Informationssicherheitsleitlinie der de.NBI Cloud Bielefeld¶
Version: | 1.2 |
Datum der Version: | 12.04.2021 |
Erstellt durch: | Christian Henke, Alex Walender |
Genehmigt am: | 21.04.2021 alu, as |
durch: | Alexander Sczyrba (Leitung ADM), Stefan Albaum (Leitung BRF) |
ChangeLog¶
- Version 1.1 vom 19.11.2020: initialer Entwurf
- Version 1.2 vom 12.04.2021: Erweiterung der Leitlinie
Einleitung¶
Informationen sind das Kerngeschäft der de.NBI Cloud Bielefeld. Die Sicherheit dieser Informationen ist die Voraussetzung für erfolgreiche und sichere Forschung und daher für die de.NBI Cloud Bielefeld unverzichtbar.
Ziel der Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der schützenswerten Informationen in allen Bereichen der de.NBI Cloud Bielefeld sicherzustellen. Die Leitung der de.NBI Cloud Bielefeld bekennt sich zu diesem Ziel und dessen verantwortungsvoller Umsetzung und legt mit dieser Leitlinie die Grundlagen für die Informationssicherheit der de.NBI Cloud Bielefeld fest.
Um einen angemessenen Schutz von Informationen sicherzustellen, etabliert die de.NBI Cloud Bielefeld ein Informationssicherheitsmanagementsystem (ISMS), mit dem systematisch und transparent die Planung, Aufrechterhaltung, Steuerung, Kontrolle und fortlaufende Verbesserung der Informationssicherheit gesichert werden soll.
Für wen gilt diese Leitlinie?¶
Die Informationssicherheitsleitlinie beschreibt die grundlegenden Ziele und Rahmenvorgaben für die Informationssicherheit der de.NBI Cloud Bielefeld. Die vorliegende Leitlinie gilt verbindlich für alle Beschäftigten, sowie für Personen, Dienstleiter und Kooperationspartner, die im Rahmen ihrer Tätigkeiten Zugriff auf Informationen der de.NBI Cloud Bielefeld haben.
Was ist zu beachten?¶
Die Basis der Informationssicherheit bilden die folgenden Grundsätze:
- Wir schützen Informationen der de.NBI Cloud Bielefeld gegen Offenlegung, Verfälschung und Verlust. Wir stellen durch technische und organisatorische Maßnahmen sicher, dass Informationen nicht verloren gehen, oder unbeabsichtigt beschädigt, verändert, zerstört oder unbefugt verarbeitet werden.
- Wir streben eine ausreichende Verfügbarkeit an. Eine ausreichende Verfügbarkeit der relevanten Systeme und Services werden sowohl im normalen Betrieb als auch im Notfall sichergestellt.
- Wir prüfen den Schutzbedarf der Informationen in unserem Tätigkeitsfeld und leiten daraus konkrete Schutzmaßnahmen ab. Um interne und externe (z.B. vertragliche und gesetzliche) Anforderungen einhalten zu können, wird zunächst geklärt, welchen Schutzbedarf eine konkrete Information hat und welchen Bedrohungen sie ausgesetzt ist. In Abhängigkeit davon werden angemessene Schutzmaßnahmen ermittelt und umgesetzt.
- Wir halten unsere Informationssysteme auf einem aktuellen und sicheren Stand. Eine schnelle Schließung von erkannten Sicherheitslücken erschwert Angriffe auf die Informationen der de.NBI Cloud Bielefeld.
- Wir überprüfen regelmäßig die Wirksamkeit von Schutzmaßnahmen. Insbesondere im IT-Bereich können sich Bedrohungen und damit verbundene Risiken schnell verändern. Das Ergreifen von adäquaten Schutzmaßnahmen ist daher keine einmalige Aufgabe, vielmehr müssen diese regelmäßig überprüft und bei Bedarf angepasst werden.
- Wir melden Informationssicherheitsvorfälle. Sollten Angriffe auf Informationen erkannt werden oder trotz größtmöglicher Sorgfalt Fehler im Umgang mit schützenswerten Informationen unterlaufen, informieren wir umgehend die Ansprechpersonen für Informationssicherheit.
- Wir sensibilisieren unsere Mitarbeiter für IT-Sicherheit. Alle notwendigen Personen werden bedarfsgerecht für die Belange der IT-Sicherheit sensibilisiert und geschult.
Wer ist für die Informationssicherheit der de.NBI Cloud Bielefeld verantwortlich?¶
Die Informationssicherheit ist eine gemeinsame Aufgabe aller Betreiber und Nutzer de.NBI Cloud Bielefeld. Die Leitung der de.NBI Cloud Bielefeld ist gesamtverantwortlich für die Informationssicherheit.
Zentraler Ansprechpartner in allen Belangen der Informationssicherheit ist die / der Informationssicherheitsbeauftragte der Universität Bielefeld. Die / der Informationssicherheitsbeauftragte führt regelmäßig Schulungs- und Sensibilisierungsmaßnahmen durch und steht in engem Austausch mit der / dem Datenschutzbeauftragten.
Leitungskräfte auf jeder Ebene der de.NBI Cloud Bielefeld übernehmen eine Vorbildfunktion und sind verpflichtet, angemessene Maßnahmen in ihrem Bereich umzusetzen, aufrechtzuerhalten und bei Bedarf an neue Gegebenheiten anzupassen. Hierfür sind die technischen, organisatorischen und personellen Voraussetzungen zu realisieren. Hervorzuheben ist hierbei die Information und Sensibilisierung der Beschäftigten.
Die Beschäftigten der de.NBI Cloud Bielefeld nehmen die Informations- und Schulungsangebote zur Informationssicherheit wahr. Sie beachten die Sicherheitsvorgaben für ihren Bereich und halten diese ebenso ein, wie die allgemeinen Regelungen zur Informationssicherheit. Sicherheitsrisiken oder Sicherheitsvorfälle teilen sie umgehend den Ansprechpersonen für Informationssicherheit mit.
Welche Regelungen zur Informationssicherheit gibt es?¶
Im Rahmen des ISMS werden Regelungen zur Informationssicherheit in unterschiedlichen Dokumenten zusammengefasst. Die Informationssicherheitsregelungen setzen sich aus dieser Informationssicherheitsleitlinie, dem Informationssicherheitskonzept sowie den Informationssicherheitsrichtlinien zusammen.
Die Informationssicherheitsleitlinie beschreibt allgemein die strategischen Sicherheitsziele und die Verantwortlichkeiten zur Sicherstellung von Informationssicherheit. Das Informationssicherheitskonzept konkretisiert als zentrales Dokument des ISMS Verantwortlichkeiten und Prozesse und beschreibt verbindliche, technische und organisatorische Maßnahmen zur Gewährleistung von Informationssicherheit. Die Informationssicherheitsrichtlinien beschreiben technische und organisatorische Maßnahmen bezogen auf konkrete Geschäftsprozesse, Dienste oder Produkte. Die Informationssicherheitsregelungen werden durch die Administration der de.NBI Cloud Bielefeld verfasst, mit Vertretern interessierter Parteien mit berechtigten Ansprüchen abgestimmt und durch die Leitung der de.NBI Cloud Bielefeld verabschiedet. Sie können bei Bedarf durch weitere Dokumente ergänzt werden. Alle Dokumente unterliegen einer regelmäßigen Revision.
Verpflichtung zur kontinuierlichen Verbesserung¶
Informationssicherheit ist kein unveränderlicher Zustand, sondern hängt von vielen internen und externen Gegebenheiten und Einflüssen ab, wie neuen Bedrohungen, neuen Gesetzen oder auch der Entwicklung neuer technischer Lösungen.
Um diesen Umstand Rechnung zu tragen, bekennt sich die Leitung der de.NBI Cloud Bielefeld zu einer kontinuierlichen Verbesserung des gesamten ISMS. Dies ist integraler Bestandteil des ISMS und wird durch die Verpflichtung einer regelmäßigen entsprechenden Berichterstattung an die Leitung gewährleistet.