Richtlinie zu Informationssicherheitsrollen und Verantwortlichkeiten
- Richtlinienverantwortlicher: Pedro Piñera Buendía
- Datum des Inkrafttretens: 2. September 2024
Erklärung der Richtlinie
Tuist GmbH verpflichtet sich, Geschäfte in Übereinstimmung mit allen geltenden Gesetzen, Vorschriften und Unternehmensrichtlinien zu führen. Tuist GmbH hat diese Richtlinie übernommen, um die Sicherheitsmaßnahmen zu beschreiben, die erforderlich sind, um elektronische Informationssysteme und zugehörige Geräte vor unbefugter Verwendung zu schützen.
Zielsetzung
Diese Richtlinie und die damit verbundenen Leitlinien legen die Rollen und Verantwortlichkeiten innerhalb von Tuist GmbH fest, was für eine effektive Kommunikation von Informationssicherheitsrichtlinien und -standards von entscheidender Bedeutung ist. Innerhalb des Unternehmens sind Rollen erforderlich, um klar definierte Verantwortlichkeiten und ein Verständnis dafür zu schaffen, wie der Schutz von Informationen erreicht werden soll. Ihr Zweck ist es, Aktivitäten und Maßnahmen zu klären und zu koordinieren, die zur Verbreitung von Sicherheitsrichtlinien, -standards und -implementierungen erforderlich sind.
Anwendbarkeit
Diese Richtlinie gilt für alle Infrastrukturen, Netzwerksegmente, Systeme von Tuist GmbH sowie für Mitarbeiter und Auftragnehmer, die Sicherheits- und IT-Funktionen bereitstellen.
Zielgruppe
Die Zielgruppe für diese Richtlinie umfasst alle Mitarbeiter und Auftragnehmer von Tuist GmbH, die am Informationssicherheitsprogramm beteiligt sind. Die Kenntnis dieser Richtlinie gilt für alle anderen Beauftragten von Tuist GmbH mit Zugang zu Informationen und der Infrastruktur von Tuist GmbH. Dazu gehören unter anderem Partner, verbundene Unternehmen, Auftragnehmer, Zeitarbeitnehmer, Auszubildende, Gäste und Freiwillige. Die Titel werden im Folgenden zusammenfassend als „Tuist GmbH Community“ bezeichnet.
Rollen und Zuständigkeiten
| Rollen | Verantwortlichkeiten |
|---|---|
| Vorstand | - Überwachung von Cyberrisiken und interne Kontrolle für Informationssicherheit, Datenschutz und Compliance. - Berät sich mit der Geschäftsleitung, um die IT-Aufgaben und -Risiken von Tuist GmbH zu verstehen, und bietet Anleitung, um Geschäfts-, IT- und Sicherheitsziele in Einklang zu bringen. |
| Führungskräfte | - Genehmigt Investitionsausgaben für Programme und Initiativen im Bereich Informationssicherheit und Datenschutz. - Aufsicht über die Durchführung des Programms für das Datenschutz- und Risikomanagement der Informationssicherheit und die Risikobehandlung. - Kommunikationspfad zum Tuist GmbH Vorstand. - Ausrichtung der Informationssicherheits- und Datenschutzrichtlinie und ihrer Haltung an den Aufgaben, den strategischen Zielen und der Risikobereitschaft von Tuist GmbH. |
| IT-Manager | - Überwachung der Implementierung von Informationssicherheitskontrollen für Infrastruktur- und IT-Prozesse. - Verantwortlich für Design, Entwicklung, Implementierung, Betrieb, Pflege und Überwachung von IT-Sicherheitskontrollen. - Stellt sicher, dass die IT das Rahmenwerk für die Informationssicherheit in die Praxis umsetzt. - Verantwortlich für die Durchführung von IT-Risikobewertungen, Dokumentation der identifizierten Bedrohungen und Aufrechterhaltung des Risikoregisters. - Kommuniziert Informationssicherheitsrisiken an die Geschäftsleitung. - Meldet jährlich Informationssicherheitsrisiken an die Führungsebene von Tuist GmbH und erhält Genehmigungen, um Risiken auf ein akzeptables Niveau zu bringen. - Koordiniert die Entwicklung und Pflege von Informationssicherheitsrichtlinien und -standards. - Arbeitet mit der zuständigen Geschäftsleitung zusammen, um einen Informationssicherheitsrahmen und ein Sensibilisierungsprogramm zu etablieren. - Bindeglied zum Vorstand, zur Strafverfolgung, zur Innenrevision und zum General Counsel. - Überwachung der Identitätsmanagement- und Zugriffskontrollprozesse. |
| VP of Engineering | - Überblick über die Informationssicherheit im Softwareentwicklungsprozess. - Verantwortlich für Design, Entwicklung, Implementierung, Betrieb, Pflege und Überwachung von Entwicklungs- und kommerziellen Cloud-Hosting-Sicherheitskontrollen. - Verantwortlich für die Überwachung der Richtlinienentwicklung in Bezug auf Systeme und Software unter ihrer Kontrolle. - Verantwortlich für die Implementierung des Risikomanagements im Entwicklungsprozess im Einklang mit den Unternehmenszielen. |
| Compliance Manager | - Verantwortlich für die Einhaltung der vertraglichen Verpflichtungen des Unternehmens. - Verantwortlich für die Einhaltung der einschlägigen Gesetze und Vorschriften zum Datenschutz und zur Informationssicherheit (z. B. DSGVO, CCPA). - Verantwortlich für die Einhaltung der vom Unternehmen verabschiedeten Standards und Rahmenwerke für Informationssicherheit und Datenschutz, einschließlich SOC 2, ISO 27001 und den Microsoft Supplier Data Protection Requirements (DPR). |
| VP of Global Customer Support | - Beaufsichtigung und Implementierung, Betrieb und Überwachung von Informationssicherheitswerkzeugen und -prozessen in Produktionsumgebungen von Kunden. - Durchführung von Prozessen zur Aufbewahrung und Löschung von Kundendaten gemäß den Unternehmensrichtlinien und Kundenanforderungen. |
| Systemeigentümer | - Erhaltung von Vertraulichkeit, Integrität und Verfügbarkeit der Informationssysteme, für die sie verantwortlich sind, in Übereinstimmung mit den Richtlinien von Tuist GmbH zu Informationssicherheit und Datenschutz. - Genehmigung von technischen Zugriffs- und Änderungsanforderungen für nicht standardmäßigen Zugriff auf Systeme unter ihrer Kontrolle. |
| Tuist GmbH Mitarbeiter, Auftragnehmer, Zeitarbeiter usw. | - Stetiges Handeln in einer Weise, die die Gesundheit und Sicherheit von sich selbst, anderen Personen am Arbeitsplatz sowie die Informationen und Ressourcen, die sie nutzen, nicht gefährdet. - Unterstützung bei der Identifizierung von Bereichen, in denen Risikomanagementpraktiken angewendet werden sollten. - Ergreifen aller praktischen Schritte, um das Risiko einer vertraglichen und regulatorischen Haftung für Tuist GmbH zu minimieren. - Einhaltung von Unternehmensrichtlinien und Verhaltensstandards. - Meldung von Vorfällen und beobachteten Anomalien oder Schwächen. |
| Chief Human Resources Officer | - Sicherstellen, dass Mitarbeiter und Auftragnehmer für ihre Aufgaben qualifiziert und kompetent sind. - Sicherstellen, dass angemessene Tests und Hintergrundüberprüfungen durchgeführt werden. - Sicherstellen, dass Mitarbeitern und relevanten Auftragnehmern die Unternehmensrichtlinien und der Verhaltenskodex (CoC) vorgelegt werden. - Sicherstellen, dass die Leistung der Mitarbeiter und die Einhaltung des CoC regelmäßig bewertet werden. - Sicherstellen, dass die Mitarbeiter eine angemessene Sicherheitsschulung erhalten. |
| CFO | - Verantwortlich für die Überwachung des Risikomanagementprozesses von Drittanbietern, einschließlich Risiken im Zusammenhang mit Cloud-Service-Providern. - Verantwortlich für die Überprüfung von Serviceverträgen mit Lieferanten. |
Einhaltung von Richtlinien
Der IT-Manager überprüft die Einhaltung dieser Richtlinie durch verschiedene Methoden, einschließlich, aber nicht beschränkt auf Berichte, interne/externe Audits und Feedback an den Richtlinienverantwortlichen. Ausnahmen von der Richtlinie müssen vom IT-Manager im Voraus genehmigt werden. Eine Nichteinhaltung wird mit der Geschäftsleitung und der Personalabteilung besprochen und kann zu Disziplinarmaßnahmen in Übereinstimmung mit den Unternehmensverfahren bis hin zur Beendigung des Arbeitsverhältnisses führen.
Versionsverlauf
Die Versionsgeschichte dieses Dokuments ist im Handbook-Repository von Tuist GmbH zu finden.