- Zweck
- Ziele
- Geltungsbereich
- Einhaltung
- Überprüfung
- Grundsatzerklärung
- 1. Informationssicherheitspolitik
- 2. Organisation der Informationssicherheit
- 3. Sicherheit der Humanressourcen
- 4. Vermögensverwaltung
- 5. Zugangskontrolle
- 6. Kryptographie
- 7. Physische und umgebungsbedingte Sicherheit
- 8. Betriebssicherheit
- 9. Kommunikationssicherheit
- 10. Systembeschaffung, -entwicklung und -wartung
- 11. Beziehungen zu Zulieferern
- 12. Management von Vorfällen im Bereich der Informationssicherheit
- 13. Informationssicherheitsaspekte des Business Continuity Management
- 14. Konformität
Zweck
Informationen, die gesammelt, analysiert, gespeichert, übermittelt und darüber berichtet werden, können gestohlen, missbraucht, verloren oder korrumpiert werden.
Informationen können durch schlechte Ausbildung und Schulung sowie durch die Verletzung von Sicherheitskontrollen gefährdet werden.
Vorfälle im Bereich der Informationssicherheit können zu Peinlichkeiten, finanziellen Verlusten, Nichteinhaltung von Normen und Gesetzen sowie zu möglichen Urteilen gegen die Universität führen.
Diese Informationssicherheitspolitik auf hoher Ebene steht neben der Politik des Informationsrisikomanagements und der Datenschutzpolitik, um die risikobasierten Informationssicherheitskontrollen der Universität auf hoher Ebene zu umreißen und zu rechtfertigen.
- Informationsrisikomanagementpolitik
- Datenschutzpolitik
Ziele
Die Sicherheitsziele der Universität sind folgende:
- Unsere Informationsrisiken werden gemäß einer vereinbarten Risikotoleranz identifiziert, verwaltet und behandelt
- Unsere autorisierten Benutzer können sicher auf Informationen zugreifen und diese gemeinsam nutzen, um ihre Aufgaben zu erfüllen
- Unsere physischen, verfahrenstechnischen und technischen Kontrollen sorgen für ein ausgewogenes Verhältnis zwischen Benutzerfreundlichkeit und Sicherheit
- Unsere vertraglichen und gesetzlichen Verpflichtungen in Bezug auf die Informationssicherheit werden erfüllt
- Unsere Lehrtätigkeit, Forschung und Verwaltung berücksichtigen die Informationssicherheit
- Die Personen, die auf unsere Informationen zugreifen, sind sich ihrer Verantwortung für die Informationssicherheit bewusst
- Vorfälle, die unsere Informationsbestände betreffen, werden aufgeklärt und es wird daraus gelernt, um unsere Kontrollen zu verbessern.
Geltungsbereich
Die Informationssicherheitspolitik und ihre unterstützenden Kontrollen, Prozesse und Verfahren gelten für alle an der Universität verwendeten Informationen in allen Formaten.
Die Informationssicherheitspolitik und ihre unterstützenden Kontrollen, Prozesse und Verfahren gelten für alle Personen, die Zugang zu Informationen und Technologien der Universität haben, einschließlich externer Parteien, die der Universität Informationsverarbeitungsdienste anbieten.
Ein detaillierter Geltungsbereich, einschließlich einer Aufschlüsselung der Benutzer, Informationsbestände und Informationsverarbeitungssysteme, ist im Rahmendokument für das Informationssicherheitsmanagementsystem (ISMS) enthalten.
Einhaltung
Die Einhaltung der Kontrollen in dieser Richtlinie wird vom Informationssicherheitsteam überwacht und dem Information Governance Board gemeldet.
Überprüfung
Eine Überprüfung dieser Richtlinie wird vom Informationssicherheitsteam jährlich oder bei Bedarf häufiger durchgeführt und vom Information Governance Board und der Universitätsleitung genehmigt.
Grundsatzerklärung
Es ist die Politik der Universität, sicherzustellen, dass Informationen vor einem Verlust geschützt werden:
- Vertraulichkeit – Informationen sind nur für befugte Personen zugänglich
- Integrität – die Richtigkeit und Vollständigkeit von Informationen wird aufrechterhalten
- Verfügbarkeit – Informationen sind bei Bedarf für befugte Benutzer und Prozesse zugänglich
Die Universität wird ein Managementsystem für Informationssicherheit einführen, das auf dem internationalen Standard ISO 27001 für Informationssicherheit basiert. Die Universität wird bei Bedarf auch auf andere Normen verweisen und dabei die Ansätze ihrer Interessengruppen, einschließlich der Forschungspartner, berücksichtigen.
Die Universität wird einen risikobasierten Ansatz bei der Anwendung von Kontrollen verfolgen:
- Informationssicherheitsrichtlinien
- Organisation der Informationssicherheit
- Personalsicherheit
- Asset Management
- Zugang Kontrolle
- Kryptographie
- Physische und Umweltsicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Systembeschaffung, Entwicklung und Wartung
- Lieferantenbeziehungen
- Informationssicherheitsvorfallmanagement
- Informationssicherheitsaspekte des Geschäftskontinuitätsmanagements
- Compliance
1. Informationssicherheitspolitik
Zur Unterstützung der übergeordneten Informationssicherheitspolitik und ihrer erklärten Ziele wird eine Reihe von Kontrollen, Prozessen und Verfahren für die Informationssicherheit auf unterer Ebene definiert. Diese unterstützende Dokumentation wird vom Informationssicherheitsrat genehmigt, veröffentlicht und an die Benutzer der Universität und die relevanten externen Parteien weitergegeben.
2. Organisation der Informationssicherheit
Die Universität wird geeignete Regelungen für das Management der Informationssicherheit festlegen und umsetzen. Dies beinhaltet die Identifizierung und Zuweisung von Sicherheitsverantwortlichkeiten, um die Implementierung und den Betrieb der Informationssicherheit innerhalb der Universität zu initiieren und zu kontrollieren.
Die Universität wird mindestens ernennen:
- Eine Führungskraft, die den Vorsitz im Information Governance Board führt und die Verantwortung für das Informationsrisiko übernimmt
- Ein Information Governance Board, das die effektive Verwaltung der Universitätsinformationen beeinflusst, überwacht und fördert
- Einen Informationssicherheitsspezialisten, der die tägliche Informationssicherheitsfunktion leitet
- Information Asset Owners (IAOs), die die lokale Verantwortung für das Informationsmanagement übernehmen; und Information Asset Managers (IAMs), die für das tägliche Informationsmanagement verantwortlich sind
3. Sicherheit der Humanressourcen
Die Sicherheitsrichtlinien der Universität und die Erwartungen an eine akzeptable Nutzung werden allen Benutzern mitgeteilt, um sicherzustellen, dass sie ihre Verantwortlichkeiten verstehen. Das gesamte Personal wird in Fragen der Informationssicherheit unterrichtet und geschult, und schlechtes und unangemessenes Verhalten wird thematisiert.
Soweit dies praktikabel ist, wird die Verantwortung für die Sicherheit in Rollenbeschreibungen, Personenbeschreibungen und persönliche Entwicklungspläne aufgenommen.
4. Vermögensverwaltung
Alle Vermögensgegenstände (Informationen, Software, elektronische Informationsverarbeitungsgeräte, Dienstprogramme und Personen) werden dokumentiert und nachgewiesen. Für alle Bestände werden die Eigentümer ermittelt, die für die Wartung und den Schutz ihrer Bestände verantwortlich sind.
Alle Informationsbestände werden entsprechend ihren rechtlichen Anforderungen, ihrem Geschäftswert, ihrer Kritikalität und ihrer Sensibilität klassifiziert, und die Klassifizierung gibt die entsprechenden Handhabungsanforderungen an. Für alle Informationsbestände wird ein Zeitplan für die Aufbewahrung und Entsorgung festgelegt.
5. Zugangskontrolle
Der Zugang zu allen Informationen wird kontrolliert und richtet sich nach den geschäftlichen Anforderungen. Der Zugang wird den Benutzern je nach ihrer Rolle und der Klassifizierung der Informationen nur in dem Umfang gewährt bzw. es werden entsprechende Vorkehrungen getroffen, der es ihnen ermöglicht, ihre Aufgaben zu erfüllen.
Für den Zugang zu allen Informationssystemen und -diensten wird ein formelles Verfahren zur Registrierung und De-Registrierung der Benutzer beibehalten. Dazu gehören obligatorische Authentifizierungsmethoden auf der Grundlage der Sensibilität der Informationen, auf die zugegriffen wird, und gegebenenfalls die Berücksichtigung mehrerer Faktoren.
Für Benutzer mit erhöhten Rechten werden spezifische Kontrollen eingeführt, um das Risiko eines fahrlässigen oder vorsätzlichen Systemmissbrauchs zu verringern. Eine Aufgabentrennung wird eingeführt, soweit dies praktikabel ist.
6. Kryptographie
Die Universität wird Anleitungen und Hilfsmittel zur Verfügung stellen, um den ordnungsgemäßen und wirksamen Einsatz von Kryptographie zum Schutz der Vertraulichkeit, Authentizität und Integrität von Informationen und Systemen zu gewährleisten.
7. Physische und umgebungsbedingte Sicherheit
Einrichtungen zur Informationsverarbeitung sind in sicheren Bereichen untergebracht, die durch festgelegte Sicherheitsgrenzen physisch vor unbefugtem Zugriff, Beschädigung und Störung geschützt sind. Es werden mehrschichtige interne und externe Sicherheitskontrollen eingerichtet, um unbefugten Zugang abzuschrecken oder zu verhindern und Vermögenswerte, insbesondere solche, die kritisch oder sensibel sind, gegen gewaltsame oder heimliche Angriffe zu schützen.
8. Betriebssicherheit
Die Universität stellt den ordnungsgemäßen und sicheren Betrieb von Informationsverarbeitungssystemen sicher.
Dazu gehören:
- Dokumentierte Betriebsverfahren
- Der Einsatz eines formellen Änderungs- und Kapazitätsmanagements
- Kontrollen gegen Schadsoftware
- Definierter Einsatz von Protokollierung
- Schwachstellenmanagement
9. Kommunikationssicherheit
Die Universität unterhält Netzsicherheitskontrollen, um den Schutz von Informationen innerhalb ihrer Netze zu gewährleisten, und stellt die Instrumente und Anleitungen bereit, um die sichere Übertragung von Informationen sowohl innerhalb ihrer Netze als auch mit externen Stellen zu gewährleisten, und zwar in Übereinstimmung mit den Anforderungen an die Klassifizierung und Handhabung dieser Informationen.
10. Systembeschaffung, -entwicklung und -wartung
Die Anforderungen an die Informationssicherheit werden während der Entwicklung von Geschäftsanforderungen für neue Informationssysteme oder Änderungen an bestehenden Informationssystemen definiert.
Kontrollen zur Abschwächung festgestellter Risiken werden gegebenenfalls implementiert.
Die Systementwicklung unterliegt der Änderungskontrolle und der Trennung von Test-, Entwicklungs- und Betriebsumgebung.
11. Beziehungen zu Zulieferern
Die Anforderungen der Universität an die Informationssicherheit werden beim Aufbau von Beziehungen zu Zulieferern berücksichtigt, um sicherzustellen, dass die den Zulieferern zugänglichen Ressourcen geschützt sind.
Die Aktivitäten der Zulieferer werden entsprechend dem Wert der Ressourcen und den damit verbundenen Risiken überwacht und geprüft.
12. Management von Vorfällen im Bereich der Informationssicherheit
Es wird eine Anleitung zur Verfügung gestellt, was ein Vorfall im Bereich der Informationssicherheit ist und wie dieser gemeldet werden sollte.
Echte oder vermutete Verstöße gegen die Informationssicherheit müssen gemeldet werden und werden untersucht.
Angemessene Abhilfemaßnahmen werden ergriffen und etwaige Erkenntnisse in die Kontrollen eingebaut.
13. Informationssicherheitsaspekte des Business Continuity Management
Die Universität wird Vorkehrungen treffen, um kritische Geschäftsprozesse vor den Auswirkungen größerer Ausfälle von Informationssystemen oder Katastrophen zu schützen und ihre rechtzeitige Wiederherstellung in Übereinstimmung mit den dokumentierten Geschäftsanforderungen zu gewährleisten.
Dazu gehören angemessene Sicherungsroutinen und eingebaute Ausfallsicherheit.
Zur Unterstützung dieser Politik müssen Pläne zur Aufrechterhaltung des Geschäftsbetriebs aufrechterhalten und getestet werden.
Eine Analyse der Auswirkungen von Katastrophen, Sicherheitsausfällen, Dienstausfällen und mangelnder Dienstverfügbarkeit wird durchgeführt.
14. Konformität
Der Entwurf, der Betrieb, die Nutzung und die Verwaltung von Informationssystemen müssen allen gesetzlichen, behördlichen und vertraglichen Sicherheitsanforderungen entsprechen.
Zurzeit umfasst dies die Datenschutzgesetzgebung, den Standard der Zahlungskartenindustrie (PCI-DSS), die Prevent-Richtlinien der Regierung und die vertraglichen Verpflichtungen der Universität.
Die Universität wird eine Kombination aus internen und externen Audits einsetzen, um die Einhaltung ausgewählter Standards und bewährter Verfahren nachzuweisen, einschließlich interner Richtlinien und Verfahren.
Dazu gehören IT-Gesundheitsprüfungen, Lückenanalysen im Vergleich zu dokumentierten Standards, interne Überprüfungen der Einhaltung durch das Personal und Rückmeldungen der Eigentümer von Informationsbeständen.