Sicherheitspolitik

Sharpist-Sicherheitspraktiken

Zielsetzungen

Die von der Sharpist-Geschäftsführung beschlossene Sicherheitspolitik wird im Rahmen eines Programms umgesetzt. Schutzziele der Informationssicherheit, wie Vertraulichkeit, Verfügbarkeit und Integrität von Daten, IT-Systemen und deren Infrastruktur, sollen gewährleistet werden.

Zu den Unternehmenswerten von Sharpist, die ein hohes Maß an Schutz erfordern, gehören:

  • Die Sharpist Coaching-Plattform;
  • Sharpist-Quellcode und andere sensible Daten;
  • Persönliche und andere sensible Informationen, die Sharpist im Rahmen seiner Geschäftstätigkeit sammelt, einschließlich Kunden-, Partner-, Lieferanten- und Mitarbeiterdaten, die in den internen IT-Systemen von Sharpist verarbeitet werden.

Das Ziel von Sharpist ist es, sicherzustellen, dass die Produkte von Sharpist und die für ihren Betrieb notwendigen Komponenten und Systeme bestmöglich geschützt sind, z. B. vor Informationsdiebstahl, vorsätzlicher oder böswilliger Veränderung der Software, unsachgemäßer Nutzung oder Bedrohungen von außen. Die Entwickler der Sharpist Coaching Plattform berücksichtigen das Prinzip des sicheren Designs in jeder Phase der Produktentwicklung und des Lebenszyklus der Software. Dies gilt für die Phasen der Spezifikation, der Entwicklung, des Testens und der Wartung der Produkte.

Industrienormen und Zertifizierungen

Die Sharpist-Sicherheitspolitik deckt das Sicherheitsmanagement sowohl für die internen Sharpist-Operationen als auch für die Dienstleistungen, die Sharpist seinen Kunden anbietet, ab und gilt für alle Sharpist-Mitarbeiter, wie z. B. Angestellte und Auftragnehmer. Diese Richtlinien orientieren sich an den Standards ISO/IEC 27002:2013 und ISO/IEC 27001:2013 und leiten alle Bereiche der Sicherheit innerhalb von Sharpist.

Organisationen für die Sicherheitsaufsicht von Unternehmen

Das Management der Informationssicherheit liegt in der Verantwortung des CISO (Chief Information Security Manager), der von der Geschäftsleitung ernannt wird. Diese Position ist als Stabsstelle bei Sharpist eingerichtet und berichtet direkt an den Vorstand. Zu den Aufgaben gehören die strategische Planung und Entwicklung von Konzepten, Standards und Richtlinien für die Informationssicherheit, die technische Umsetzung der IT-Sicherheit sowie das Management und die Koordination von Sicherheitsmaßnahmen in Übereinstimmung mit den ISO 27001 Standards. Darüber hinaus ist der CISO verantwortlich für die Koordination und Schulung der Sicherheitskoordinatoren der Abteilungen, das Incident- und Konfigurationsmanagement sowie die kontinuierliche Analyse und Optimierung der IT-Sicherheitsstrategien auf Basis der Geschäftsprozesse.

Darüber hinaus organisiert er die Analyse und Bewertung von Risiken für die Informationssicherheit, die Planung und Umsetzung von Sicherheitskonzepten in enger Zusammenarbeit mit den Fachabteilungen und der IT sowie die Durchführung und Unterstützung/Beaufsichtigung von Audits. Er ist verantwortlich für die Organisation und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit. Der Chief Information Security Officer (CISO) leitet das funktionale Team, das direkt für die Identifizierung und Umsetzung von Sicherheitsmaßnahmen bei Sharpist verantwortlich ist. Er treibt das Sicherheitsprogramm des Unternehmens voran, legt die Sicherheitsrichtlinien des Unternehmens fest, bewertet die Einhaltung und bietet eine operative Aufsicht über die mehrdimensionalen Aspekte der Sicherheitsrichtlinien und -praktiken von Sharpist:

  • Informationssicherheit
  • Physische Sicherheit
  • Sicherheitsarchitektur

Informationssicherheitteam

Übersicht

Das Informationssicherheitsteam ist verantwortlich für:

  • Aufsicht über die Sicherheit
  • Einhaltung und Durchsetzung von Sicherheitsvorschriften
  • Durchführung von Bewertungen der Informationssicherheit, die
  • die Entwicklung einer Informationssicherheitspolitik und -strategie und
  • Schulung und Sensibilisierung auf Unternehmensebene

Das Informationssicherheitsteam dient als primäre Anlaufstelle für die Reaktion auf Sicherheitsvorfälle und gibt die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vor. Programme innerhalb des Informationssicherheitsteams widmen sich der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Sharpist-Informationsressourcen und Sharpist anvertrauten Informationsressourcen, einschließlich eines Schwerpunkts auf:

  • Definition von technischen Unternehmensstandards zur Gewährleistung von Sicherheit, Datenschutz und Compliance;
  • Unterstützung der Sicherheitsbehörden bei der Förderung einer Kultur der Sicherheit in allen Regionen und Funktionsbereichen.

Informationssicherheitsmanager

Der Information Security Manager (ISM) dient als Sicherheitsbeauftragter, um das Bewusstsein für die Sicherheitsrichtlinien, -prozesse, -standards und -initiativen von Sharpist zu schärfen und deren Einhaltung zu gewährleisten.

Physische Sicherheit

Übersicht

Zu den Aufgaben der Beauftragten für physische Sicherheit gehören die Festlegung, Entwicklung, Umsetzung und Verwaltung aller Aspekte der physischen Sicherheit zum Schutz der Mitarbeiter, Einrichtungen, des Unternehmens und der Vermögenswerte von Sharpist.

Risikobasierter Ansatz

Sharpist verwendet einen risikobasierten Ansatz für die physische und ökologische Sicherheit, um Prävention, Erkennung, Schutz und Reaktion effektiv auszubalancieren und gleichzeitig ein positives Arbeitsumfeld aufrechtzuerhalten, das Innovation und Zusammenarbeit zwischen den Mitarbeitern und Partnern von Sharpist fördert. Sharpist führt regelmäßige Risikobewertungen durch, um zu bestätigen, dass die richtigen und effektiven Abhilfemaßnahmen vorhanden sind und aufrechterhalten werden.

Aufsicht über die Sicherheitsarchitektur

Übersicht

Das Sharpist Security Architecture Team hilft dabei, die technische Richtung für die interne Informationssicherheit festzulegen und leitet die Abteilungen und Geschäftseinheiten von Sharpist bei der Bereitstellung von Informationssicherheits- und Identitätsmanagementlösungen an, die die Informationssicherheitsziele von Sharpist voranbringen. Der Sicherheitsarchitekt arbeitet mit der Informationssicherheit und der Softwareentwicklung zusammen und kommuniziert und implementiert die Pläne für die Sicherheitsarchitektur des Unternehmens. Das Sicherheitsarchitektenteam verwaltet eine Vielzahl von Programmen und nutzt verschiedene Methoden der Zusammenarbeit mit den Führungs- und Sicherheitsteams, die für den Betrieb, die Dienste, die Cloud und alle anderen Geschäftseinheiten von Sharpist verantwortlich sind. Verfahren:

  • Vorabbewertung: Das Risikomanagementteam muss für jedes Projekt eine Vorabbewertung anhand der genehmigten Vorlage durchführen;
  • Das Sicherheitsarchitektur-Team prüft die eingereichten Pläne und führt eine technische Überprüfung des Sicherheitsentwurfs durch;
  • Überprüfung der Sicherheitsbewertung: Auf der Grundlage der Risikostufe werden die Systeme und Anwendungen vor dem Produktionseinsatz einer Sicherheitsüberprüfung unterzogen.

Personalsicherheit

Übersicht

Sharpist unterhält auf jeder Ebene der Organisation, auf der Sharpist Geschäfte tätigt, hohe Standards für ethisches Geschäftsverhalten. Diese gelten für die Mitarbeiter und Auftragnehmer von Sharpist und betreffen die Einhaltung von Gesetzen und Vorschriften, das Geschäftsverhalten und die Beziehungen und sind in der Sharpist-Compliance-Richtlinie dargelegt.

Betonung der personellen Sicherheit

Sharpist räumt der Personalsicherheit einen hohen Stellenwert ein. Das Unternehmen führt kontinuierlich Initiativen ein, um die Risiken im Zusammenhang mit menschlichem Versagen, Diebstahl, Betrug und Missbrauch von Einrichtungen zu minimieren, einschließlich Personalüberprüfung, Vertraulichkeitsvereinbarungen, Sicherheitsaufklärung und -schulung sowie Durchsetzung von Disziplinarmaßnahmen.

Mitarbeitenden-Screening

Vor der Einstellung werden Hintergrundüberprüfungen und Interviews für neu eingestelltes Personal gemäß den Sharpist-Richtlinien durchgeführt.

Verpflichtung zur Verschwiegenheit

Die Mitarbeiter von Sharpist sind verpflichtet, die Vertraulichkeit von Kundeninformationen zu wahren. Die Mitarbeiter müssen eine Vertraulichkeitsvereinbarung unterzeichnen und die Unternehmensrichtlinien zum Schutz vertraulicher Informationen als Teil ihrer ursprünglichen Beschäftigungsbedingungen einhalten. Sharpist holt von jedem Subunternehmer eine schriftliche Vertraulichkeitsvereinbarung ein, bevor dieser Subunternehmer Dienstleistungen erbringt.

Ausbildung und Schulung des Sicherheitsbewusstseins

Sharpist fördert das Sicherheitsbewusstsein und schult seine Mitarbeiter regelmäßig. Jeder Mitarbeiter ist verpflichtet, bei seiner Einstellung und danach jährlich eine Schulung zur Informationssicherheit zu absolvieren. Diese Schulung klärt die Mitarbeiter über ihre Verpflichtungen im Rahmen der Datenschutz- und Sicherheitsrichtlinien und -prinzipien von Sharpist auf.

Rechtsdurchsetzung

In regelmäßigen Abständen werden Sicherheitsüberprüfungen, Bewertungen und Audits durchgeführt, um die Einhaltung von Sharpists Richtlinien, Verfahren und Praktiken zur Informationssicherheit zu bestätigen. Mitarbeiter, die sich nicht an diese Richtlinien, Verfahren und Praktiken halten, können disziplinarisch belangt werden, bis hin zur Kündigung des Arbeitsverhältnisses.

Sharpist-Richtlinie zur Verwaltung von Werten

Übersicht

Die Sharpist-Richtlinie zur akzeptablen Nutzung bietet allen Sharpist-Mitarbeitern und -Geschäftspartnern eine Anleitung zu Informationsklassifizierungsschemata und den mit diesen Klassifizierungen verbundenen Mindestanforderungen an die Handhabung. Sharpist kategorisiert vertrauliche Informationen in vier Klassen - öffentlich, intern, vertraulich und streng vertraulich - wobei jede Klassifizierung angemessene Sicherheitsmaßnahmen erfordert, wie beispielsweise Verschlüsselungsanforderungen für Daten, die als vertraulich oder streng vertraulich eingestuft sind.

Schulung und Sensibilisierung

Während der obligatorischen Schulung von Sharpist werden die Mitarbeiter über die Datenschutzpolitik des Unternehmens informiert. Diese Schulung umfasst auch das Verständnis der Mitarbeiter für die Klassifizierung. Die Mitarbeiter müssen diese Schulung absolvieren, wenn sie bei Sharpist anfangen und sie danach regelmäßig wiederholen.

System-Bestandsaufnahme

Die Entwicklung und Pflege eines genauen Systeminventars ist ein notwendiges Element für ein effektives Management des gesamten Informationssystems und der betrieblichen Zuverlässigkeit. Sharpist's Asset Management Policy verlangt, dass ein genaues und aktuelles Inventar für alle Informationssysteme geführt wird, die kritische und hochkritische Informationswerte in Sharpist-Infrastrukturen enthalten.

Die erforderlichen technischen und geschäftlichen Informationen fallen in die folgenden Kategorien:

  • Hardware-Details wie Hersteller, Modellnummer und Seriennummer der Ausrüstung, des Systems oder des Geräts;
  • Physischer Standort des Rechenzentrums/der Einrichtung und Standort innerhalb des Gebäudes;
  • Software-Details wie Betriebssystem und Anwendungen und zugehörige Versionen
  • Klassifizierung von Informationsgütern;
  • Informationen über das Eigentum auf organisatorischer und individueller Ebene.

Sharpist-Zugriffskontrolle

Einführung

Zugriffskontrolle bezieht sich auf die Richtlinien, Verfahren und Werkzeuge, die den Zugriff auf und die Nutzung von Ressourcen regeln.
Beispiele für Ressourcen sind ein physischer Server, eine Datei, ein Verzeichnis, ein auf einem Betriebssystem laufender Dienst, eine Tabelle in einer Datenbank oder ein Netzwerkprotokoll.

  • Least Privilege ist ein systemorientierter Ansatz, bei dem die Benutzerrechte und die Systemfunktionalität sorgfältig bewertet werden und der Zugang auf die Ressourcen beschränkt wird, die die Benutzer oder Systeme zur Erfüllung ihrer Aufgaben benötigen.
  • Standardverweigerung ist ein netzwerkorientierter Ansatz, der implizit die Übertragung des gesamten Datenverkehrs verweigert und dann nur den gewünschten Verkehr auf der Grundlage von Protokoll, Port, Quelle und Ziel zulässt.

Sharpist's Richtlinien und Praktiken zur Zugangskontrolle

Die Sharpist-Zugangskontrollpolitik gilt für Zugangskontrollentscheidungen für alle Sharpist-Mitarbeiter und alle Informationsverarbeitungseinrichtungen, für die Sharpist administrative Befugnisse hat. Diese Richtlinie gilt nicht für öffentlich zugängliche, dem Internet zugewandte Sharpist-Systeme oder Endbenutzer.

Verwaltung von Privilegien

Die Autorisierung hängt von einer erfolgreichen Authentifizierung ab, da die Kontrolle des Zugriffs auf bestimmte Ressourcen von der Feststellung der Identität eines Unternehmens oder einer Person abhängt. Alle Sharpist-Autorisierungsentscheidungen zur Gewährung, Genehmigung und Überprüfung des Zugriffs beruhen auf den folgenden Grundsätzen:

  • Need-to-Know: Benötigt der Benutzer diesen Zugriff für seine Arbeitsfunktion?
  • Trennung der Aufgaben: Führt der Zugriff zu einem Interessenkonflikt?
  • Least Privilege ist der Zugang auf die Ressourcen und Informationen beschränkt, die für einen legitimen Geschäftszweck erforderlich sind?

Benutzer-Passwortverwaltung

Sharpist setzt strenge Passwortrichtlinien für das Sharpist-Netzwerk, das Betriebssystem und die Datenbankkonten durch, um die Wahrscheinlichkeit zu verringern, dass Eindringlinge durch Ausnutzung von Benutzerkonten und zugehörigen Passwörtern Zugang zu Systemen oder Umgebungen erhalten.

Periodische Überprüfung der Zugriffsrechte

Sharpist überprüft regelmäßig die Netzwerk- und Betriebssystemkonten im Hinblick auf angemessene Zugriffsebenen für Mitarbeiter. Im Falle von Kündigungen, Todesfällen oder Rücktritten von Mitarbeitern ergreift Sharpist geeignete Maßnahmen, um den Netzwerk-, Telefonie- und physischen Zugang sofort zu beenden.

Passwort-Richtlinie

Die Verwendung von Passwörtern ist in der Sharpist-Richtlinie für Passwörter geregelt. Sharpist-Mitarbeiter sind verpflichtet, die Regeln für die Länge und Komplexität von Passwörtern zu befolgen und ihre Passwörter jederzeit vertraulich und sicher zu behandeln. Passwörter dürfen nicht an unbefugte Personen weitergegeben werden. Unter bestimmten Umständen können autorisierte Sharpist-Mitarbeiter Passwörter zum Zweck der Bereitstellung von Support-Services weitergeben.

Netzwerk-Zugangsmaßnahmen

Sharpist hat strenge Netzwerkmaßnahmen implementiert und unterhält diese, um den Schutz und die Kontrolle von Kundendaten zu gewährleisten, wenn diese von einem Endsystem zu einem anderen übertragen werden. Die Sharpist-Zugangskontrollpolitik besagt, dass Endgeräte, die mit dem Sharpist-Netzwerk verbunden sind, etablierte Standards für Sicherheit, Konfiguration und Zugriffsmethoden erfüllen müssen.

Sicherheitsgrundsätze für die Netzwerkkommunikation

Übersicht

Für die Verwaltung von Netzwerksicherheits- und Netzwerkverwaltungsgeräten verlangt Sharpist vom IT-Personal die Verwendung sicherer Protokolle mit Authentifizierung, Autorisierung und starker Verschlüsselung. Netzwerkgeräte müssen sich in einer geschützten Umgebung befinden und über physische Zugangskontrollen und andere Standards für physische Sicherheitsmaßnahmen verfügen. Die Kommunikation zum und vom Sharpist-Unternehmensnetzwerk muss durch Netzwerksicherheitsgeräte an der Grenze des internen Sharpist-Unternehmensnetzwerks laufen. Der Zugriff auf das Sharpist-Unternehmensnetzwerk durch Lieferanten und Dritte unterliegt Beschränkungen und einer vorherigen Genehmigung gemäß der Sharpist Network Access Policy.

Asset Management

Netzwerkgeräte müssen in einem von Sharpist genehmigten Informationssysteminventar in Übereinstimmung mit der Sharpist-Richtlinie registriert werden. Diese Richtlinie erfordert eine genaue Inventarisierung und dokumentierte Eigentümerschaft aller Informationssysteme, die kritische und hochkritische Informationswerte während ihres gesamten Lebenszyklus verarbeiten, unter Verwendung eines genehmigten Inventarsystems.

Drahtlose Netzwerke

Die Sharpist-Sicherheitsrichtlinie regelt den Einsatz und die Nutzung von drahtlosen Netzwerken und Konnektivität für den Zugriff auf das Sharpist-Unternehmensnetzwerk. Sharpist verwaltet drahtlose Netzwerke und überwacht nicht autorisierte drahtlose Netzwerke.

Sicherheit

Einführung

Die Information Asset Classification von Sharpist bestimmt die Datensicherheitsanforderungen des Unternehmens für die von Sharpist verwalteten Systeme. Die Sharpist-Richtlinien und -Standards bieten eine Anleitung für geeignete Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten in Übereinstimmung mit der Datenklassifizierung. Die erforderlichen Mechanismen sind so konzipiert, dass sie mit der Art der zu schützenden Unternehmensdaten übereinstimmen. Zum Beispiel sind die Sicherheitsanforderungen für sensible oder wertvolle Daten wie Cloud-Systeme, Quellcode und Beschäftigungsdaten höher. Sicherheitsmaßnahmen Sharpist kann in drei Kategorien unterteilt werden: administrative, physische und technische Sicherheitsmaßnahmen.

  • Verwaltungsmaßnahmen, einschließlich logischer Zugangskontrolle und Personalverfahren;
  • Physische Maßnahmen, die den unbefugten physischen Zugang zu Servern und Datenverarbeitungsumgebungen verhindern sollen;
  • Technische Maßnahmen, einschließlich sicherer Konfigurationen und Verschlüsselung für Daten im Ruhezustand und bei der Übertragung (Data at Rest, Data in Motion).

Sharpist's Sicherheitspolitik für Endgeräte (stationär und mobil)

Einführung

Die Sharpist-Richtlinie schreibt die Verwendung von Antiviren-, IPS- (Intrusion Prevention System) und Firewall-Software auf den Endgeräten vor - soweit dies möglich ist. Darüber hinaus müssen automatische Sicherheitsupdates und Virensignatur-Updates auf allen Endgeräten aktiviert sein. Endgeräte, die Sharpist- oder Kundendaten verarbeiten, werden mit zugelassener Software verschlüsselt.

Schutz vor bösartigem Code

Sharpist-Mitarbeiter müssen die Sharpist-E-Mail-Anweisungen befolgen und sind dafür verantwortlich, dem Sharpist-Mitarbeiter-Helpdesk sofort jeden Virus oder vermuteten Virenbefall zu melden, der nicht durch Antivirensoftware behoben werden kann. Den Mitarbeitern ist es untersagt, Antiviren-Software und den Sicherheits-Update-Service von einem Endgerät zu verändern, zu deaktivieren oder zu entfernen. Sharpist-Mitarbeiter, die gegen diesen Standard verstoßen, können disziplinarisch belangt werden, bis hin zur Kündigung des Arbeitsverhältnisses.

Endgeräte Verschlüsselung

Um sensible Sharpist-Informationen zu schützen, müssen Sharpist-Mitarbeiter eine von Sharpist zugelassene Verschlüsselungssoftware auf ihren Endgeräten installieren.

Mobilitätsmanagement für Unternehmen

Sharpist setzt eine Lösung für das Management mobiler Geräte ein, um Daten auf von Mitarbeitern betriebenen mobilen Geräten zu schützen. Diese Lösungen unterstützen alle wichtigen Betriebssysteme und Plattformen für mobile Geräte. Die IT- und Sicherheitsorganisationen von Sharpist fördern regelmäßig das Bewusstsein für die Sicherheit mobiler Geräte und bewährte Verfahren.

Datensicherheit: Physische und Umgebungskontrollen

Präventive Maßnahmen: Schutz von Sharpist-Assets und -Mitarbeitenden

Sharpist hat die folgenden Protokolle implementiert:

  • Der physische Zugang zu den Einrichtungen ist auf Sharpist-Mitarbeiter, Auftragnehmer und autorisierte Besucher beschränkt;
  • Besucher müssen begleitet und/oder beobachtet werden, wenn sie sich auf dem Gelände von Sharpist aufhalten und/oder an die Bedingungen einer Vertraulichkeitsvereinbarung mit Sharpist gebunden sind;
  • Sharpist überwacht den Besitz von Schlüsseln/Zugangskarten und die Fähigkeit, Zugang zu Einrichtungen zu erhalten. Mitarbeiter, die aus dem Arbeitsverhältnis mit Sharpist ausscheiden, müssen die Schlüssel/Karten zurückgeben und die Schlüssel/Karten werden bei Kündigung deaktiviert.

Sicherheit im Rechenzentrum

Die Systeme von Sharpist werden in Rechenzentren betrieben, die die Sicherheit und Verfügbarkeit der Kundendaten gewährleisten. Dieser Ansatz beginnt mit Sharpist's Standortauswahlprozess. Sharpist-Systeme beherbergen und nutzen redundante Stromquellen und unterhalten Generator-Backups für den Fall eines großflächigen Stromausfalls. Sie werden hinsichtlich Lufttemperatur und -feuchtigkeit genauestens überwacht, und es sind Brandunterdrückungssysteme vorhanden. Das Personal des Rechenzentrums ist in der Reaktion auf Zwischenfälle und in Eskalationsverfahren geschult, um auf potenzielle Sicherheits- und Verfügbarkeitsereignisse reagieren zu können.

Sharpist Kommunikation und Betriebsmanagement

Einführung

Die Sicherheitsprogramme von Sharpist sind darauf ausgelegt, die Vertraulichkeit, Integrität und Verfügbarkeit sowohl von Sharpist- als auch von Kundendaten zu schützen. Sharpist arbeitet kontinuierlich an der Stärkung und Verbesserung der Sicherheitsmaßnahmen und -praktiken des Unternehmens für seine internen Abläufe und Dienstleistungen.

Akzeptable Nutzung

Sharpist hat formale Anforderungen für die Nutzung des Sharpist-Firmennetzwerks, der Computersysteme, der Telefonsysteme, der Messaging-Technologien, des Internetzugangs und anderer Unternehmensressourcen, die den Mitarbeitern und Auftragnehmern von Sharpist zur Verfügung stehen.

Allgemeine Sicherheitsgrundsätze für die Kommunikation

Die Kommunikation zum und vom Sharpist-Firmennetzwerk muss durch Netzwerksicherheitsgeräte an der Netzwerkgrenze geleitet werden.

Pflichtentrennung und Kenntnisnahme der Grundsätze

Sharpist setzt klar definierte Rollen durch, die eine Aufgabentrennung zwischen dem Betriebspersonal ermöglichen. Der Betrieb ist in Funktionsgruppen organisiert, wobei jede Funktion von separaten Gruppen von Mitarbeitern ausgeführt wird. Beispiele für funktionale Gruppen sind Datenbankadministratoren, Systemadministratoren und Netzwerktechniker.

Überwachung und Schutz von Audit-Protokollinformationen

Sharpist protokolliert bestimmte sicherheitsrelevante Aktivitäten auf Betriebssystemen, Anwendungen, Datenbanken und Netzwerkgeräten. Die Systeme sind so konfiguriert, dass sie den Zugriff auf Sharpist-Programme sowie Systemwarnungen, Konsolenmeldungen und Systemfehler protokollieren. Sharpist implementiert Kontrollen zum Schutz vor Betriebsproblemen, dem Versäumnis, Ereignisse aufzuzeichnen, und/oder dem Überschreiben von Protokollen. Sharpist prüft Protokolle für forensische Zwecke und Vorfälle und identifiziert anomale Aktivitäten, die in den Prozess des Sicherheitsvorfallsmanagements einfließen. Der Zugang zu den Sicherheitsprotokollen wird nach dem Prinzip "need-to-know" und "least privilege" gewährt. Wenn möglich, werden die Protokolldateien zusätzlich zu anderen Sicherheitskontrollen durch starke Verschlüsselung geschützt, und der Zugriff wird überwacht. Protokolle von Systemen, die über das Internet zugänglich sind, werden auf Systeme verschoben, die nicht über das Internet zugänglich sind.

Asset Management

Die Sharpist-Inventarverwaltung für Informationssysteme erfordert eine genaue Inventarisierung aller Informationssysteme und Geräte, die kritische und hochkritische Informationswerte enthalten, während ihres gesamten Lebenszyklus über ein Sharpist-Inventarsystem. Diese Richtlinie definiert die erforderlichen Identifikationsattribute, die für Server-Hardware, Software, auf Informationssystemen gespeicherte Daten und Informationen, die für Disaster Recovery und Business Continuity-Zwecke benötigt werden, aufgezeichnet werden müssen.

Kommunikationstechnologie

Sharpist verwaltet Unternehmenslösungen für die Zusammenarbeit und Kommunikation innerhalb von Sharpist und mit externen Parteien. Die Richtlinien von Sharpist verlangen, dass die Mitarbeiter diese genehmigten Unternehmenstools verwenden, wenn sie mit vertraulichen Informationen umgehen. Sharpist hat Standards für den sicheren Informationsaustausch mit Lieferanten und anderen Dritten definiert.

Sicherheit und Gewährleistung Sharpist-Lieferkette

Einführung

Die Kunden von Sharpist verlassen sich beim Schutz ihrer Daten auf die Lösungen von Sharpist. Sharpist geht bei der Entwicklung seiner Systeme mit großer Sorgfalt vor. Sharpist hat formelle Richtlinien und Verfahren eingeführt, um die Sicherheit seiner Lieferkette zu gewährleisten. Diese Richtlinien und Verfahren erklären, wie Sharpist Drittanbieter auswählt, um sie in die Sharpist-Systeme einzubinden. Sharpist hat auch formale Anforderungen an seine Lieferanten und Partner, um zu bestätigen, dass sie die Daten und Vermögenswerte von Sharpist und Dritten, die ihnen anvertraut werden, schützen werden.

Übersicht

Das Risikomanagement der Lieferkette von Sharpist konzentriert sich auf Qualität, Verfügbarkeit, Lieferkontinuität und Widerstandsfähigkeit in der direkten Lieferkette von Sharpist sowie auf die Authentizität und Sicherheit der Sharpist-Plattform und -Dienstleistungen. Andere Sicherheitsprozesse konzentrieren sich auf die Sicherheit und den Produktschutz während des Transports, des Versands und der Lagerung.

Datenschutz bei Sharpist

Weitere Informationen zum Datenschutz finden Sie unter https://sharpist.com/legals/privacy-policy/.

Reaktion auf Vorfälle

Übersicht

In Anlehnung an die empfohlenen Praktiken in den von der International Organization for Standardization (ISO) und anderen Industriequellen herausgegebenen allgemeinen Sicherheitsstandards hat Sharpist eine Vielzahl von präventiven, detektiven und korrigierenden Sicherheitsmaßnahmen mit dem Ziel des Schutzes von Informationswerten implementiert.

Netzwerk-Schutz

Der Sharpist-Netzwerkschutz umfasst Lösungen zur Gewährleistung der Servicekontinuität und zur Abwehr von Denial-of-Service (DoS)- und Distributed-Denial-of-Service (DDoS)-Angriffen. Die Ereignisse werden mit Hilfe von Signaturerkennung analysiert, d.h. einem Musterabgleich von Umgebungseinstellungen und Benutzeraktivitäten mit einer Datenbank bekannter Angriffe. Sharpist aktualisiert die Signaturdatenbank regelmäßig.

Reaktion auf Vorfälle

Sharpist bewertet und reagiert auf Vorfälle, die den Verdacht eines unbefugten Zugriffs auf oder einer unbefugten Handhabung von Kundendaten aufkommen lassen, unabhängig davon, ob sich die Daten auf Sharpist-Hardware oder auf der persönlichen Hardware von Sharpist-Mitarbeitern befinden. Die Sharpist-Richtlinie zur Behandlung von Vorfällen im Bereich der Informationssicherheit definiert die Anforderungen an die Berichterstattung über Vorfälle und die Reaktion darauf. Diese Richtlinie ermächtigt das Informationssicherheitsteam, als Hauptansprechpartner für die Reaktion auf Sicherheitsvorfälle zu dienen und die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vorzugeben. Die Anforderungen des Unternehmens an Programme zur Reaktion auf Vorfälle und an Reaktionsteams sind für jede Art von Vorfall definiert:

  • Validierung, dass ein Vorfall aufgetreten ist
  • Kommunikation mit relevanten Parteien und Benachrichtigungen
  • Beweissicherung
  • Dokumentieren eines Vorfalls selbst und der damit verbundenen Reaktionsaktivitäten
  • Eindämmen eines Vorfalls
  • Beseitigung eines Vorfalls
  • Eskalieren eines Vorfalls

Nach der Entdeckung eines Vorfalls definiert Sharpist einen Reaktionsplan für eine schnelle und effektive Untersuchung, Reaktion und Wiederherstellung des Vorfalls. Eine Ursachenanalyse wird durchgeführt, um Möglichkeiten für geeignete Maßnahmen zur Verbesserung der Sicherheitslage und der Verteidigung im Detail zu identifizieren. Formale Verfahren und zentralisierte Systeme werden verwendet, um Informationen zu sammeln und eine Beweiskette während der Untersuchung eines Vorfalls aufrechtzuerhalten. Sharpist ist in der Lage, bei Bedarf die gesetzlich zulässige forensische Datenerfassung zu unterstützen.

Benachrichtigungen

Für den Fall, dass Sharpist feststellt, dass ein Sicherheitsvorfall aufgetreten ist, wird Sharpist alle betroffenen Kunden oder andere Dritte in Übereinstimmung mit seinen vertraglichen und gesetzlichen Verpflichtungen unverzüglich benachrichtigen. Informationen über bösartige Versuche oder vermutete Vorfälle sind für Sharpist vertraulich und werden nicht an Dritte weitergegeben. Auch der Verlauf von Vorfällen ist für Sharpist vertraulich und wird nicht an Dritte weitergegeben.

Business Continuity Management

Die Sharpist Business Continuity Management-Richtlinie definiert Anforderungen und Standards für den Fall einer Betriebsunterbrechung. Sie legt auch die funktionalen Rollen und Verantwortlichkeiten fest, die erforderlich sind, um die Business-Continuity-Fähigkeit für Sharpist in allen Geschäftsbereichen und an allen Standorten einzurichten, zu pflegen, zu testen und zu bewerten. Sie definiert die Verantwortlichkeiten für die Überwachung der Einhaltung des Programms.