Zuletzt aktualisiert: 18. Dezember 2025
1.EINLEITUNG
Zweck
Diese Informationssicherheitsrichtlinie ist ein Leitfaden für Praxas-Mitarbeiter, um Richtlinien und bewährte Praktiken für den Schutz vertraulicher, sensibler oder geschützter Informationen vor unbefugtem Zugriff, Verwendung, Offenlegung, Veränderung oder Zerstörung festzulegen. Informationen sind ein Vermögenswert und müssen angemessen geschützt werden.
Definition
Informationssicherheit ist der Prozess zum Schutz von Daten durch Risikominderung. Sie umfasst digitale Daten, physische Daten und Cybersicherheit.
Geltungsbereich
Diese Informationssicherheitsrichtlinie gilt für alle Praxas-Mitarbeiter, unabhängig von Arbeitsvertrag, Position oder Standort. Sie gilt auch für alle Auftragnehmer und Drittdienstleister, die Zugang zu den Informationen und Informationssystemen des Unternehmens haben.
Praxas hält alle relevanten Gesetze, Vorschriften und Industriestandards in Bezug auf die Informationssicherheit ein, in denen wir tätig sind.
2. VERANTWORTUNG
Praxas stellt sicher, dass alle Mitarbeiter über ihre Verantwortlichkeiten und Pflichten in Bezug auf die Informationssicherheit geschult werden.
Für die Zwecke dieser Richtlinie und einiger regionaler Vorschriften ist Praxas ein Data Controller (DC) und stellt sicher, dass es einen ernannten Datenschutzbeauftragten (DSB) gibt, wo dies der Fall ist. Diese Position sollte mit angemessenen Ressourcen ausgestattet sein, den Direktoren unterstellt sein und keine anderen Aufgaben wahrnehmen, die zu einem Interessenkonflikt führen könnten. Er ist auch der Ansprechpartner für alle regionalen Aufsichtsbehörden und Personen, deren Daten von der Gesellschaft verarbeitet werden.
Management
Direktoren, Manager und Vorgesetzte haben die Aufgabe, Richtlinien und Verfahren zu implementieren und zu überwachen, die das Risiko von Datenschutzverletzungen verringern, und sicherzustellen, dass es eine ausreichende Planung gibt, um auf Vorfälle zu reagieren. Die Mitarbeiter sollten je nach ihrer Rolle und ihren Aufgaben entsprechend geschult werden.
Die IT-Manager von CIMSense und die regionalen IT-Supportmitarbeiter sind dafür verantwortlich, dass die Software und die Geräte mit den neuesten Sicherheits-Patches und Updates aktualisiert werden, dass die Netzwerke vor unbefugtem Zugriff auf die Systeme geschützt werden und dass die IT-Schulungen überwacht werden.
Mitarbeiter
Alle Mitarbeiter sind dazu verpflichtet:
- Halten Sie sich an alle Praxas-Richtlinien und alle zusätzlichen Verfahren und Richtlinien in Ihrem Mitarbeiterhandbuch oder anderen relevanten Unternehmensmaterialien, die sich auf den Umgang mit Daten, E-Mail- und Internetnutzung, Gerätemanagement und soziale Netzwerke beziehen.
- Schützen Sie Passwörter und Zugangsdaten – erstellen Sie sichere Passwörter, geben Sie diese niemals weiter, verwenden Sie nicht dasselbe Passwort für mehrere Konten und stellen Sie sicher, dass Ihr persönliches Mobilgerät ausreichend geschützt ist, wenn Sie auf E-Mails und/oder Dokumente des Unternehmens zugreifen. Das bedeutet mindestens, dass das Gerät mit einem Passwort, einer PIN oder einer biometrischen ID geschützt sein muss.
- Melden Sie Sicherheitsvorfälle – achten Sie auf verdächtige Aktivitäten (Phishing-E-Mails, Malware-Infektionen, verdächtige Logins) und melden Sie alle Vorfälle sofort einem CIMSense IT-Manager oder einem regionalen IT-Support-Mitarbeiter. Vorfälle können auch per E-Mail an support@cimsense.com gemeldet werden.
- Schützen Sie physische Dokumente – physische Dokumente, die sensible Informationen enthalten, sollten ordnungsgemäß gesichert und sicher entsorgt werden, wenn sie nicht mehr benötigt werden.
- Vermeiden Sie risikoreiche Aktionen – seien Sie vorsichtig, wenn Sie auf öffentliche WiFi-Netzwerke zugreifen, und stellen Sie sicher, dass Ihr Gerät mit aktueller Antivirensoftware geschützt ist. Laden Sie keine Software aus nicht vertrauenswürdigen Quellen herunter, die die Sicherheit der Unternehmensdaten gefährden könnte. Denken Sie sorgfältig nach, bevor Sie Wechseldatenträger (z.B. USB-Laufwerke) verwenden, und denken Sie daran, diese vom Host-Gerät zu entfernen.
3. ZUGANGSKONTROLLE
Praxas wird allen Mitarbeitern und anderen Nutzern die Informationen zur Verfügung stellen, die sie benötigen, um ihre Aufgaben effektiv und effizient zu erfüllen. Der Zugang zu Informationen und Informationssystemen wird nach den Grundsätzen des geringsten Rechtsanspruchs und der Notwendigkeit, etwas zu wissen, gewährt.
Auf Konzernebene verfügt CIMSense über mehrere Möglichkeiten, Informationen zu schützen, die ihm über seine Unternehmen, einschließlich Praxas, zur Verfügung gestellt werden. Dazu gehört unter anderem die CIMSense Access Control Policy.
Physische Zugangskontrolle
Praxas-Mitarbeiter, die im Rahmen ihrer Tätigkeit Zugang zu vertraulichen und sensiblen Informationen benötigen, werden im sicheren Umgang mit allen Informationen geschult und in den Verfahren unterwiesen, die regeln, wie Daten innerhalb des Unternehmens verwendet, gespeichert, weitergegeben und organisiert werden.
Persönliche und vertrauliche Daten müssen verschlossen aufbewahrt werden, wenn sie nicht gebraucht werden, und Schlüssel sollten nicht im Schloss von Aktenschränken und Türen stecken bleiben.
Digitale Zugangskontrolle
Benutzerkonten sollten mit sicheren Passwörtern eingerichtet werden, und der Zugang sollte bei Beendigung des Arbeitsverhältnisses oder des Vertrags widerrufen werden.
Benutzer sollten ihre Anmeldedaten nicht mit anderen teilen oder anderen erlauben, ihre Konten zu benutzen. Generische oder Gruppen-IDs sind normalerweise nicht erlaubt.
Die Informationssysteme müssen über Authentifizierungs- und Autorisierungsmechanismen verfügen, um sicherzustellen, dass nur autorisierte Benutzer auf Informationen zugreifen können, einschließlich einer Multi-Faktor-Authentifizierung.
Fernbenutzer müssen von einem CIMSense IT-Manager oder einem regionalen IT-Support-Mitarbeiter autorisiert werden. Ein unkontrollierter externer Zugriff auf Netzwerkgeräte oder -systeme ist nicht gestattet.
4.DATENSCHUTZ
Alle Gebiete
Praxas verfügt über eine separate Datenschutzrichtlinie, in der erläutert wird, wie das Unternehmen die Privatsphäre des Einzelnen respektiert und sich für den Schutz persönlicher Daten einsetzt.
Vertrauliche, sensible oder urheberrechtlich geschützte Daten müssen vor unbefugtem Zugriff, Verwendung, Offenlegung, Änderung oder Zerstörung geschützt werden. Praxas-Daten enthalten in der Regel Namen oder Zahlen. Beispiele hierfür sind Mitarbeiterdaten, Produktnamen, Preise, Kosten, Steuernummern, Registrierungszeichen, Codes und Daten.
Informationen werden auf der Grundlage ihrer Sensibilität eingestuft und es werden geeignete Kontrollen zum Schutz der Informationen durchgeführt.
Zum Schutz sensibler Informationen während der Übertragung und Speicherung wird Verschlüsselung eingesetzt.
Digitale Informationen müssen regelmäßig gesichert werden, um einen Datenverlust im Falle eines Hardwareausfalls oder einer Katastrophe zu verhindern. Dritte, die digitale Daten hosten, z. B. Cloud-Dienste, müssen strenge Anforderungen erfüllen und zertifiziert werden.
Europäische Union und Vereinigtes Königreich
Die Allgemeinen Datenschutzbestimmungen der EU (GDPR) und der britische Data Protection Act 2018, der die GDPR-Vorschriften umsetzt, schützen personenbezogene Daten von EU-Bürgern oder Einwohnern. Wie oben beschrieben, beschreibt die Datenschutzrichtlinie, wie das Unternehmen mit persönlichen Daten umgeht und sie schützt.
In Übereinstimmung mit den GDPR-Vorschriften werden die betroffenen Personen innerhalb von 72 Stunden nach dem Vorfall über jede Verletzung des Schutzes personenbezogener Daten informiert.
5. ÜBERWACHUNG
Die Informationssysteme werden auf unbefugten Zugriff, unbefugte Nutzung oder Offenlegung überwacht. Die Protokolle werden regelmäßig überprüft und analysiert, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren.
Schwachstellenrisikobewertungen und Penetrationstests werden regelmäßig durchgeführt, um potenzielle Sicherheitsrisiken zu identifizieren und zu minimieren.
6. SICHERHEITSVORFÄLLE
Vorfälle können enorme Auswirkungen auf ein Unternehmen in Bezug auf Kosten, Produktivität und Ruf haben. Alle Sicherheitsvorfälle sollten sofort einem CIMSense IT-Manager und regionalen IT-Support-Mitarbeitern gemeldet werden, damit der Vorfall so schnell wie möglich eingedämmt und behoben werden kann.
Für alle Arten von Sicherheitsverletzungen sollten auf lokaler Ebene und auf Konzernebene Pläne zur Reaktion auf Vorfälle formuliert und umgesetzt werden. Auf Konzernebene verfügt CIMSense über eine Incident Response Policy und einen Incident Response Plan. Alle Pläne sollten in regelmäßigen Abständen getestet werden, um ihre Wirksamkeit zu gewährleisten.
7. NICHTEINHALTUNG & DISZIPLINARISCHE MASSNAHMEN
Verstöße gegen diese Richtlinie können schwerwiegende Konsequenzen für CIMSense und Praxas nach sich ziehen und Einzelpersonen in persönliche Bedrängnis bringen. Jeder Verstoß wird gründlich untersucht und kann zu disziplinarischen Maßnahmen gegen den Zuwiderhandelnden führen.