle, der für Geschäftsanwendungen erforderlich ist. Ein formeller Mechanismus zur Änderungskontrolle ist erforderlich, um sicherzustellen, dass die gesamte Geschäftsanwendungssoftware, die sich in der Entwicklung befindet oder sich in der Phase der Qualitätssicherung befindet, erst dann in Produktion geht, wenn sie vom IT-Management und den Geschäftsbenutzern ordnungsgemäß autorisiert wurde.

Politik in Bezug auf vom Endnutzer entwickelte Informationen und Systeme

6.1 Überprüfung der Entwicklung benutzerdefinierter Produktionssysteme. Bevor sie für die Produktion verwendet werden kann, muss jede Software, die sich mit sensiblen oder wesentlichen Informationen befasst und von Endbenutzern entwickelt wurde, von Kontrollen und Dokumentationen begleitet werden, die von der IT-Sicherheitsabteilung überprüft wurden.

6.2 Überprüfung der Unternehmensinformationen, die auf oder außerhalb von Premier Continuum zur Verfügung gestellt werden. Anträge auf Einreichung unternehmenseigener Informationen in einem öffentlichen Bereich wie dem Internet oder einer Informationsinfrastruktur Dritter müssen vom Information Security Committee von Premier Continuum genehmigt werden. Die Infrastruktur von Drittanbietern wird einer Sicherheitsanalyse unterzogen.

6.3 Autorisierte Kopien von Software. Es ist verboten, die Software von Drittanbietern zu kopieren, die sich im Besitz des Unternehmens befindet. Sofern die Kopie nicht den entsprechenden Lizenzvereinbarungen entspricht, muss sie vom Management genehmigt werden und nur die Anforderungen an die Geschäftskontinuität erfüllen.

6.4 Die verbotene Verwendung von persönlicher Software, freier Software, freier Software und Spielen ist auf Premier Continuum-Computern nicht gestattet. Kostenlose Spiele und Software SOLLTE NICHT ohne die formelle Genehmigung des IT-Sicherheitsausschusses auf den Computersystemen von Premier Continuum gespeichert oder verwendet werden.

6,5 Erste Kopien von Computersoftware und Backup. Die gesamte Software muss vor der ersten Verwendung kopiert oder geklont werden. Kopien müssen an einem sicheren Ort aufbewahrt werden. Diese Masterkopien können nicht für die üblichen kommerziellen Aktivitäten verwendet werden. Sie sind ausschließlich Wiederherstellungsaktivitäten vorbehalten.

6.6 Regelmäßige Überprüfung der Softwarelizenzverträge. Die Einhaltung aller Computerprogramme von Drittanbietern muss regelmäßig bestätigt werden.

6.7 Vertrauliche Informationen auf IT-Geräten. Vertrauliche Informationen, die auf der Festplatte, USB-Sticks oder anderen internen Komponenten eines PCs gespeichert sind, müssen durch eine physische Sperre oder ein Verschlüsselungssystem oder beides geschützt werden. Wenn diese Komponenten nicht verwendet werden, müssen sie gemäß der höchsten für sie relevanten Sicherheitsklassifizierung behandelt und aufbewahrt werden.

Validierung

7.1 Überprüfung der IT-Infrastruktur und IT-Systeme. Ein Dritter muss regelmäßig die Angemessenheit der Kontrollen an Computersystemen analysieren und sicherstellen, dass sie den Vorschriften entsprechen.

Materielle Sicherheit

8.1 Hardware-Sicherheitsmaßnahmen für Computer und Kommunikationssysteme. Gebäude, in denen Computer oder Kommunikationssysteme untergebracht sind, müssen durch physische Sicherheitsmaßnahmen geschützt werden, die den Zugang unbefugter Personen verhindern.

8.2. Transport von Material außerhalb des Standorts. Material, Informationen oder Software sollten nicht ohne vorherige Genehmigung des Lenkungsausschusses von den Räumlichkeiten entfernt werden.

8.3. Zerstörung von Geräten. Jede Hardware, die Speichermedien enthält, muss überprüft werden, um sicherzustellen, dass alle vertraulichen Daten entfernt wurden und dass jegliche lizenzierte Software sicher deinstalliert oder zerkleinert wurde, bevor sie entsorgt wird.

‍