Információs és adatvédelmi irányelv
Előszó
Az autó- és gépgyártási iparág számára kiválóan illeszkedő, a felhasználás igényeinek megfelelő tömítési megoldások világszerte vezető fejlesztőjeként és gyártójaként a KACO kiforrott alapanyag és rendszer-kompetenciával és magas innovációs erővel tűnik ki. Ezen oknál fogva saját bizalmas adataink, és ügyfeleink bizalmas adatainak védelme központi jelentőséggel bír.
IT- és kommunikációs rendszereink megbízható rendelkezésre állása döntő fontosságú a zavartalan munkafolyamatokhoz és az adatok elérhetőségéhez.
Részleteiben a következőket kell figyelembe venni:
Az információs és kommunikációs technológiák helye és értéke
Az információk feldolgozása feladataink teljesítésében kulcsfontosságú szerepet játszik. Az információs-technológia (IT) minden lényeges stratégiai és operatív funkciót és feladatot jelentős mértékben támogat. Az IT-rendszerek kiesését összességében rövid időn belül tudni kell kompenzálni. Minden rendszer működőképességének biztosítottnak kell lennie. Mivel központi kompetenciánkat az innovatív termékek fejlesztése képezi, ezeknek az információknak jogosulatlan hozzáférés és tiltott módosítás ellen történő védelme létfontosságú. Ugyanilyen jelentőséget tulajdonítunk a személyes adatok védelmének is.
Célok átfogóan
Adataink és IT-rendszerünk rendelkezésre állása minden műszaki és kereskedelmi területen úgy van biztosítva, hogy az elvárt állásidők egy tűrhető minimum mértékre redukálódjanak. Az adatokban és IT-rendszerekben fellépő hibákat és rendszertelenségeket amennyire lehet, kerülni kell, ezek csak kivételes esetekben elfogadhatóak (integritás). A titoktartással szemben támasztott követelmények az érvényes törvények magas színvonalához igazodnak. Érzékeny személyes adatokra, a fejlesztési és gyártási adatokra a bizalmasság legmagasabb követelményei érvényesek.
A standard biztonsági intézkedéseknek alkalmasnak kell lenniük az érintett információk védelmére, és ezen felül gazdaságilag vállalható arányban kell állniuk a védendő információk és IT-rendszerek értékével. Hiányos IT-biztonság miatti anyagi károkat vagy a személyek személyes jogai és szabadságai sérülésének magas kockázatát meg kell akadályozni.
A vállalat minden dolgozója betartja az idevágó törvényeket (pl. büntető törvénykönyv, üzemi alaptörvény, kereskedelmi törvénykönyv, társadalombiztosítási törvénykönyv, adatvédelmi törvények és rendeletek) és a szerződéses szabályozásokat. Minden munkatárs tudatában van annak, hogy a törvények megszegése súlyos pénzbeli és nem pénzbeli következményekkel járhat a vállalat, valamint a felelős személyek számára. A bármely kötelezettség nem teljesítése kivizsgálást és büntető eljárást von maga után, a vétségek fegyelmi eljárást vonnak maguk után, mely a vétség súlyosságától függően akár felmondáshoz is vezethet.
Minden munkatárs és a vállalat vezetése is tudatában van felelősségének az információs- és kommunikációs technológiák kezelése során, és a biztonsági stratégiákat legjobb tudása szerint támogatja.
Célok részletezve
Egy megkésett vagy hibás menedzsment-döntésnek messzire nyúló következménye lehet. Ezért a fontos döntésekhez a menedzsment számára lényeges az aktuális irányítási adatokhoz való hozzáférés. Ezeknél az információknál biztosítani kell a rendelkezésre állás és az integritás magas biztonsági színvonalát.
Az adatvédelmi törvények és munkatársaink érdekei megkövetelik a munkatársi adatok bizalmasságának biztosítását. A személyi osztályon található adatok és IT-alkalmazások különlegesen magas biztonsági védelem alá esnek. Ugyanez érvényes ügyfeleink és üzleti partnereink adataira.
Az értékesítés számára a kívülre, az ügyfelekkel és üzleti partnerekkel történő kommunikáció és az ügyfél-adatbankhoz történő hozzáférés alapvetően szükséges. Az üzleti folyamatok lebonyolítása nem késlekedhet, főleg nem kerülhet veszélybe. Különösen az IT-rendszerek és adatok hiányos rendelkezésre állása, de hibás működés is bevételkieséshez vezethet. A kommunikáció és a megfelelő adatokhoz történő hozzáférés fenntartása az értékesítési munkatársak számára fontos adatvédelmi igény.
A kutatási és fejlesztési részleg adatai különösen magas titoktartási követelmények alá tartoznak. Ezek elvesztése, módosítása vagy ellopása a konkurenciával szemben hátrányt jelenthet. Műszaki intézkedésekkel és a munkatársak nagyfokú odafigyelésével a bizalmasságot védeni kell, a manipulációt pedig meg kell előzni.
A termelési részlegen belül biztosítani kell a rendszerek rendelkezésre állását és hibamentességét, mivel ezek hiánya egyrészt negatívan hathat ki a termékminőségre, másrészt leállási időkhöz vezethet, ami által a következő folyamatok végeredményben az árbevételt is negatívan befolyásolják. A kieséseket ezért amennyire csak lehet, kerülni kell.
Az internet használata információk beszerzésére és kommunikációra számunkra magától értetődő. Az e-mail helyettesíti, vagy kiegészíti a többi irodai kommunikációs útvonalat. Megfelelő intézkedésekkel az internethasználat kockázatát állandóan csökkenteni kell.
Információs biztonsági és adatvédelmi irányítás
Az információs biztonsági és adatvédelmi célok eléréséhez biztonsági szervezetet működtetünk. Kineveztük az IT-biztonsági és adatvédelmi megbízottakat. A megbízottak ilyen funkciójukban közvetlenül az ügyvezetésnek jelentenek.
Az ügyvezetés elegendő pénzügyi és időforrást bocsát a megbízottak és adminisztrátorok rendelkezésére, hogy rendszeresen tovább tudják képezni magukat, illetve tájékozódni tudjanak, és elérjék az ügyvezetés által meghatározott információs biztonsági és adatvédelmi célokat.
Az adminisztrátorokat és megbízottak munkáját az IT-felhasználóknak megfelelően támogatniuk kell.
Az IT-biztonsági megbízottat időben be kell vonni minden projektbe annak érdekében, hogy már a tervezési szakaszban figyelembe vegyék a biztonsági szempontból fontos aspektusokat. Amennyiben személyes adatok érintettek, akkor ugyanez érvényes az adatvédelmi megbízottra.
Az IT-felhasználóknak biztonsági szempontból fontos kérdések esetén tartaniuk kell magukat az IT-biztonsági megbízott, ill. az adatvédelmi megbízott utasításaihoz.
Biztonsági intézkedések
Minden eljárásra, adatra, információra, IT-alkalmazásra és IT-rendszerre felelős személyeket neveztünk ki, akik egy funkciókat átfogó team által meghatározott mindenkori védelmi szükségletnek megfelelően hozzáférési jogosultságokat adnak meg.
Minden felelős funkcióban van helyettes személy.
Az épületet és helyiségeket megfelelő beléptetési ellenőrzéssel védik. Az IT-rendszerekhez történő hozzáférést megfelelő hozzáférési ellenőrzés korlátozza. Egy tiltó jogosultsági koncepció szabályozza az adatokhoz történő hozzáférést.
Számítógépes vírusok elleni védőprogramokat minden IT-rendszerben használnak. Minden internetes hozzáférést megfelelő tűzfal biztosít. A védőprogramokat úgy konfigurálták és adminisztrálták, hogy azok hatékony védelmet jelentsenek, és megakadályozzák a manipulációt. Az IT-felhasználókat felszólítjuk, hogy biztonsági szempontból tudatos munkával támogassák ezeket a biztonsági intézkedéseket, és feltűnő események esetén megfelelően tájékoztassák a megadott helyeket.
Az adatvesztést minden biztonsági intézkedés ellenére sem lehet soha teljesen kizárni. Ilyen esetben átfogó adatbiztosítás garantálja, hogy az IT-üzemeltetést rövid határidőn belül ismét folytatni lehessen, ha az operatív adatállomány egyes részei elvesznek, vagy nyilvánvalóan hibásak. Az információkat és adatokat egységesen kell jelölni, és úgy kell megőrizni, hogy gyorsan ismét fellelhetőek legyenek.
Vészhelyzet esetén a károk korlátozása, illetve még nagyobb károk megelőzése érdekében a biztonsági eseményekre gyorsan és konzekvensen kell reagálni. A vészhelyzetben szükséges intézkedéseket egy külön vészhelyzet-megelőzési koncepcióban foglaltuk össze. Célunk az, hogy még rendszerkiesés esetén is fenn lehessen tartani a kritikus üzleti folyamatokat, és a kiesett rendszerek rendelkezésre állását tűrhető időhatáron belül ismét helyre lehessen állítani.
Amennyiben valamely IT-szolgáltatást külsős szolgáltatóhoz helyezünk ki, akkor konkrét biztonsági követelményeket írunk elő a szolgáltatás fokát leíró megállapodásban (Service Level Agreements). Ezen kívül fenntartjuk az ellenőrzési jogot. Az átfogó vagy komplex kihelyezési szándékhoz részletes biztonsági koncepciót készítünk konkrét intézkedési előírásokkal.
Az információs biztonságra és adatvédelemre vonatkozó szabályozások minden munkatárs számára rendelkezésre állnak a belső hálózaton (intranet), illetve azokat rendszeresen oktatják. Minden IT-felhasználó számára rendszeres oktatásokat végzünk az információs- és kommunikációs technológiák megfelelő használatáról, és az ezekkel összefüggő biztonsági intézkedésekről. Az ügyvezetés támogatja a jogos igénynek megfelelő továbbképzést.
A biztonság javítása
Az irányítási rendszert rendszeresen felülvizsgáljuk aktualitását és hatékonyságát illetően. Emellett a biztonsági intézkedéseket rendszeresen megvizsgáljuk arra vonatkozóan, hogy azokat az érintett munkatársak ismerik-e, hogy azok végrehajthatóak-e és az üzemi folyamatokba integrálhatóak-e.
Az ügyvezetés támogatja a biztonsági szint állandó javítását. A munkatársakat kérjük, hogy az esetleges jobbítási javaslataikat vagy a gyenge pontokra történő figyelem-felhívásukat adják tovább a megfelelő helyekre.
A szabályzatok folyamatos felülvizsgálatával és azok betartásával biztosítjuk a megcélzott biztonsági és adatvédelmi szintet. Az eltéréseket elemezzük abból a célból, hogy javítsuk a biztonsági állapotot, és azt az aktuális IT-biztonságtechnikai színvonalon tartsuk.