Informationssicherheitsrichtlinie für externe Benutzer
Geltungsbereich und Zweck
Diese Informationssicherheitsrichtlinie legt die Mindestanforderungen und Verhaltensregeln fest, die für externe Benutzer bei der Arbeit mit der SCS IT-Infrastruktur und nicht öffentlichen Informationen gelten. Sie dient dazu, die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme und Daten zu gewährleisten. Die Richtlinie ist im Einklang mit dem internationalen Standard ISO/IEC 27001 für Informationssicherheitsmanagementsysteme (ISMS) erstellt.
Umgang mit Anmeldeinformationen (Passwörter, Zweitfaktoren, Keys)
Sicherheit der Anmeldeinformationen
- Externe Benutzer müssen starke Passwörter verwenden, die mindestens 10 Zeichen lang sind und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthalten.
- Anmeldeinformationen dürfen nicht wiederverwendet werden.
- Es dürfen kein Trivialpasswörter (1234567890.. ) verwendet werden.
- Es dürfen keine auf Sachverhalten basierende Passwörter (Name, Geburtsdatum…) verwendet werden.
Vertraulichkeit
- Accounts sind Persönlich und dürfen nicht geteilt werden.
- Anmeldeinformationen sind streng vertraulich zu behandeln und dürfen nicht an Dritte weitergegeben werden.
Regelmäßige Änderung
- Passwörter müssen alle 18 Monate geändert werden. Bei Verdacht auf Kompromittierung ist das Passwort sofort zu ändern.
Sperren / Abmelden
Automatische Sperre
- Arbeitsstationen und Geräte müssen so konfiguriert sein, dass sie sich automatisch sperren, wenn sie für eine festgelegte Zeitdauer (z.B. 5 Minuten) nicht genutzt werden.
Manuelle Sperre
- Benutzer müssen ihre Arbeitsstationen manuell sperren (z.B. durch Drücken von
Win + L
bei Windows oderCmd + Ctrl + Q
bei MacOS), wenn sie ihren Arbeitsplatz verlassen, auch wenn es nur für kurze Zeit ist.
Abmeldung
- Benutzer müssen sich am Ende jeder Sitzung von allen Systemen und Anwendungen abmelden.
Malwareschutz
Schutzmaßnahmen
- Auf allen Geräten, die Zugriff auf die SCS IT-Infrastruktur haben, muss eine aktuelle und anerkannte Antivirus-Software installiert sein. Diese Software muss so konfiguriert sein, dass sie automatisch Updates durchführt und regelmäßig Scans ausführt.
Umgang mit Informationen und Daten
- Alle Informationen und Daten müssen gemäss den dem separat mit SCS vereinbarten NDA behandelt werden.
- Alle Informationen müssen, wenn technisch möglich, verschlüsselt oder physikalisch gesichert aufbewahrt werden.
- Werden die Informationen nicht mehr benötigt, müssen diese sicher vernichtet werden.
- Der Benutzer verpflichtet sich keine personenbezogene oder streng vertrauliche Daten (beispielsweise Testdaten) ohne entsprechendes NDA mit SCS in der SCS Infrastruktur zu speichern.
- Beste der Verdacht, dass die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme und Daten nicht mehr gewährleistet ist, so muss die SCS umgehend informiert werden.