US English (US)
FR French
DE German

Externis Knowledge

German

IT - Sicherheitspolitik

Super Administrator

Written By Admin FAQ (Super Administrator)

Updated at March 27th, 2025

EINFÜHRUNG

Die Externis Group ist verpflichtet, alle französischen Gesetze und die einschlägigen Gesetze der Europäischen Gemeinschaft einzuhalten. Alle Nutzer der Informationssysteme der Externis Group müssen sicherstellen, dass sie die für die ihnen zugewiesenen IT-Systeme oder Daten geltenden Gesetze vollständig kennen und verstehen.

Diese Richtlinie stellt keine vollständige Rechtsauffassung dar, sondern gibt einen Hinweis auf die bei der Verarbeitung von Informationen zu beachtenden Punkte. Es gibt Gesetze, Praktiken und Verhaltenskodizes, an die sich alle Nutzer der IT-Ressourcen von Externis halten müssen.

Die Externis Group hat im Juli 2012 erstmals eine Richtlinie zur Informationstechnologie-Sicherheit verabschiedet.

Es liegt in der Verantwortung aller Benutzer, sich mit diesen Richtlinien vertraut zu machen.

Warum gibt es Informationssicherheitsrichtlinien?

Richtlinien zur Informationssicherheit sind notwendig, um sicherzustellen, dass wichtige Forschungs- und Verwaltungsdaten sowie andere vertrauliche Informationen vor Diebstahl oder unbefugter Offenlegung geschützt sind.

Darüber hinaus ist Externis gemäß europäischen Gesetzen, beispielsweise der DSGVO , rechtlich dafür verantwortlich, dass die Informationen korrekt sind und angemessen verwendet werden.

Neben der Erfüllung Ihrer gesetzlichen Verpflichtungen gewährleistet die Einhaltung der Richtlinien, dass Externis einen professionellen und effektiven Service bietet. Stellen Sie sicher, dass Sie alle gesetzlichen Anforderungen und Richtlinien kennen, die für Ihre Rolle bei der Externis Group gelten.

Die Regeln brechen

Regelverstöße gefährden uns alle. Durch die Weitergabe vertraulicher Informationen oder die Nichtanwendung strenger Sicherheitskontrollen für vertrauliche Informationen in Ihrer Obhut setzen Sie diese Informationen und die Externis Group potenziellen Schäden und Verlusten aus.

Schul-und Berufsbildung

Von allen Benutzern der Computer- und Netzwerkeinrichtungen der Externis Group wird erwartet, dass sie die entsprechenden Vorschriften lesen und einhalten.

1. Grundsatzerklärung

1.1 Informationen sind ein wichtiges Gut der Externis-Gruppe (nachfolgend „Externis“ genannt). Präzise, aktuelle, relevante und angemessen geschützte Informationen sind für den Erfolg der Externis-Aktivitäten von entscheidender Bedeutung. Externis verpflichtet sich, den Zugriff auf, die Nutzung und die Verarbeitung von Externis-Informationen sicher zu gewährleisten.

1.2 Externis verpflichtet sich zur Einführung eines Sicherheitsmodells im Einklang mit den internationalen Best-Practice-Standards ISO27001.

1.3 Technologische Informationssysteme, im Folgenden „Informationssysteme“ genannt, spielen eine wichtige Rolle bei der Unterstützung der täglichen Aktivitäten von Externis. Diese Informationssysteme umfassen unter anderem die gesamte Infrastruktur, Netzwerke, Hardware und Software, die zur Manipulation, Verarbeitung, Übertragung oder Speicherung von Informationen im Eigentum von Externis verwendet werden.

1.4 Ziel dieser Informationssicherheitsrichtlinie und der zugehörigen Richtlinie zu technischen Anforderungen ist es, die Sicherheitskontrollen zu definieren, die zum Schutz der Informationssysteme von Externis erforderlich sind, und die Sicherheitsvertraulichkeit und Integrität der darin gespeicherten Informationen zu gewährleisten.

1.5 Externis ist sich bewusst, dass das Versäumnis, angemessene Kontrollen zur Informationssicherheit zu implementieren, möglicherweise zu Folgendem führen kann:

  • Finanzieller Verlust
  • Unwiederbringlicher Verlust wichtiger Externis-Daten
  • Rufschädigung von Externis
  • Rechtliche Konsequenzen

Daher müssen Maßnahmen ergriffen werden, um das Risiko für Externis durch unbefugte Änderung, Zerstörung oder Offenlegung von Daten, ob versehentlich oder vorsätzlich, zu minimieren. Dies kann nur erreicht werden, wenn alle Mitarbeiter höchste ethische, persönliche und berufliche Standards einhalten. Effektive Sicherheit wird durch diszipliniertes Arbeiten und die Einhaltung der französischen und europäischen Gesetzgebung erreicht.

1.6 Die Informationssicherheitsrichtlinie und die unterstützenden Richtlinien gelten für alle Mitarbeiter von Externis und alle anderen von Externis autorisierten Benutzer.

1.7 Die Informationssicherheitsrichtlinie und die unterstützenden Richtlinien sind nicht Teil eines formellen Arbeitsvertrags mit Externis, es ist jedoch eine Beschäftigungsbedingung, dass die Mitarbeiter die von Zeit zu Zeit von Externis erlassenen Vorschriften und Richtlinien einhalten. 

1.8 Die Sicherheitsrichtlinie für Informationssysteme und die unterstützenden Richtlinien beziehen sich auf die Verwendung von:

  • Alle Externis-Netzwerke.
  • Alle Einrichtungen im Besitz von Externis bzw. von Externis gepachtet, rent und ausgeliehen.
  • Für alle privaten Systeme, ob im Besitz/geleast/ rent /ausgeliehen, wenn sie direkt oder indirekt mit dem Externis-Netzwerk verbunden sind.
  • Auf alle Daten/Programme im Besitz von Externis/von Externis lizenziert, auf Externis und auf privaten Systemen.
  • Auf alle Daten/Programme, die Externis von Sponsoren oder externen Agenturen zur Verfügung gestellt werden.

1.9 Die Ziele der Sicherheitsrichtlinie für Informationssysteme und der unterstützenden Richtlinien sind:

  • Stellen Sie sicher, dass Informationen in einer sicheren Umgebung erstellt, verwendet und verwaltet werden.
  • Stellen Sie sicher, dass alle Computereinrichtungen, Programme, Daten, Netzwerke und Geräte von Externis ausreichend vor Verlust, Missbrauch oder Fehlgebrauch geschützt sind.
  • Stellen Sie sicher, dass alle Benutzer die Grundsatzerklärung und die entsprechenden unterstützenden Richtlinien und Verfahren kennen und vollständig einhalten.
  • Stellen Sie sicher, dass alle Benutzer die einschlägigen französischen und gemeinschaftlichen Rechtsvorschriften kennen und einhalten.
  • Schaffen Sie ein Bewusstsein dafür, dass im Rahmen des effektiven Betriebs und der Unterstützung der Informationssicherheit geeignete Sicherheitsmaßnahmen umgesetzt werden müssen.
  • Stellen Sie sicher, dass alle Benutzer ihre eigene Verantwortung zum Schutz der Vertraulichkeit und Integrität der von ihnen verarbeiteten Daten verstehen.
  • Stellen Sie sicher, dass alle Vermögenswerte im Besitz von Externis einen identifizierten Eigentümer/Administrator haben.

1.10 Der Externis-Vorstand hat die Informationssicherheitsrichtlinie und die dazugehörige technische Richtlinie genehmigt. Die Umsetzung der Informationssicherheitsrichtlinie wurde den Leitern der technischen und administrativen Bereiche übertragen. Der Leiter der Informationssystemdienste und seine Beauftragten werden die Informationssicherheitsrichtlinie und die dazugehörige technische Richtlinie durchsetzen.

2. IT-Sicherheits-Governance

2.1 Governance-Grundriss
Die Sicherheit der IT- und Datenbestände von Externis kann nicht ohne ein rent Governance-Modell erreicht werden, das gewährleistet, dass alle IT-Systeme gemäß genehmigter Richtlinien und bewährter Verfahren betrieben werden.
Das Externis-Governance-Modell versucht, klar zu definieren, wer zum Betrieb wichtiger IT-Systeme und -Dienste berechtigt ist und wie Einzelpersonen und Gruppen, die neue Systeme oder Dienste betreiben möchten, zugelassen und anschließend verwaltet werden.

2.2 Externes Datennetzwerk
Dies ist das zentrale Externis-Netzwerk, das die gesamte Belegschaft versorgt. Es wird von den IT-Diensten betrieben und bietet allen Benutzern zentrale Dienste und Support.

2.3 Leistungen für das Externis-Team
Nur IT-Dienste und die definierten autonomen Netzwerke dürfen zentrale Schlüsseldienste betreiben, einschließlich, aber nicht beschränkt auf E-Mail, Internet-Proxy, DNS, DHCP, Firewall, Allzweckserver, Webserver und Domänendienste.
IT-Supportmitarbeiter dürfen bestimmte Anwendungen und unterstützende Server betreiben, die sie bei ihren IT-Managern registrieren sollten.

2.4 Der Netzwerkperimeter
Die IT-Services fungieren als zentrale Anlaufstelle für alle Mitarbeiter von Externis.
Der Zugriff durch die Firewall des Netzwerkperimeters wird von den IT-Services verwaltet und betrieben.
Personen im Hauptnetzwerk von Externis können einen direkten Antrag auf Zugriff durch die Firewall stellen.

3. Rollen und Verantwortlichkeiten des IT-Managements

3.1 Der Externis-Vorstand
Der Vorstand von Externis ist für die Genehmigung der Informationssicherheitsrichtlinie und gegebenenfalls für die Unterstützung des Direktors für IT-Dienste bei der Durchsetzung der Richtlinie verantwortlich.

3.2 Leiter der IT- und Verwaltungsbereiche
Leiter der IT- und Verwaltungsbereiche müssen sich mit den Richtlinien vertraut machen. Bei Verstößen gegen diese Richtlinien müssen die Leiter der IT- und Verwaltungsbereiche zusammenarbeiten, um sicherzustellen, dass entsprechende Maßnahmen ergriffen werden. Leiter der IT- und Verwaltungsbereiche müssen sicherstellen, dass alle IT-Systeme in ihrem Zuständigkeitsbereich von einem zentral von der IT-Abteilung ernannten Administrator verwaltet werden. Die Aufgaben des Administrators sind in der zugehörigen Richtlinie festgelegt.

3.3 Der Leiter der IT-Dienste
Der Direktor der IT-Dienste oder sein/ihr Stellvertreter ist für die Verwaltung des Externis-Netzwerks und für die Bereitstellung von Unterstützung und Beratung für alle benannten Personen verantwortlich, die für die Umsetzung dieser Richtlinien verantwortlich sind.

3.4 Benutzer von Informationssystemen
Es liegt in der Verantwortung jedes einzelnen Benutzers von Informationssystemen, sicherzustellen, dass er diese Richtlinie und die zugehörigen Verhaltenskodizes versteht und einhält.
Jeder Einzelne ist für die Sicherheit der ihm zugewiesenen Externis-Informationssysteme verantwortlich. Dies umfasst unter anderem Infrastruktur, Netzwerke, Hard- und Software. Nutzer müssen sicherstellen, dass der Zugriff auf diese Systeme, den sie anderen gewähren, ausschließlich für den professionellen Gebrauch erfolgt, nicht übermäßig ist und angemessen gepflegt wird.

3.5 Beschaffung, Inbetriebnahme, Entwicklung eines Informationssystems
Alle Personen, die ein Informationssystem für Externis kaufen, in Auftrag geben oder entwickeln, sind verpflichtet, sicherzustellen, dass dieses System den erforderlichen Sicherheitsstandards entspricht, wie sie in dieser Informationssicherheitsrichtlinie und den unterstützenden Richtlinien definiert sind.
Personen, die Daten über ein Informationssystem erfassen, speichern oder verteilen möchten, müssen sicherstellen, dass sie den von Externis festgelegten Richtlinien und allen relevanten Gesetzen entsprechen.

3.6 Dritte
Bevor Sie mit Externis-Informationssystemen arbeiten dürfen, müssen ausreichende Referenzen von zuverlässigen Quellen für alle Drittparteien eingeholt und überprüft werden. Dies gilt insbesondere für Verwaltungspersonal, Software-Support-Unternehmen, Ingenieure, Reinigungskräfte, Vertrags- und Zeitarbeitskräfte. Datenverarbeitungs-, Service- und Wartungsverträge sollten eine Haftungsfreistellungsklausel enthalten, die im Falle von Betrug oder Schäden Schutz bietet. Die Angemessenheit und Einhaltung der Informationssystemkontrollen muss regelmäßig durch unabhängige Dritte überprüft werden.

3.7 Meldung von Sicherheitsvorfällen
Alle vermuteten Informationssicherheitsvorfälle müssen so schnell wie möglich über die entsprechenden Kanäle gemeldet werden. Alle Mitarbeiter von Externis sind verpflichtet, Verstöße und Probleme im Bereich der Informationssicherheit zeitnah dem Leiter der IT-Abteilung zu melden, damit umgehend Abhilfemaßnahmen ergriffen werden können. Der Leiter der IT-Abteilung ist für die Einrichtung eines Incident Management Teams zur Bearbeitung aller Vorfälle verantwortlich.

3.8 Sicherheitskontrollen
Alle Externis-Informationssysteme unterliegen den in diesem und verwandten Richtliniendokumenten beschriebenen Informationssicherheitsstandards. Ausnahmen sind nur zulässig, wenn nachgewiesen werden kann, dass die Kosten der Anwendung eines Standards den Nutzen übersteigen oder dass die Anwendung eines Standards die Aktivitäten von Externis deutlich behindert.

3.9 Einhaltung der Gesetzgebung
Externis ist verpflichtet, alle französischen Gesetze und die einschlägigen Gesetze der Europäischen Gemeinschaft einzuhalten. Zu den relevanten Gesetzen, die im französischen Recht für die Sicherheit von Informationssystemen gelten, gehören unter anderem:

  • Die Datenschutz-Grundverordnung (DSGVO)
  • Datenschutzbestimmungen der Europäischen Gemeinschaften (2001)
  • Verordnung der Europäischen Gemeinschaften (Datenschutz und Privatsphäre in der Telekommunikation) (2002)
  • Datenschutz EU-Richtlinie 95/46/EG
  • Gesetz gegen Kinderhandel und Pornografie (1998)
  • Gesetz über verschiedene Bestimmungen zum geistigen Eigentum (1998)
  • Gesetz über Urheberrecht und verwandte Schutzrechte (2000)
  • Gesetz über nicht tödliche Straftaten gegen die Person (1997)
  • Gesetz über den elektronischen Geschäftsverkehr (2000)
  • E-Commerce-Richtlinie (2000/31/EG)
  • Verordnungen mit dem Titel „Verordnung der Europäischen Gemeinschaften (Richtlinie 2000/31/EG) 2003“ (SI Nr. 68 von 2003)

Die Verpflichtung zur Einhaltung der Gesetze liegt bei allen Nutzern gemäß Punkt (1.7), die für Verstöße gegen die Gesetze persönlich haftbar gemacht werden können. Zusammenfassungen der für die IT-Richtlinien von Externis wichtigsten Gesetze finden Sie in den den Richtlinien beigefügten Richtlinien.

4. Sicherheitsverletzungen

4.1 Überwachung
Die IT-Dienste überwachen die Netzwerkaktivität und ergreifen Maßnahmen bzw. geben Empfehlungen ab, die mit der Aufrechterhaltung der Sicherheit des Externis-Informationssystems vereinbar sind.

4.2 Meldung von Vorfällen
Jede Person, die den Verdacht hat, dass es zu einer Verletzung der Sicherheit von Informationssystemen gekommen ist oder kommen könnte, sollte den Leiter der IT-Dienste unverzüglich informieren, der Externis über die zu ergreifenden Maßnahmen berät.

4.3 Durchsetzung
Im Falle eines vermuteten oder tatsächlichen Sicherheitsverstoßes kann der Leiter der IT-Dienste oder sein/ihr beauftragter Vertreter nach Rücksprache mit dem jeweiligen Administrator alle unsicheren Benutzerkonten, Daten und/oder Programme auf dem System unzugänglich machen bzw. aus dem Netzwerk entfernen.

4.4 Rechtliche Auswirkungen
Jede Sicherheitsverletzung eines Informationssystems kann zum Verlust personenbezogener Daten führen. Dies stellt einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) dar und kann zivil- oder strafrechtliche Verfahren und/oder Bußgelder nach sich ziehen. Alle Mitarbeiter von Externis werden gebeten, sich mit dieser Richtlinie und der Datenschutzrichtlinie von Externis vertraut zu machen und diese einzuhalten.

4.5 Disziplinarverfahren
Die Nichteinhaltung dieser Richtlinie durch ein Mitglied von Externis kann zur Einleitung entsprechender Disziplinarverfahren und unter bestimmten Umständen auch zur Einleitung rechtlicher Schritte führen.
Die Nichteinhaltung durch einen Auftragnehmer kann zur Kündigung eines Vertrags führen.

5. Politisches Bewusstsein und Verbreitung

5.1 Neue Mitarbeiter
Diese Grundsatzerklärung ist auf Anfrage bei der IT-Abteilung erhältlich. Neue Mitarbeiter werden bei Arbeitsbeginn über die relevanten Grundsatzdokumente informiert.

5.2 Vorhandenes Personal
Mitarbeiter von Externis sowie autorisierte Dritte und Auftragnehmer mit Zugriff auf das Externis-Netzwerk werden über diese Richtlinie informiert. Sie werden außerdem über die Verfügbarkeit der zugehörigen Richtlinien und Verfahren informiert.

5.3 Aktualisierungen
Richtlinien und Verfahren werden regelmäßig aktualisiert.

6. Risikobewertung und Compliance

6.1 Risikobewertung
Der Geschäftswert der von den Benutzern verarbeiteten Informationen und die bestehenden Sicherheitskontrollen der Informationssysteme müssen regelmäßig einer Risikobewertung unterzogen werden. Dabei werden Änderungen an Betriebssystemen, Geschäftsanforderungen und Prioritäten von Externis sowie die einschlägige Gesetzgebung berücksichtigt und die Sicherheitsvorkehrungen rent angepasst.

6.2 Leiter der IT- und Verwaltungsbereiche
Leiter der IT- und Verwaltungsbereiche müssen wirksame Notfallpläne erstellen, die dem Ergebnis einer Risikobewertung angemessen sind.

6.3 Leiter der IT-Dienste
Der Leiter der IT-Dienste führt Risikobewertungen durch, überprüft alle von anderen Parteien durchgeführten Risikobewertungen und hebt alle Maßnahmen hervor, die zur Risikominderung in den Bereichen der Informationssicherheit erforderlich sind.

6.4 Prüfung durch Dritte
In regelmäßigen Abständen werden Audits durch Dritte durchgeführt, je nachdem, was der Leiter der IT-Dienste für notwendig erachtet.

7. Unterstützende Richtlinien, Überprüfungsdokumentation und Leitlinien

Unterstützende Richtlinien, die diese Grundsatzerklärung ergänzen, und Verhaltenskodizes im Zusammenhang mit diesen Richtlinien werden in einem Begleitdokument veröffentlicht und sind auf Anfrage bei den IT-Diensten erhältlich.

Mitarbeiter und alle Drittparteien, die zum Zugriff auf das Externis-Netzwerk zur Nutzung der Systeme und Einrichtungen berechtigt sind, müssen sich mit den Richtlinien vertraut machen und gemäß diesen arbeiten.

  • Netzwerksicherheitsrichtlinie
  • Internet-Nutzungsrichtlinie
  • E-Mail-Nutzungsrichtlinie
  • Kennwortrichtlinie
  • Viren- und Spam-Richtlinien
  • Software-Sicherheitsrichtlinie
  • Datensicherungsrichtlinie
  • Notfallwiederherstellungsrichtlinie
  • Remotezugriffsrichtlinie
  • Reaktion auf Vorfälle
  • DSGVO

Related Articles

IT - Backup-Richtlinien

eCOS -Datensicherung eCOS -Anwendungen werden in der Microsoft Azure Cloud in Fra...

IT - Datensicherung

Datensicherungsrichtlinie Backup-Verfahren, die sicherstellen, dass sowohl Daten ...

IT - Reaktion auf Datenvorfälle

Richtlinie zur Reaktion auf Vorfälle und zum Missbrauch von IT-Einrichtungen Im F...

IT - Notfallwiederherstellung

Notfallwiederherstellungsrichtlinie Die Notfallwiederherstellungsverfahren in die...

Externis, Externis, publisher of eCOS® Blue Eagle, the first SaaS suite dedicated to retail execution for players in the retail ecosystem (brands, distributors, wholesalers, etc.), across all distribution channels.

© 2015-2022 EXTERNIS GROUP, All rights reserved | Legal notice