Tuist Handbook

Deutsch

English
Español

Deutsch

English
Español

Appearance

Informationssicherheitsrichtlinie

  • Richtlinienverantwortlicher: Pedro Piñera Buendía
  • Datum des Inkrafttretens: 28. August 2024

Überblick

Diese Informationssicherheitsrichtlinie dient dem Schutz von Mitarbeitern und Partnern von Tuist GmbH sowie dem Unternehmen selbst vor illegalen oder schädigenden Handlungen von Einzelpersonen, die entweder wissentlich oder unwissentlich vorgenommen werden.

Internet/Intranet/Extranet-bezogene Systeme, einschließlich, aber nicht beschränkt auf Computerausrüstung, Software, Betriebssysteme, Speichermedien, Netzwerkkonten, die elektronische Post, Web-Browsing und Dateiübertragungen bereitstellen, sind Eigentum von Tuist GmbH. Diese Systeme sind für geschäftliche Zwecke zu verwenden, um den Interessen des Unternehmens sowie der Kunden und Auftraggeber im Rahmen des normalen Betriebs zu dienen.

Effektive Sicherheit ist eine Teamleistung, die die Teilnahme und Unterstützung jedes Mitarbeiters oder Auftragnehmers von Tuist GmbH beinhaltet, der sich mit Informationen und/oder Informationssystemen befasst. Es liegt in der Verantwortung jedes Teammitglieds, diese Richtlinie zu lesen und zu verstehen und seine Aktivitäten entsprechend durchzuführen.

Zweck

Der Zweck dieser Richtlinie besteht darin, unsere Informationssicherheitsrichtlinien zu kommunizieren und die akzeptable Verwendung und den Schutz der Informationen und Vermögenswerte von Tuist GmbH zu erläutern. Diese Regeln dienen dem Schutz von Kunden, Mitarbeitern und Tuist GmbH. Eine unangemessene Verwendung setzt Tuist GmbH Risiken wie Virenangriffen, einer Beeinträchtigung von Netzwerksystemen und -diensten, finanziellen und Reputationsrisiken sowie rechtlichen und Compliance-Problemen aus.

Die „Informationssicherheitsrichtlinie“ von Tuist GmbH umfasst diese Richtlinie und alle Richtlinien von Tuist GmbH, auf die in diesem Dokument verwiesen und/oder verlinkt wird.

Umfang

Diese Richtlinie gilt für die Nutzung von Informationen, elektronischen Geräten, Computern und Netzwerkressourcen, um die Geschäfte von Tuist GmbH zu tätigen oder mit internen Netzwerken und Geschäftssystemen zu interagieren, unabhängig davon, ob diese im Besitz von Tuist GmbH, des Mitarbeiters oder eines Dritten sind oder von diesem geleast wurden. Alle Mitarbeiter, Auftragnehmer, Berater, Zeitarbeiter und andere Beschäftigte von Tuist GmbH und seinen Tochtergesellschaften sind dafür verantwortlich, ein gutes Urteilsvermögen hinsichtlich der angemessenen Nutzung von Informationen, elektronischen Geräten und Netzwerkressourcen in Übereinstimmung mit den Richtlinien und Standards von Tuist GmbH sowie lokalen Gesetzen und Vorschriften walten zu lassen.

Diese Richtlinie gilt für Mitarbeiter, Auftragnehmer, Berater, Zeitarbeiter und andere Beschäftigte von Tuist GmbH, einschließlich aller Mitarbeiter, die mit Dritten verbunden sind. Diese Richtlinie gilt für alle von Tuist GmbH kontrollierten Unternehmens- und Kundendaten sowie für alle Geräte, Systeme, Netzwerke und Software, die im Besitz von Tuist GmbH sind oder von diesem geleast werden.

Berichterstattung über Sicherheitsvorfälle

Alle Benutzer müssen bekannte oder vermutete Sicherheitsereignisse oder -vorfälle melden, einschließlich Richtlinienverstöße und beobachtete Sicherheitslücken. Vorfälle müssen umgehend oder so schnell wie möglich gemeldet werden, indem sie an per E-Mail an [email protected] gesendet werden.

Bitte beschreiben Sie in Ihrer E-Mail den Vorfall oder die Beobachtung zusammen mit allen relevanten Details.

Anonyme Betrugsmeldung durch Whistleblower

Unsere Whistleblower-Richtlinie soll Mitarbeiter und andere ermutigen und befähigen, intern ernsthafte Bedenken zu äußern, damit wir auf unangemessenes Verhalten und unangemessene Handlungen reagieren und entsprechende Korrekturen vornehmen können. Es liegt in der Verantwortung aller Mitarbeiter, Bedenken über Verstöße gegen unseren Ethikkodex oder mutmaßliche Verstöße gegen Gesetze oder Vorschriften, die unsere Geschäftstätigkeit regeln, zu melden.

Es steht im Widerspruch zu unseren Werten, Vergeltungsmaßnahmen gegen Mitarbeiter zu ergreifen, die in gutem Glauben einen Verstoß gegen ethische Grundsätze oder einen mutmaßlichen Gesetzesverstoß melden, wie z. B. eine Beschwerde wegen Diskriminierung, mutmaßlichen Betrugs oder mutmaßlichen Verstoßes gegen eine Vorschrift. Ein Mitarbeiter, der sich an jemandem rächt, der einen Verstoß in gutem Glauben gemeldet hat, unterliegt Disziplinarmaßnahmen bis hin zur Beendigung des Arbeitsverhältnisses.

Anonyme Meldungen können über https://opnform.com/forms/my-form-r0muos eingereicht werden.

Richtlinie für mobile Geräte

Alle Endbenutzergeräte (z. B. Mobiltelefone, Tablets, Laptops, Desktop-Computer) müssen diesen Richtlinien entsprechen. Mitarbeiter müssen beim Öffnen von E-Mail-Anhängen von unbekannten Absendern, die möglicherweise Malware enthalten, äußerste Vorsicht walten lassen.

Kennwörter auf System- und Benutzerebene müssen der Zugangskontrollrichtlinie entsprechen. Es ist verboten, einer anderen Person Zugang zu gewähren, sei es absichtlich oder durch das Versäumnis, ein Gerät zu sichern.

Alle Endbenutzer-, persönlichen (BYOD) oder unternehmenseigenen Geräte, die für den Zugriff auf Informationssysteme von Tuist GmbH (z. B. E-Mail) verwendet werden, müssen die folgenden Regeln und Anforderungen erfüllen:

  • Geräte müssen mit einem durch ein Passwort (oder einer äquivalenten Kontrolle wie einem biometrischen Identifikator) geschützten Bildschirmschoner oder einer Bildschirmsperre nach bei 5 Minuten Nichtbenutzung geschützt werden.
  • Geräte müssen gesperrt werden, wenn sie unbeaufsichtigt sind.
  • Benutzer müssen jeden mutmaßlichen Missbrauch oder Diebstahl eines Mobilgeräts unverzüglich der CEO melden.
  • Vertrauliche Informationen dürfen nicht auf Mobilgeräten oder USB-Laufwerken gespeichert werden (dies gilt nicht für geschäftliche Kontaktdaten, z. B. Namen, Telefonnummern und E-Mail-Adressen).
  • Mobilgeräte, die für den Zugriff auf Unternehmensressourcen (wie Dateifreigaben und E-Mails) verwendet werden, dürfen nicht mit anderen Personen geteilt werden.
  • Nach der Kündigung erklären sich Benutzer damit einverstanden, alle unternehmenseigenen Geräte zurückzugeben und alle Unternehmensinformationen und Konten von persönlichen Geräten zu löschen.

Richtlinie für einen freien Schreibtisch und einen freien Bildschirm („Clear Screen Clear Desk“)

Die Nutzer dürfen vertrauliche Materialien nicht ungesichert auf ihrem Schreibtisch oder Arbeitsplatz liegen lassen und müssen sicherstellen, dass Bildschirme gesperrt sind, wenn sie nicht benutzt werden.

Richtlinie für Remote-Arbeit und -Zugriff

Remote-Arbeit bezieht sich auf jede Situation, in der Mitarbeiter des Unternehmens von Standorten außerhalb des Büros aus arbeiten. Dazu gehören Telearbeit, Teleheimarbeit, flexible Arbeitsplätze, virtuelle Arbeitsumgebungen und Fernwartung. Laptops und andere Computerressourcen, die für den Zugriff auf das Netzwerk von Tuist GmbH verwendet werden, müssen den Sicherheitsanforderungen entsprechen, die in den Richtlinien zur Informationssicherheit von Tuist GmbH genannt sind und ferner den folgenden Standards entsprechen:

  • Bei der Remote-Arbeit sind die Regeln des Unternehmens zu befolgen, einschließlich klarer Schreibtischprotokolle, Druckvorgänge, Entsorgung von Gegenständen und Meldung von Ereignissen im Bereich der Informationssicherheit, um den Missbrauch oder die versehentliche Preisgabe vertraulicher Informationen zu verhindern.
  • Um sicherzustellen, dass mobile Geräte kein kompromittiertes Gerät mit dem Unternehmensnetzwerk verbinden, erfordern Antivirus-Richtlinien die Nutzung und Durchsetzung von clientseitiger Antivirus-Software.
  • Die Antivirensoftware muss so konfiguriert sein, dass sie bösartige Software erkennt und verhindert oder unter Quarantäne stellt, regelmäßige System-Scans durchführt und automatische Updates aktiviert hat.
  • Die Verwendung eines VPN bei der Übertragung vertraulicher Informationen über öffentliches WLAN vorschreiben, um mögliche Lauschangriffe oder Man-in-the-Middle-Angriffe zu verhindern.
  • Wenn von einem Heimnetzwerk aus gearbeitet wird, ist sicherzustellen, dass die Standard-WLAN-Einstellungen geändert werden, z. B. Name, Passwort und Administratorzugriff.
  • Für Systemadministratoren ist es ratsam, ein arbeitsbezogenes Netzwerk mit starker WPA3-Verschlüsselung oder zumindest WPA2 mit robustem Kennwort einzurichten, sowie, falls unterstützt, ein dediziertes VLAN einzurichten. Darüber hinaus sollten WPS (Wi-Fi Protected Setup) und UPnP (Universal Plug and Play) deaktiviert werden, wenn diese nicht ausdrücklich erforderlich sind.
  • Benutzer dürfen keine Verbindung zu einem externen Netzwerk herstellen, ohne dass eine sichere, aktuelle Software-Firewall auf dem mobilen Computer konfiguriert ist.
  • Benutzern ist es untersagt, Sicherheitskontrollen des Unternehmens wie persönliche Firewalls oder Antivirus-Software auf Systemen, die für den Zugriff auf die Ressourcen von Tuist GmbH verwendet werden, zu ändern oder zu deaktivieren.
  • Die Nutzung von Software und/oder Diensten für den Remote-Zugang (z. B. VPN-Client) ist zulässig, solange sie vom Unternehmen bereitgestellt und für die Multi-Faktor-Authentifizierung (MFA) konfiguriert wird.
  • Nicht autorisierte Remote-Zugriffstechnologien dürfen nicht verwendet oder auf einem System von Tuist GmbH installiert werden.
  • Benutzer sollten bei der Übertragung vertraulicher Informationen über öffentliches WLAN ein VPN verwenden.
  • Wenn Sie von einem öffentlichen Computer aus darauf zugreifen (z. B. von einem Business Center, Hotel usw.), melden Sie sich von der Sitzung ab und speichern Sie nichts. Markieren Sie nicht „An mich erinnern“, nehmen Sie alle gedruckten Materialien mit und laden Sie keine Dateien in ein System herunter, das nicht von Tuist GmbH kontrolliert wird.

Richtlinie zur akzeptablen Nutzung

Eigentums- und Kundeninformationen von Tuist GmbH, die auf elektronischen Geräten und Computern gespeichert sind, unabhängig davon, ob sie Tuist GmbH, dem Mitarbeiter oder einem Dritten gehören oder von ihm ausgeliehen wurden, bleiben im Sinne dieser Richtlinie das alleinige Eigentum von Tuist GmbH. Mitarbeiter und Auftragnehmer müssen durch rechtliche oder technische Mittel sicherstellen, dass geschützte Informationen in Übereinstimmung mit der Datenverwaltungsrichtlinie geschützt werden. Die Nutzung von NextCloud für die Speicherung von Geschäftsdateien ist für Nutzer von Laptops oder vom Unternehmen ausgegebenen Geräten erforderlich. Das Speichern wichtiger Dokumente auf dem Dateifreigabesystem ist die Art und Weise, wie Sie Ihren Laptop „sichern“.

Sie sind dafür verantwortlich, den Diebstahl, den Verlust oder die unbefugte Offenlegung von geschützten Informationen oder Ausrüstung von Tuist GmbH unverzüglich zu melden. Sie dürfen auf geschützte Informationen von Tuist GmbH nur in dem Umfang zugreifen, diese verwenden oder weitergeben, soweit dies zur Erfüllung Ihrer zugewiesenen Aufgaben autorisiert und erforderlich ist. Die Mitarbeiter sind dafür verantwortlich, ein gutes Urteilsvermögen hinsichtlich der Angemessenheit des persönlichen Gebrauchs der vom Unternehmen bereitgestellten Geräte an den Tag zu legen.

Zu Sicherheits- und Netzwerkwartungszwecken können autorisierte Personen innerhalb von Tuist GmbH Geräte, Systeme und Netzwerkdatenverkehr jederzeit überwachen.

Tuist GmbH behält sich das Recht vor, Netzwerke und Systeme regelmäßig zu prüfen, um die Einhaltung dieser Richtlinie sicherzustellen.

Unzulässige Nutzung

Die folgenden Aktivitäten sind generell verboten. Mitarbeiter können im Rahmen ihrer legitimen beruflichen Verantwortlichkeiten mit ordnungsgemäß dokumentierter Genehmigung des Managements von diesen Einschränkungen befreit werden. Unter keinen Umständen ist ein Mitarbeiter von Tuist GmbH berechtigt, Aktivitäten durchzuführen, die nach lokalem, staatlichem, bundesstaatlichem oder internationalem Recht illegal sind, während er Ressourcen von Tuist GmbH nutzt oder Tuist GmbH in irgendeiner Eigenschaft vertritt. Die nachstehende Liste erhebt keinen Anspruch auf Vollständigkeit, sondern versucht, einen Rahmen für Aktivitäten zu schaffen, die in die Kategorie der inakzeptablen Nutzung fallen.

Die folgenden Aktivitäten sind ausnahmslos strengstens untersagt:

  1. Verletzungen der Rechte von Personen oder Unternehmen, die durch Urheberrechte, Geschäftsgeheimnisse, Patente oder andere geistige Eigentumsrechte oder ähnliche Gesetze oder Vorschriften geschützt sind, einschließlich, aber nicht beschränkt auf die Installation oder Verbreitung von „raubkopierten“ oder anderen Softwareprodukten, die nicht ordnungsgemäß für die Verwendung durch Tuist GmbH lizenziert sind
  2. Unbefugtes Kopieren urheberrechtlich geschützter Materialien, einschließlich, aber nicht beschränkt auf Digitalisierung und Verbreitung von Fotos aus Zeitschriften, Büchern oder anderen urheberrechtlich geschützten Quellen, urheberrechtlich geschützter Musik und der Installation urheberrechtlich geschützter Software, für die Tuist GmbH oder der Endbenutzer keine aktive Lizenz hat
  3. Der Zugriff auf Daten, einen Server oder ein Konto zu einem anderen Zweck als zu der Durchführung von Geschäften von Tuist GmbH ist untersagt, selbst wenn eine Zugangsberechtigung vorliegt.
  4. Das Exportieren von Software, technischen Informationen, Verschlüsselungssoftware oder Technologie, die gegen internationale oder regionale Exportkontrollgesetze verstoßen, ist rechtswidrig. Vor der Ausfuhr von fraglichen Materialien müssen die zuständigen Führungskräfte konsultiert werden.
  5. Die Einführung von Schadprogrammen in das Netzwerk oder in Systeme (z. B. Viren, Würmer, Trojaner, E-Mail-Bomben usw.)
  6. Die Weitergabe Ihres Kontopassworts an andere oder Zulassen der Nutzung Ihres Kontos durch andere. Dies schließt Familienangehörige und andere Haushaltsmitglieder ein, wenn zu Hause gearbeitet wird.
  7. Nutzung eines Computers von Tuist GmbH, um aktiv Material zu beschaffen oder zu übertragen, das gegen die Gesetze zur sexuellen Belästigung oder zum Schutz des Arbeitsplatzes verstößt
  8. Betrügerisches Anbieten von Produkten, Artikeln oder Dienstleistungen von einem Konto von Tuist GmbH
  9. Abgabe von ausdrücklichen oder stillschweigenden Erklärungen zur Garantie, es sei denn, dies gehört zu den normalen beruflichen Pflichten
  10. Verursachen von Sicherheitsverstößen oder Unterbrechungen der Netzkommunikation. Zu den Sicherheitsverstößen gehören unter anderem der Zugriff auf Daten, für den der Mitarbeiter nicht berechtigt ist, oder das Einloggen auf einen Server oder ein Konto, für den bzw. das der Mitarbeiter nicht ausdrücklich befugt ist, es sei denn, diese Aufgaben gehören zu seinen regulären Aufgaben. Für die Zwecke dieses Abschnitts umfasst der Begriff „Störung“ unter anderem Netzwerk-Sniffing, Ping Floods, Packet Spoofing, Denial of Service und gefälschte Routing-Informationen für böswillige Zwecke.
  11. Port-Scanning oder Security-Scanning ist ausdrücklich untersagt, es sei denn, das Technikteam vom Tuist GmbH wurde vorher informiert.
  12. Durchführung jeglicher Form der Netzüberwachung, bei der Daten abgefangen werden, die nicht für den Host des Mitarbeiters bestimmt sind, es sei denn, diese Tätigkeit ist Teil der normalen Arbeit/Pflicht des Mitarbeiters
  13. Umgehung der Benutzerauthentifizierung oder Sicherheit von Hosts, Netzwerken oder Konten
  14. Einführung von Honeypots, Honeynets oder ähnlichen Technologien im Netzwerk von Tuist GmbH
  15. Beeinträchtigung oder Verweigerung des Dienstes für andere Benutzer als den Host des Mitarbeiters (z. B. Denial-of-Service-Angriff)
  16. Die Verwendung von Programmen/Skripten/Befehlen oder das Versenden von Nachrichten jeglicher Art mit der Absicht, die Sitzung eines Benutzers zu stören oder zu deaktivieren, egal mit welchen Mitteln
  17. Nicht genehmigte Weitergabe von Informationen über oder Listen von Mitarbeitern, Auftragnehmern, Partnern oder Kunden von Tuist GmbH an Parteien außerhalb von Tuist GmbH

E-Mail- und Kommunikationsaktivitäten

Bei der Nutzung von Unternehmensressourcen für den Zugang zum Internet und die Nutzung des Internets müssen sich die Nutzer bewusst sein, dass sie das Unternehmen repräsentieren und sich entsprechend verhalten.

Die folgenden Aktivitäten sind ausnahmslos strengstens untersagt:

  1. Versenden unerwünschter E-Mail-Nachrichten, einschließlich des Versendens von „Junk-Mail“ oder anderem Werbematerial an Personen, die solches Material nicht ausdrücklich angefordert haben (E-Mail-Spam)
  2. Jede Form von Belästigung per E-Mail, Telefon oder SMS, ob durch Formulierung, Häufigkeit oder Größe der Nachrichten
  3. Unerlaubte Verwendung oder Fälschung von E-Mail-Kopfdaten
  4. Das Anfordern von E-Mails an andere E-Mail-Adressen als die des Posterkontos mit der Absicht, zu belästigen oder Antworten zu sammeln
  5. Erstellen oder Weiterleiten von „Kettenbriefen“, „Ponzi“- oder anderen „Schneeballsystemen“ jeglicher Art
  6. Verwendung unerbetener E-Mails, die von Netzwerken von Tuist GmbH oder anderen Dienstanbietern im Namen von Tuist GmbH oder zur Werbung für einen von Tuist GmbH gehosteten oder über das Netzwerk des Unternehmens verbundenen Dienst stammen.

Zusätzliche Richtlinien und Verfahren, die durch Bezugnahme einbezogen werden

Die Mitarbeiter sind dafür verantwortlich, alle Richtlinien zu lesen und einzuhalten, die für ihre Rollen und Verantwortlichkeiten relevant sind.

RolleZweck
ZugangskontrollrichtlinieBeschränkung des Zugangs zu Informationen und Informationsverarbeitungssystemen, Netzwerken und Einrichtungen auf autorisierte Parteien gemäß den Geschäftszielen.
VermögensverwaltungsrichtlinieIdentifizierung von Vermögenswerten des Unternehmens und Definition angemessener Schutzverantwortungen
Plan zur Aufrechterhaltung des Geschäftsbetriebs und zur NotfallwiederherstellungVorbereitung von Tuist GmbH auf längere Serviceausfälle, die durch Faktoren verursacht werden, die außerhalb unserer Kontrolle liegen (z. B. Naturkatastrophen, vom Menschen verursachte Ereignisse), und darauf die Dienste in einem möglichst kurzen Zeitraum wiederherzustellen
Richtlinien für KryptographieGewährleistung eines ordnungsgemäßen und effektiven Einsatzes von Kryptografie zum Schutz der Vertraulichkeit, Authentizität und/oder Integrität von Informationen
Richtlinie zur DatenverwaltungSicherstellen, dass Informationen entsprechend ihrer Bedeutung für das Unternehmen klassifiziert und geschützt werden
Richtlinie für das PersonalwesenSicherstellen, dass Mitarbeiter und Auftragnehmer die Sicherheitsanforderungen erfüllen, ihre Verantwortlichkeiten verstehen und für ihre Rollen geeignet sind
Plan zur Reaktion auf ZwischenfälleRichtlinien und Verfahren für vermutete oder bestätigte Sicherheitsvorfälle
Sicherheitspolitik für den BetriebGewährleistung des korrekten und sicheren Betriebs von Informationsverarbeitungssystemen und -einrichtungen
Physische SicherheitspolitikVerhindern von unbefugtem physischem Zugriff oder Beschädigung der Informations- und Informationsverarbeitungseinrichtungen des Unternehmens
Richtlinien für das RisikomanagementDefinition des Prozesses zur Bewertung und Verwaltung von Informationssicherheitsrisiken von Tuist GmbH, um die Geschäfts- und Informationssicherheitsziele des Unternehmens zu erreichen
Sichere EntwicklungspolitikGewährleisten, dass die Informationssicherheit innerhalb des Entwicklungszyklus von Anwendungen und Informationssystemen konzipiert und umgesetzt wird
Richtlinie zur Verwaltung von DrittanbieternSicherstellen des Schutzes der Daten und Vermögenswerte des Unternehmens, die mit Zulieferern geteilt werden, auf die diese Zugriff haben oder die von ihnen verwaltet werden, einschließlich externer Parteien oder Drittorganisationen wie Dienstleistern, Verkäufern und Kunden, und Aufrechterhaltung eines vereinbarten Niveaus der Informationssicherheit und der Leistungserbringung in Übereinstimmung mit den Zulieferervereinbarungen

Einhaltung von Richtlinien

Tuist GmbH überprüft die Einhaltung dieser Richtlinie durch verschiedene Methoden, einschließlich, aber nicht beschränkt auf, laufende Überwachung sowie interne und externe Audits.

Ausnahmen

Anträge auf eine Ausnahme von dieser Richtlinie müssen dem CEO zur Genehmigung eingereicht werden.

Verstöße und Durchsetzung

Alle bekannten Verstöße gegen diese Richtlinie müssen CEO gemeldet werden. Verstöße gegen diese Richtlinie können zum sofortigen Entzug oder zur Aussetzung von System- und Netzwerkberechtigungen und/oder zu Disziplinarmaßnahmen gemäß den Unternehmensverfahren bis hin zur Beendigung des Arbeitsverhältnisses führen.

Versionsverlauf

Die Versionsgeschichte dieses Dokuments ist im Handbook-Repository von Tuist GmbH zu finden.