IT-Sicherheitsleitlinie der GRS - Gesellschaft für Anlagen

Werbung
Gesellschaft für Anlagenund Reaktorsicherheit
(GRS) mbH
Die GRS IT-Sicherheitsleitlinie
Präambel
Die GRS - Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbH - ist eine technischwissenschaftliche Forschungs- und Sachverständigenorganisation. Sie ist bei der Erbringung ihrer
Leistungen in Forschung und Entwicklung zur Bewertung und Verbesserung der Sicherheit
technischer Anlagen in entscheidendem Maße auf das Vorhandensein und die Verfügbarkeit von
Informations- und Kommunikationstechnik (IT) angewiesen.
Darüber hinaus bestehen Verpflichtungen zur Gewährleistung der IT-Sicherheit aufgrund
gesetzlicher Bestimmungen und vertraglicher Verpflichtungen der GRS gegenüber Auftraggebern
und Projektpartnern.
1
Definition der IT-Sicherheit
IT-Sicherheit ist der Schutz der IT-Einrichtungen vor Missbrauch, Manipulation und Störung.
2
Stellenwert der IT-Sicherheit
Die IT-Sicherheit hat einen hohen unternehmerischen Stellenwert.
Aus diesem Grund hat die Geschäftsführung der GRS beschlossen, in Zusammenarbeit mit dem ITSicherheitsbeauftragten und dem IT-Dienstleister der GRS einen IT-Sicherheitsprozess für den
Umgang mit den IT-Einrichtungen einzuführen.
Die IT-Sicherheitsleitlinie (IT-Sicherheitspolicy) soll Aufforderung und Verpflichtung zu
gesetzeskonformem Verhalten und verantwortungsbewusstem Umgang mit der IT-Infrastruktur der
GRS für alle Mitarbeiter und alle externen Nutzer sein. Allen Nutzern der IT-Einrichtungen der
GRS ist die IT-Sicherheitsleitlinie in geeigneter Form zur Kenntnis zu geben, und jeder Nutzer ist
schriftlich auf deren Einhaltung zu verpflichten.
Gesellschaft für Anlagenund Reaktorsicherheit
(GRS) mbH
3
IT-Sicherheitsziele
Die GRS schützt ihre Interessen und ihr Ansehen in der Öffentlichkeit sowie ihre
Vertrauenswürdigkeit für Auftraggeber und Partner durch die Sicherung ihrer Arbeitsfähigkeit in
Bezug auf ihre IT-basierten Systeme, Programme und Daten.
Die Gewährleistung der allgemeinen IT-Sicherheitsanforderungen Verfügbarkeit, Vertraulichkeit
und Integrität ist Bestandteil der Unternehmensphilosophie.
Zu den IT-Sicherheitszielen der GRS zählen:
•
•
•
•
•
•
•
4
Die GRS gewährleistet die Verfügbarkeit ihrer Daten und IT-Einrichtungen und unterstützt
damit die Kontinuität der Arbeitsabläufe:
Bereitstellung von IT-Diensten in der geforderten Qualität und Zeit ohne
Beeinträchtigungen durch Störungen, verursacht durch Sicherheitsvorfälle. Daten werden
vor Verlust geschützt.
Die GRS stellt die Vertraulichkeit sicher:
Schutz von Projektdaten und Arbeitsergebnissen vor unberechtigter Kenntnisnahme.
Besonders schützenswerte Daten (personenbezogene Daten, Geheimschutz) werden
besonders geschützt
Die GRS schützt die Integrität ihrer IT-Einrichtungen:
Schutz der Daten und Einrichtungen vor Verfälschung bzw. unberechtigter Veränderung
Die GRS schützt ihre IT-Einrichtungen vor Manipulation und Missbrauch (zweckwidrige
Nutzung, Nutzung durch Unbefugte)
Die GRS schützt ihr IT-Netzwerk gegen unbefugten Zugriff (Angriff, Datenmanipulation)
von außen
Die GRS und ihre Mitarbeiter halten die einschlägigen Gesetze und sonstigen rechtlichen
Bestimmungen zur IT ein.
Die GRS wahrt die Persönlichkeitsrechte ihrer Mitarbeiter
Verantwortlichkeit
Die Verantwortung für die IT-Sicherheit der GRS liegt bei der Geschäftsführung der GRS. Die
Geschäftsführung überträgt die Umsetzung der IT-Sicherheitsleitlinie und die Kontrolle über deren
Einhaltung an den IT-Sicherheitsbeauftragten der GRS. Die Einhaltung der ITSicherheitsmaßnahmen durch Mitarbeiter wird im Rahmen des Disziplinarprozesses kontrolliert.
Der IT-Sicherheitsbeauftragte der GRS nimmt seine Aufgaben in enger Zusammenarbeit mit dem
IT-Dienstleister der GRS wahr.
Gesellschaft für Anlagenund Reaktorsicherheit
(GRS) mbH
5
IT-Sicherheitsprozess
Der IT-Sicherheitsprozess ist Gegenstand eines eigenen IT-Sicherheitskonzeptes. Dieser ITSicherheitsprozess orientiert sich an dem Grundschutzstandard des Bundesamtes für
Informationssicherheit (BSI). Prozessverantwortlicher ist der IT-Sicherheitsbeauftragte der GRS.
6
Strategie, Umsetzung und Maßnahmen
Zur Gewährleistung der IT-Sicherheit in der GRS im Sinne der oben aufgelisteten ITSicherheitsziele werden folgende Maßnahmen umgesetzt:
•
•
•
•
•
•
•
•
Bereitstellung der technischen und personellen Ressourcen für die IT-Sicherheit
Betreuung der Nutzer der IT-Einrichtungen im Umgang mit diesen in sicherheitsrelevanten
Aspekten
Abstimmung zwischen Projektleitern und IT-Sicherheitsbeauftragtem über
Sicherheitsaspekte bereits bei Projektinitialisierung
Berücksichtigung der IT-Sicherheitsanforderungen in der Zusammenarbeit mit Partnern und
externen Dienstleistern
Festlegung von Konsequenzen bei Verstößen gegen IT-Sicherheitsregelungen
Planung und Überwachung der Realisierung von IT-Sicherheitsmaßnahmen im technischen,
organisatorischen, personellen und infrastrukturellen Bereich durch den ITSicherheitsbeauftragten
Verabschiedung einer Informationsschutzrichtlinie als flankierende Maßnahme zum ITSicherheitsprozess
Schulung der Mitarbeiter in IT-Sicherheit
Herunterladen