Leitlinie zur Informationssicherheit

1. Präambel

Die Produktions- und Leistungsfähigkeit von Capita hängen maßgeblich von der Verfügbarkeit und Qualität der informationstechnischen Dienste ab. Viele Geschäftsprozesse sind  mittlerweile IT-basiert und werden im Rahmen eines zukünftig integrierten Informationsmanagements (ISM) miteinander verknüpft. Die „Sicherheit der Informationstechnik“ ist für Capita nicht nur Voraussetzung zur Aufgabenerfüllung, sie ist ebenfalls von großem strategischen Wert. IT-Sicherheit ist essenzieller Bestandteil für verantwortungsbewusstes Handeln im Digitalbereich.

Die Infrastruktur der Informationstechnik ist zunehmend starken Gefahren ausgesetzt. Deshalb besitzt für Capita die Sicherstellung von jeweilig optimierten Schutzvorkehrungen der beteiligt IT-gestützten Dienste und Systeme absolute Priorität.

Die Leitlinie zur Informationssicherheit von Capita beschreibt den Informationssicherheitsprozess und dient als Grundlage für ein einheitliches IT-Sicherheitskonzept. Die daraus resultierenden Maßnahmen sollen eine größtmögliche Sicherheit im Bereich der Informationstechnik gewährleisten.

Diese Sicherheitsbestimmungen bilden die unabdingbare Voraussetzung für die Umsetzung des einzuhaltenden Datenschutzes und dienen den Vorgaben unserer Auftraggeber. Deshalb sind alle Maßgaben dieser Art bei der Verarbeitung personenbezogener Daten zu gewährleisten – und zumeist auch gesetzlich gefordert. Eine erfolgreiche Umsetzung des Informationssicherheitsprozesses setzt geregelte Verantwortungsstrukturen sowie die Unterstützung aller Mitarbeiterinnen und Mitarbeiter von Capita voraus.

Um Informationssicherheit nachhaltig zu betreiben, wird mit dieser Leitlinie ein allgemeingültiger Rahmen formuliert. Das Ziel ist ein angemessener Schutz der potenziell kritischen Infrastrukturen, Systeme, Anwendungen und Informationen.

2. Geltungsbereich

Die Leitlinie zur Informationssicherheit und die damit verbundenen Dokumente

• IT-Sicherheitskonzept ISP
sowie
• Datenschutzkonzept

gelten für alle Mitarbeiterinnen und Mitarbeiter von Capita. Vertragspartner, die Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie erbringen, werden zur Einhaltung der nachfolgend aufgeführten Anforderungen verpflichtet.

3. Klassifizierung

Das Informationssicherheitsniveau von Capita wird insgesamt als „hoch“ eingestuft.

Diese Einstufung erfolgt aufgrund der Tatsache, dass alle wesentlichen Funktionen und Aufgaben durch Informationstechnik unterstützt werden und ein Ausfall von Informationssystemen die Aufgabenerfüllung nicht beeinträchtigen darf.

Als Customer Care Center bearbeitet Capita auch Daten, die einen erhöhten Schutz an Vertraulichkeit und vor unberechtigtem Zugriff benötigen (Auftragsdatenverarbeitung).

4. Ziele

Innerhalb von Capita stellt die Leitlinie zur Informationssicherheit das strategische Basis-Dokument zur Informationssicherheit für die durch Informationstechnologie gestützten Geschäftsprozesse dar. Informationssicherheit ist integraler und essenzieller Bestandteil jedes Dienstleistungs- und Verwaltungshandelns und muss daher stets berücksichtigt werden. Sie dient der Wahrung nachfolgender Grundeigenschaften zur Speicherung sowie Nutzung von Informationen und Datenströmen.

Vertraulichkeit
Informationen oder Funktionen dürfen nur dem jeweils berechtigten Personenkreis zur Verfügung stehen.

Integrität
Die Unversehrtheit von Informationen ist jederzeit sicherzustellen. Informationen müssen korrekt und vollständig sein, Funktionen müssen korrekte Ergebnisse liefern.

Verfügbarkeit
Die Nutzung von Informationen oder Funktionen muss dem jeweils berechtigten Personenkreis in dem benötigten Zeitraum mit der erforderlichen Güte möglich sein.

Authentizität
Echtheit, Zuverlässigkeit und Zurechenbarkeit einer Information oder Funktion müssen jederzeit gegeben und überprüfbar sein.

Verbindlichkeit
Jede Verarbeitung von Informationen muss eindeutig nachvollziehbar sowie eindeutig beweisbar (bzw. nicht „abstreitbar“) und somit revisionsfähig sein.

Verantwortung
Alle Mitarbeiter sind verpflichtet, sämtliche Unternehmens- und Kundeninformationen zu schützen, damit durch unberechtigte Nutzung von Daten kein Schaden entsteht.

5. Verantwortung

Die Gesamtverantwortung für die Informationssicherheit liegt bei der Unternehmensleitung von Capita.

Diese wird fachlich durch den IT-Security Beauftragten wahrgenommen. Das bedeutet insbesondere die Verpflichtung, in Abgleich zu Gehalt und Wertigkeit sowie in Anbetracht der potenziellen Gefährdung einer Information, das angemessene Schutzniveau zu schaffen und obligatorisch zu machen.

Der IT-Security Beauftragte ist frühzeitig in alle Projekte einzubinden, um schon in der Planungsphase sicherheitsrelevante Aspekte zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt Gleiches für den Datenschutzbeauftragten.

6. Kontinuierliche Verbesserung

Die Unternehmensleitung unterstützt die Einhaltung und betreibt die weitere Anhebung des Sicherheitsniveaus. Mitarbeiterinnen und Mitarbeiter sind angehalten, die unternehmensinternen Verantwortungsbereiche bei diesbezüglich erkannten Schwachstellen unverzüglich zu informieren und werden außerdem bei Optimierungsanregungen gebeten, hierfür ihre direkten Vorgesetzten zu kontaktieren.

Durch eine kontinuierliche Revision der Regelungen und deren konsequente Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau gewährleistet. Abweichungen werden unmittelbar mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der IT-Schutztechnik zu halten.