IT-Sicherheitsrichtlinie - IMC Fachhochschule Krems GmbH
IT-Sicherheitsrichtlinie - IMC Fachhochschule Krems GmbH
IT-Sicherheitsrichtlinie - IMC Fachhochschule Krems GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
der<br />
Erstellt von: Mag.(FH) Markus Bamberger<br />
Geprüft von: Mag.(FH) Corinna Metze<br />
Freigegeben von: Mag. Ulrike Prommer<br />
Datum: 25. Juli 2012<br />
<strong>IMC</strong> <strong>Fachhochschule</strong> <strong>Krems</strong> <strong>GmbH</strong><br />
Piaristengasse 1 - A-3500 <strong>Krems</strong> - Austria - Europe - Tel: +43(0)2732-802-0 - Fax: +43 (0)2732-802-4<br />
http://www.fh-krems.ac.at - office@fh-krems.ac.at - FNB 79297 p - DVR: 0798771
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
Inhaltsverzeichnis<br />
1. Vorwort ............................................................................................ 3<br />
2. Ziele ................................................................................................. 4<br />
3. Geltungsbereich ................................................................................. 4<br />
4. Spezielle Bezeichnungen ..................................................................... 4<br />
4.1. Informationen .............................................................................. 4<br />
4.2. Computersysteme, Netzwerksysteme .............................................. 5<br />
5. Allgemeine <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> ....................................................... 5<br />
6. Richtlinienkriterien ............................................................................. 6<br />
6.1. Verwendung der Systeme .............................................................. 6<br />
6.2. Individuelle Verwendung ............................................................... 6<br />
6.3. Regelungen zur Passwortwahl ........................................................ 7<br />
6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes: ............. 7<br />
6.5. Schutz vor Viren und anderen böswilligen Produkten ......................... 8<br />
6.6. Datenklassifizierung (sensitivity level) ............................................. 8<br />
6.7. Datenschutz .............................................................................. 10<br />
6.8. Regelungen bezüglich personenbezogener Informationen ................ 10<br />
6.9. Reaktion auf einen Sicherheitsvorfall............................................. 11<br />
6.10. Verfügbarkeit ............................................................................. 11<br />
6.11. Zugriffskontrollen ....................................................................... 12<br />
6.12. Überprüfung der BenutzerInnen-Zugriffsrechte .............................. 12<br />
6.13. Sicheres Entsorgen von Informationen .......................................... 12<br />
6.14. Sicheres Vernichten von Geräten .................................................. 12<br />
6.15. Netzwerksicherheit ..................................................................... 12<br />
6.16. Entfernter Zugriff ....................................................................... 13<br />
6.17. Software-Lizenzen und Copyright ................................................. 13<br />
6.18. Das Internet .............................................................................. 14<br />
6.19. Datenlöschung ........................................................................... 14<br />
6.20. Elektronische Post ...................................................................... 14<br />
7. Kriterien zur Richtlinien-Einhaltung .................................................... 15<br />
7.1. Ausnahmen dieser <strong>Sicherheitsrichtlinie</strong> .......................................... 15<br />
7.2. Durchsetzung und Verletzung ...................................................... 15<br />
7.3. Änderungen dieses Dokuments .................................................... 16<br />
8. Organisatorische und funktionale Verantwortlichkeiten ......................... 16<br />
9. Verpflichtungserklärung zur Einhaltung des Datenschutzes .................... 17<br />
10. Anhang ........................................................................................... 19<br />
10.1. <strong>IT</strong> Policy in der Fassung vom 24.07.2012 ...................................... 19<br />
10.2. Laptop – Nutzungsrichtlinie .......................................................... 21<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 2
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
1. Vorwort<br />
Die <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> ist eine Beschreibung der Verantwortlichkeiten und<br />
Verpflichtungen für alle MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong>, um eine<br />
unternehmensweite sichere <strong>IT</strong>-Infrastruktur etablieren und verwalten zu können.<br />
Um die <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> für alle MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong> zu<br />
implementieren, wird sie an all jene Personen verteilt, die in einem aktiven<br />
Beschäftigungsverhältnis zur <strong>IMC</strong> FH <strong>Krems</strong> stehen, an der <strong>IMC</strong> FH <strong>Krems</strong> studieren<br />
oder durch andere vertragliche Regelungen Zugriff auf Daten und Informationen der<br />
<strong>IMC</strong> FH <strong>Krems</strong> haben. Ebenfalls ist die Abteilung <strong>IT</strong> Services im Auftrag der<br />
Geschäftsführung dazu verpflichtet, eine jährlich wiederholende Schulung mit allen<br />
MitarbeiterInnen und Studierenden durchzuführen und das Verstehen der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong> und aller anderen Sicherheitsdokumente schriftlich bestätigen zu<br />
lassen. Die Unterschriftenlisten sind in der Abteilung <strong>IT</strong> Services mindestens zwei<br />
Jahre aufzubewahren.<br />
Sollte diese <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> oder Teile davon im Konflikt mit anderen<br />
<strong>Sicherheitsrichtlinie</strong>n innerhalb der <strong>IMC</strong> FH <strong>Krems</strong> stehen, so hat dieses Dokument<br />
den Vorrang und ist im Zweifelsfall zuerst anzuwenden.<br />
Die <strong>IT</strong> Policy sowie die Laptop Nutzungsrichtlinie der <strong>IMC</strong> FH <strong>Krems</strong> werden<br />
periodisch adaptiert und sind integraler Bestandteil dieser <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong>.<br />
Die derzeit gültige <strong>IT</strong>-Policy sowie die Laptop Nutzungsrichtlinie sind im Anhang<br />
ersichtlich.<br />
Für weitergehende Informationen steht die Abteilung <strong>IT</strong>-Services der <strong>IMC</strong> FH <strong>Krems</strong><br />
gerne zur Verfügung.<br />
Mag. Ulrike Prommer<br />
Geschäftsführerin<br />
Mag. (FH) Markus Bamberger<br />
Leitung <strong>IT</strong> Services<br />
<strong>Krems</strong>, am 10.07.2012<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 3
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
2. Ziele<br />
Die vorrangigen Ziele der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> sind:<br />
1. Methoden hervorzuheben, um Sicherheitsrisiken effektiv zu behandeln und<br />
die Verantwortlichkeit innerhalb der <strong>IMC</strong> FH <strong>Krems</strong> zum Schutz von der in<br />
diesem Dokument beschriebenen Informationen zu kommunizieren.<br />
2. Das Einreichen einer verlässlichen <strong>IT</strong>-Arbeitsgrundlage und einer stabilen<br />
<strong>IT</strong>-Arbeitsinfrastruktur.<br />
3. Die Einhaltung aller anzuwendenden Gesetze und Bestimmungen zu<br />
gewährleisten.<br />
4. Methoden hervorzuheben, um die Verteilung und die Einhaltung der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong> von allen MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong><br />
sicherzustellen.<br />
3. Geltungsbereich<br />
Die Gültigkeit der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> erstreckt sich auf alle aktuellen und in der<br />
Zukunft dazu kommenden Geschäftsstandorte, Abteilungen und<br />
Unternehmensbereiche der <strong>IMC</strong> FH <strong>Krems</strong>.<br />
Dies gilt gleichermaßen für alle MitarbeiterInnen, VertragsmitarbeiterInnen<br />
(ProjektmitarbeiterInnen, nebenberuflich Lehrende, etc), Zulieferer, Studierende und<br />
andere Personen, die Zugriff auf Informationen der <strong>IMC</strong> FH <strong>Krems</strong> haben. Die <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong> umfasst sämtliche Computer- und Netzwerksysteme, für die die<br />
<strong>IMC</strong> FH <strong>Krems</strong> die administrative Verantwortung übernommen hat (sowohl für eigene<br />
als auch für Kundensysteme).<br />
4. Spezielle Bezeichnungen<br />
Zusätzlich zu anderen Definitionen in diesem Dokument gelten die folgenden<br />
Definitionen:<br />
4.1. Informationen<br />
Informationen beinhalten Wissen, Formeln, Technik, Erfindungen, Methoden,<br />
Prozesse, Ideen, Produktbeschreibungen, Kundenlisten, Preisangaben, Studien,<br />
Erhebungen, Datenbanken, Fotos, Notizen, Analysen, Zusammenfassungen und jede<br />
andere Art von Daten, die von oder im Auftrag der <strong>IMC</strong> FH <strong>Krems</strong> erstellt wurden. Im<br />
Rahmen dieses Dokuments werden jene Daten, die der Öffentlichkeit zur Verfügung<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 4
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
gestellt oder der <strong>IMC</strong> FH <strong>Krems</strong> ohne Vertraulichkeitscharakter geliefert wurden,<br />
nicht als Information bezeichnet.<br />
Diese <strong>Sicherheitsrichtlinie</strong> gilt für jede Form, in der Informationen in der <strong>IMC</strong> FH<br />
<strong>Krems</strong> zur Verfügung gestellt werden, und zwar: Verbale Kommunikation,<br />
geschriebene Dokumentationen, elektronische Datenbanken, Bänder, Disketten,<br />
elektronisch erstellte Ausdrucke, E-Mails, Informationen auf Anrufbeantwortern,<br />
Faxausdrucke, Besprechungsnotizen und Arbeitspapiere.<br />
4.2. Computersysteme, Netzwerksysteme<br />
Computer- und Netzwerksysteme beinhalten Desktop Computer, Laptops,<br />
Computernetzwerke, Serversysteme, E-Mail-Systeme, Faxgeräte und Telefongeräte<br />
und –anlagen, die der Firma entweder gehören oder von ihr geleast sind.<br />
Diese <strong>Sicherheitsrichtlinie</strong> ist unabhängig der eingesetzten Technik und beinhaltet<br />
keinerlei technische Implementierungsvorschriften.<br />
5. Allgemeine <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong><br />
Informationen gehören zu den wichtigsten Vermögenswerten der <strong>IMC</strong> FH <strong>Krems</strong>. Die<br />
Qualität, in der die Informationen gesichert werden, ist ein Schlüsselfaktor zur<br />
Erhaltung der Geschäftstätigkeit.<br />
Aus diesem Grund sind alle MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong> dafür verantwortlich,<br />
dass die Verfügbarkeit, die Vertraulichkeit und die Integrität der<br />
Informationen gewährleistet sind. Jede/r BenutzerIn von Informationen oder<br />
jede Person, die Zugriff auf Informationen hat, geht die Verpflichtung ein, diese<br />
Vermögenswerte der <strong>IMC</strong> FH <strong>Krems</strong> zu erhalten und sie in einer verlässlichen Art zu<br />
schützen. Sicherheitskontrollen, die in diesem Dokument hervorgehoben werden,<br />
liefern den notwendigen physischen und prozess-bezogenen Schutz, um dieser<br />
Verpflichtung nachzukommen.<br />
Jede Information darf nur zu geschäftlichen Zwecken der <strong>IMC</strong> FH <strong>Krems</strong> verwendet<br />
werden. Informationen müssen über ihren gesamten Lebenszyklus geschützt werden<br />
– also von der Erstellung über die Verwendung bis hin zur autorisierten Zerstörung.<br />
Jede Information muss in einer sicheren und verlässlichen Art geschützt werden und<br />
für die autorisierte Verwendung verfügbar sein. Informationen müssen auf der für<br />
den Geschäftszweck basierenden Wichtigkeit entsprechend klassifiziert sein.<br />
Die <strong>IT</strong>-Services der <strong>IMC</strong> FH <strong>Krems</strong> ermöglichen, dass Informationen gemeinsam<br />
genutzt werden können, wobei gleichzeitig sichergestellt sein muss, dass sie und die<br />
damit verbundenen Systeme geschützt sind. Die Geschäftsführung und alle<br />
MitarbeiterInnen sind dafür verantwortlich, dass die jeweiligen Kontrollen eingeführt<br />
sind, um die Verfügbarkeit, die Vertraulichkeit und die Integrität der<br />
Vermögenswerte zu gewährleisten. Jede einzelne Person der <strong>IMC</strong> FH <strong>Krems</strong> ist dafür<br />
verantwortlich, dass alle Sicherheitsmaßnahmen eingehalten werden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 5
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
6. Richtlinienkriterien<br />
6.1. Verwendung der Systeme<br />
Für die Verwendung jedes einzelnen Systems der <strong>IMC</strong> FH <strong>Krems</strong> bedarf es<br />
einer Genehmigung durch die Geschäftsführung. Diese Genehmigung wird<br />
durch den direkten Vorgesetzten schriftlich angefordert. Die Einhaltung dieser<br />
Richtlinie kann stichprobenartig durch <strong>IT</strong> Services überprüft werden.<br />
6.2. Individuelle Verwendung<br />
Zur Verwendung der Systeme der <strong>IMC</strong> FH <strong>Krems</strong> ist eine individuelle<br />
Verantwortlichkeit erforderlich. Dies geschieht durch die Vergabe von<br />
individuell für alle BenutzerInnen eingerichteten Computererkennungen, also<br />
Benutzerkonten. Es ist eine Zustimmung der Geschäftsführung erforderlich,<br />
um eine/n BenutzerIn eine neue Benutzerkennung zuweisen zu können. Die<br />
Abteilung <strong>IT</strong>-Services muss außerdem eine Liste aller verfügbaren<br />
Benutzerkennungen verwalten. Jede/r BenutzerIn auf Systemen der <strong>IMC</strong> FH<br />
<strong>Krems</strong> darf lediglich auf jene Informationen zugreifen, für die sie/er aufgrund<br />
der ihr/ihm zugewiesenen Benutzerkennung autorisiert ist. Die Abteilung <strong>IT</strong>-<br />
Services ist verpflichtet, alle Benutzerkennungen und auf die damit<br />
zugegriffenen Systeme zu überwachen. Weiterhin ist die Abteilung <strong>IT</strong>-Services<br />
verpflichtet, entsprechende Technologien zu implementieren, um unerlaubten<br />
Zugriff auf Systeme oder Informationen vorzubeugen.<br />
Zusammen mit der Benutzerkennung muss eine weitere<br />
Identifikationsüberprüfung über ein Kennwort erfolgen. Kennwörter sind<br />
als vertrauliche Informationen zu behandeln und dürfen nur den<br />
BenutzerInnen bekannt sein und nicht weitergegeben werden. Zuletzt ist<br />
jede/r BenutzerIn dafür verantwortlich, welche Aktivitäten unter Verwendung<br />
der Benutzerkennung durchgeführt werden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 6
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
6.3. Regelungen zur Passwortwahl<br />
Schlechte oder zu einfache Passwörter erhöhen die Möglichkeit, dass unautorisiert<br />
Zugang zu Computersystemen erreicht wird. Um Informationen der <strong>Fachhochschule</strong><br />
<strong>Krems</strong> möglichst gut zu schützen, muss das Passwort nach folgenden Regeln gewählt<br />
werden.<br />
<br />
Das Passwort muss eine mindestlänge von 8 Zeichen haben.<br />
UND<br />
Hinweise:<br />
<br />
Das Passwort muss jeweils mindestens ein Zeichen der folgenden<br />
Gruppen enthalten:<br />
o Großbuchstaben (A-Z)<br />
o Kleinbuchstaben (a-z)<br />
o Nummer (0-9)<br />
o Sonderzeichen !“§$%&/()=+*#‘,.-;:_@<br />
Passwörter sollen nicht in einem Wörterbuch vorkommen. Auch das ersetzen von<br />
Buchstaben durch ähnliche Zeichen ist zu vermeiden. (z.B.: P@assw0rt)<br />
6.4. Tipps zur Erstellung eines schwer zu erratenden Passwortes:<br />
Sie können recht einfach ein schwierig zu erratendes Passwort erstellen, wenn Sie<br />
Wörter aus Themen, die Sie interessieren mit Nummern und Symbolen kombinieren.<br />
Wählen Sie zum Beispiel ein Passwort, das mit Ihren Interessen oder Hobbies zu tun<br />
hat. Das macht es einfacher eines auszusuchen und es ist auch leichter zu merken.<br />
Aber verwenden Sie bitte nicht die hier angeführten Beispiele:<br />
<br />
<br />
<br />
Nehmen Sie zwei Worte und eine Nummer, trennen Sie diese mit einem<br />
Sonderzeichen<br />
Schu-3-geschäft (wo gehen Sie gerne hin)<br />
1/rote-Tomate (wächst in meinem Garten)<br />
Kombinieren Sie ein Wort oder Initialen von etwas, das Sie interessiert<br />
mit Sonderzeichen<br />
456=mein-Audi (wenn Sie 456 in Ihrem Kennzeichen haben)<br />
Haus-13-krems (dort wohne ich)<br />
London/2012 (dort war ich auf Urlaub)<br />
Benutzen Sie ein Zitat, eine Liedzeile oder ein Gedicht<br />
Iam_from_Austria<br />
Last:Christmas!<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 7
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
<br />
Kürzen Sie einen Satz mit dessen Anfangsbuchstaben ab<br />
Ich habe am 8. Jänner Geburtstag<br />
Iha8.JG<br />
6.5. Schutz vor Viren und anderen böswilligen Produkten<br />
Da eine Vielzahl an BenutzerInnen Zugriff auf Informationen der <strong>IMC</strong> FH <strong>Krems</strong><br />
haben, ist die Wahrscheinlichkeit des Befalls mit einem Computervirus, eines<br />
Netzwerkwurms oder anderen böswilligen Programmen hoch. Dies kann zur<br />
zeitweiligen Unterbrechung einzelner oder aller Systeme führen.<br />
Deshalb ist die kontinuierliche Verwendung von Antiviren-Software notwendig.<br />
Antiviren-Software ist daher auf allen Systemen installiert und wird durch die<br />
Abteilung <strong>IT</strong>-Services regelmäßig aktualisiert. Die Systeme müssen und werden<br />
damit nach Viren überprüft. Alle Dateien, die im Netzwerk verwendet werden und der<br />
<strong>IMC</strong> FH <strong>Krems</strong> von extern geliefert werden, muss vor deren Verwendung auf Viren<br />
untersucht werden.<br />
6.6. Datenklassifizierung (sensitivity level)<br />
Die <strong>IMC</strong> FH <strong>Krems</strong> möchte eine Datenklassifizierung einführen. Abteilungs- und<br />
StudiengangsleiterInnen sind verantwortlich für die Festlegung der<br />
Sicherheitsanforderungen für jede der zugewiesenen Informationsgruppen bezüglich<br />
der drei Bereiche: Geheimhaltung, Vollständigkeit und Verfügbarkeit (confidentiality,<br />
integrity, availability)<br />
Um den Prozess der Festlegung zu vereinfachen und um sicherzustellen, dass an der<br />
gesamten <strong>Fachhochschule</strong> dieselben Kriterien verwendet werden, sollen<br />
Informationsgruppen nach folgenden Kriterien kategorisiert werden:<br />
Die Geheimhaltungsanforderung für eine Informationsgruppe wird wie folgt definiert:<br />
Öffentlich: Informationen können an Mitglieder und Nichtmitglieder<br />
der <strong>IMC</strong> FH <strong>Krems</strong> weitergegeben werden ohne Autorisierung durch die<br />
zuständige Führungskraft.<br />
Intern: Informationen können an Mitglieder der <strong>IMC</strong> FH <strong>Krems</strong><br />
weitergegeben werden. Die Weitergabe solcher Informationen benötigt<br />
die Freigabe durch die zuständige Führungskraft.<br />
Abteilungsdaten: Informationen können an MitarbeiterInnen der<br />
Abteilung weitergegeben werden, welche die Daten besitzt.<br />
Vertraulich: Informationen dürfen nur an MitarbeiterInnen<br />
weitergegeben werden, die diese benötigen und zuvor durch die<br />
zuständige Führungskraft per Name oder Funktion autorisiert wurden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 8
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
<br />
Geheim: Informationen dürfen nur an eine begrenzte Anzahl von<br />
MitarbeiterInnen weitergegeben werden, die diese benötigen und zuvor<br />
durch die zuständige Führungskraft autorisiert wurde.<br />
Die Anforderungen an Vollständigkeit und Verfügbarkeit für eine Informationsgruppe<br />
werden wie folgt definiert:<br />
Informationen sind „Non-critical“ wenn durch unberechtigte Veränderung, Verlust<br />
oder Zerstörung nur kurzfristige Schwierigkeiten für die BenutzerInnen dieser<br />
Informationen sowie der <strong>IT</strong>-Services verursacht werden und der Schaden geringe<br />
Kosten verursacht. Es müssen angemessene Maßnahmen zum Schutz von<br />
Informationen in versperrbaren Kästen und /oder Büros zu verwahren, getroffen<br />
werden und die Benutzung von Standard Zutritts- und Zugriffsmechanismen die es<br />
verhindern, dass unautorisierte Personen Informationen verändern. Regelmäßige<br />
Backups sind zu organisieren.<br />
Informationen sind „critical“ wenn durch deren unautorisierte Veränderung, Verlust<br />
oder Zerstörung durch bösartige Aktivitäten, unabsichtlich oder verantwortungsloses<br />
Handeln die <strong>IMC</strong> FH <strong>Krems</strong> einen größeren finanziellen Schaden oder einen Schaden<br />
an Reputation erleiden könnte, nicht mehr Gesetzes- oder Vertragskonform agiert<br />
oder die Kunden der <strong>Fachhochschule</strong> dadurch Nachteile erleiden.<br />
Zusätzliche Maßnahmen für „critical“ Informationen:<br />
„Critical“ Informationen müssen regelmäßig überprüft werden. Ein<br />
Notfallvorsorgeplan zur Wiederherstellung von „critical“ Informationen welche<br />
zerstört oder beschädigt wurden wird von <strong>IT</strong> Services entwickelt, dokumentiert,<br />
eingeführt und jährlich getestet werden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 9
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
6.7. Datenschutz<br />
Die <strong>IMC</strong> FH <strong>Krems</strong> besitzt in geltender Fassung persönliche Daten einzelner<br />
Personen. (Studierendendaten, etc.) Der Schutz persönlicher Daten ist von<br />
äußerster Wichtigkeit. Von allen MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong> ist<br />
sicherzustellen, dass die Privatsphären-Richtlinie (Art. 7 der Charta der Grundrechte<br />
der EU) und diesbezügliche gesetzliche Bestimmungen im Datenschutzgesetz<br />
eingehalten werden. MitarbeiterInnen mit Kenntnis von und Zugriff auf persönliche<br />
Daten sind verpflichtet, die Vertraulichkeit dieser persönlichen Daten zu<br />
respektieren.<br />
Der Besitz und die Verwaltung persönlicher Daten (inklusive Kundendaten) müssen<br />
folgendermaßen verwaltet werden:<br />
<br />
<br />
<br />
BenutzerInnen der <strong>IT</strong> Systeme müssen die Möglichkeit haben, ungenaue<br />
oder unvollständige Daten anzufechten und eine weitere Verwendung<br />
außerhalb des angegebenen Zwecks zu untersagen.<br />
Die DatenverwalterInnen müssen vernünftige Kontrollen implementieren, um<br />
die Integrität der Daten zu schützen.<br />
Die Daten dürfen nur für den Zeitraum gespeichert bleiben, wie es das<br />
Gesetz oder ähnliche Bestimmungen vorsehen. Sozialversicherungsnummern<br />
von Studierenden müssen 6 Monate nach ausscheiden oder Abschluss<br />
gelöscht werden. An der <strong>IMC</strong> FH <strong>Krems</strong> wird dies automatisch durch das<br />
Verwaltungssystem erledigt.<br />
6.8. Regelungen bezüglich personenbezogener Informationen<br />
Personenbezogene Informationen sind Informationen, die dazu benutzt werden<br />
können um eine bestimmte Person zu identifizieren oder zu kontaktieren.<br />
Beispiele dafür sind der Name, die Sozialversicherungsnummer, die Adresse,<br />
Geburtsdatum oder Telefonnummer.<br />
Alle personenbezogene Daten sind als vertraulich zu behandeln, außer:<br />
<br />
<br />
Die Informationen wurden als „Adressbuchinformationen“ von der zuständigen<br />
Führungskraft definiert (z.B. Vorname, Nachname, Studiengang, die im Outlook<br />
Adressbuch aufscheinen)<br />
Die zuständige Führungskraft hat die Veröffentlichung von Informationen<br />
autorisiert.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 10
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
Folgende personenbezogene Informationen dürfen nicht gesammelt, gespeichert<br />
oder benutzt werden außer es ist für die Geschäftsprozesse notwendig (z.B.<br />
Personalverwaltung, Studierendenverwaltung)<br />
o<br />
o<br />
o<br />
o<br />
o<br />
o<br />
Sozialversicherungsnummer<br />
Geburtsort<br />
Geburtsdatum<br />
Lediger Name<br />
Kreditkartennummer<br />
Kontonummer<br />
AbteilungsleiterInnen müssen sicherstellen, dass ihre MitarbeiterInnen die<br />
Notwendigkeit diese Informationen zu schützen verstehen. Zugriff auf Informationen<br />
dieser Art dürfen nur dann gewährt werden, wenn diese Informationen zur<br />
Durchführung der aufgetragenen Aufgaben notwendig sind.<br />
6.9. Reaktion auf einen Sicherheitsvorfall<br />
Alle BenutzerInnen der <strong>IT</strong>-Systeme der <strong>IMC</strong> FH <strong>Krems</strong> müssen darauf vorbereitet<br />
sein, Sicherheitsvorfälle wie Einbrüche oder Attacken, aber auch Schwachstellen der<br />
Systeme und andere Bedrohungen bei Erkennen weiterzuleiten. Alle erkannten oder<br />
vermuteten Sicherheitsvorfälle sind der Stelle „<strong>IT</strong>-Services“ so schnell wie möglich zu<br />
melden. Dies kann per E-Mail, telefonisch oder persönlich erfolgen.<br />
6.10. Verfügbarkeit<br />
Informationen müssen zur autorisierten Verwendung auf einfache Weise zur<br />
Verfügung gestellt werden. Es müssen geeignete Prozesse zur leichten und schnellen<br />
Wiederherstellung defekter, fehlender oder zerstörter Informationen entwickelt und<br />
implementiert werden. Dies gilt für jedes in der <strong>IMC</strong> FH <strong>Krems</strong> eingesetzte<br />
Betriebssystem. Es ist in jedermanns Verantwortung, geeignete<br />
Sicherungskopien seiner Informationen, die auf der persönlichen Arbeitsstation<br />
gespeichert sind, herzustellen. Es ist ein wiederkehrender Test einzuführen, der die<br />
korrekte Funktionalität der Sicherungs- und Wiederherstellungs-Programme sowie<br />
der wichtigsten Systeme überprüft. Diese Prozesse sind im QM der <strong>IMC</strong> FH <strong>Krems</strong><br />
implementiert und werden dort regelmäßig „Reviews“ unterzogen.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 11
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
6.11. Zugriffskontrollen<br />
Die Abteilung <strong>IT</strong>-Services hat physische und logische Zugriffskontrollen<br />
implementiert um Informationen und andere Vermögenswerte entsprechend ihrer<br />
Klassifikation und ihres Verlustrisikos leicht wieder herstellen zu können.<br />
Rechtszentren, Kabelschränke und Server müssen physisch vor unberechtigtem<br />
Zugriff geschützt werden. Zusätzlich dazu müssen Software-Mechanismen und<br />
entsprechende Prozesse eingeführt werden, damit sichergestellt ist, dass nur<br />
autorisierte Personen Zugriff auf diese Ressourcen haben.<br />
6.12. Überprüfung der BenutzerInnen-Zugriffsrechte<br />
<strong>IT</strong> Services kontrolliert periodisch (mindestens alle 12 Monate) die<br />
Zugriffsmöglichkeiten der BenutzerInnen um festzustellen, ob die BenutzerInnen die<br />
Notwendigkeit erfüllen, auf jene Informationen zuzugreifen, für die sie autorisiert<br />
sind.<br />
6.13. Sicheres Entsorgen von Informationen<br />
Vernichten von Informationen, welche aktuelle Gesetze oder Geschäftsgrundlagen<br />
der <strong>IMC</strong> FH <strong>Krems</strong> verletzen würde, ist nicht erlaubt. Grundsätzlich gilt an der <strong>IMC</strong><br />
FH <strong>Krems</strong>, dass Daten nur auf Anweisung und nur durch die Abteilung <strong>IT</strong>-Services<br />
gelöscht werden.<br />
6.14. Sicheres Vernichten von Geräten<br />
Alle Geräte, die Speichermedien wie zum Beispiel Festplatten enthalten, müssen vor<br />
ihrer Vernichtung daraufhin untersucht werden, dass keine sensitiven Daten oder<br />
aktuelle Programmlizenzen mehr darauf enthalten sind. Diese darf nur von<br />
autorisierten MitarbeiterInnen der Abteilung <strong>IT</strong>-Services durchgeführt werden.<br />
6.15. Netzwerksicherheit<br />
Das Verbinden mit dem Computernetzwerk der <strong>IMC</strong> FH <strong>Krems</strong> muss in einer sicheren<br />
Art hergestellt werden, damit die Integrität des Netzwerks, die darin<br />
übertragenen Daten und dessen ständige Verfügbarkeit gewährleistet ist.<br />
Müssen Kunden, Lieferanten oder andere externe Partner auf das Firmennetzwerk<br />
der <strong>IMC</strong> FH <strong>Krems</strong> zugreifen, muss ein Repräsentant dieser Geschäftspartner…<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 12
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
<br />
<br />
<br />
der <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> der <strong>IMC</strong> FH <strong>Krems</strong> schriftlich zustimmen, bevor<br />
eine Netzwerkverbindung hergestellt wird,<br />
die Vertraulichkeit von Informationen innerhalb des Netzwerks schriftlich<br />
akzeptieren und<br />
ist für jegliche Verletzung dieser Richtlinie verantwortlich. Jeder externe<br />
Zugriff auf das Netzwerk der <strong>IMC</strong> FH <strong>Krems</strong> bedarf einer vorherigen<br />
schriftlichen Genehmigung durch die Abteilung <strong>IT</strong>-Services der <strong>IMC</strong> FH<br />
<strong>Krems</strong>.<br />
6.16. Entfernter Zugriff<br />
Um entfernt auf das Netzwerk der <strong>IMC</strong> FH <strong>Krems</strong> zuzugreifen, bedarf es der<br />
schriftlichen Genehmigung der Geschäftsführung. Dies ist nur in Ausnahmefällen<br />
möglich. Um eine eindeutige Zuordnung der Zugriffe auf Personen zu ermöglichen,<br />
muss die Identifikation und die Authentizität der Person überprüft werden, die Zugriff<br />
auf das Netzwerk verlangt. Jeder entfernte Zugriff muss überwacht werden, solange<br />
die Verbindung bestehen bleibt.<br />
Um entfernten Zugriff auf das Netzwerk der <strong>IMC</strong> FH <strong>Krems</strong> zu erlagen, dürfen<br />
ausschließlich jene Tools und Programme verwendet werden, die dazu von der <strong>IMC</strong><br />
FH <strong>Krems</strong> angeboten werden. Die Verwendung anderer, firmenfremder Software und<br />
Programme sind nicht erlaubt.<br />
6.17. Software-Lizenzen und Copyright<br />
Grundsätzlich gilt, dass auf Firmeneigenen Computern nur MitarbeiterInnen der<br />
Abteilung <strong>IT</strong>-Services Software installieren können. Lizenzierte Software darf nur<br />
dann kopiert oder dupliziert werden, wenn es dazu eine gesonderte Genehmigung<br />
innerhalb des Lizenzabkommens gibt. Keinerlei Programme oder Dateien, die<br />
außerhalb der <strong>IMC</strong> FH <strong>Krems</strong> bezogen werden (dies gilt auch für das Internet) dürfen<br />
– selbst wenn sie lizenziert sind – für persönliche Zwecke erworben und auf<br />
Systemen der <strong>IMC</strong> FH <strong>Krems</strong> ohne vorherige schriftliche Genehmigung der <strong>IT</strong>-<br />
Services installiert werden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 13
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
6.18. Das Internet<br />
Das Internet steht den MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong> uneingeschränkt zu<br />
geschäftlichen Zwecken zur Verfügung, wenn folgende Regeln beachtet werden:<br />
<br />
<br />
<br />
Es dürfen nur wesentliche Netzwerk-Ressourcen verbraucht werden.<br />
Die Benutzung des Internets darf die Produktivität der MitarbeiterInnen nicht<br />
beeinträchtigen.<br />
Die Benutzung des Internets darf Sicherheits- und andere Richtlinien der <strong>IMC</strong><br />
FH <strong>Krems</strong> nicht verletzen.<br />
Die <strong>IMC</strong> FH <strong>Krems</strong> ermutigt seine MitarbeiterInnen das Internet zu benutzen. Hier<br />
sind viele wichtige Daten, Illustrationen, Erklärungen und andere Kommentare zu<br />
finden, die für geschäftliche Belange Verwendung finden können.<br />
Allerdings beinhalten einige Seiten des Internets solches Material, das unanständig<br />
ist; zum Beispiel gibt es dort Seiten, die sexuellen, Gewalt verherrlichenden oder<br />
diskriminierenden Inhalt verbreiten. Es ist verboten, auf solcherlei Seiten<br />
zuzugreifen.<br />
Die <strong>IMC</strong> FH <strong>Krems</strong> toleriert den Missbrauch von unternehmenseigenen<br />
Ressourcen nicht. Um die Einhaltung dieser Richtlinie zu gewährleisten, wird die<br />
individuelle Verwendung des Internets überwacht und aufgezeichnet.<br />
6.19. Datenlöschung<br />
MitarbeiterInnen, Lehrenden, Studierenden und AbsolventInnen ist es nicht gestattet<br />
Daten, über die sie nicht allein verfügungsberechtigt sind ohne den entsprechenden<br />
Auftrag oder Berechtigungen zu löschen. Die <strong>IMC</strong> FH <strong>Krems</strong> kommen<br />
uneingeschränkte Nutzungsrechte über Daten die ein/e DienstnehmerIn in Erfüllung<br />
der dienstvertraglichen Verpflichtungen geschaffen hat, zu.<br />
6.20. Elektronische Post<br />
Die Nutzung des E-Mail-System der <strong>IMC</strong> FH <strong>Krems</strong>, sowohl bei interner als auch bei<br />
externer Kommunikation, ist nur zu geschäftlichen Zwecken erlaubt.<br />
Alle elektronischen Nachrichten, die verschickt, empfangen oder gespeichert werden,<br />
sind als Eigentum der <strong>IMC</strong> FH <strong>Krems</strong> zu betrachten. Sie können jederzeit von den <strong>IT</strong>-<br />
Services eingesehen werden. Die Verwendung des E-Mail-Systems der <strong>IMC</strong> FH<br />
<strong>Krems</strong> unterliegt nicht der Privatsphäre.<br />
Die MitarbeiterInnen der <strong>IMC</strong> FH <strong>Krems</strong> könnten unter Umständen Empfänger von<br />
unerwünschten E-Mails sein, die nichts mit der geschäftlichen Tätigkeit zu tun haben.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 14
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
Die einfachste Antwort auf solcherlei E-Mails ist das Ignorieren. Erhalten<br />
BenutzerInnen wiederholend unerwünschte E-Mails von einem einzelnen Absender,<br />
so sollten sie die <strong>IT</strong>-Services darüber informieren. Die <strong>IMC</strong> FH <strong>Krems</strong> behält sich<br />
dann das Recht vor, Kontrollmechanismen einzusetzen, um den Absender<br />
identifizieren zu können und diesen auch die weitere Übermittlung zu verwehren.<br />
7. Kriterien zur Richtlinien-Einhaltung<br />
Die Einhaltung dieser <strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> ist Pflicht. Schon während der<br />
Einstellungsphase neuer MitarbeiterInnen muss auf diese Richtlinie und deren<br />
Einhaltung hingewiesen werden. Dies gilt ebenfalls für das Abschließen von<br />
Verträgen mit externen MitarbeiterInnen. Jede/r interne und externe MitarbeiterIn,<br />
der Zugriff auf Informationen der <strong>IMC</strong> FH <strong>Krems</strong> hat, muss seine eigene Rolle und<br />
Verantwortlichkeit bezüglich sicherheitsrelevanter Sachverhalte kennen und<br />
verstehen. Dies gilt ohne Ausnahme auch für den Schutz und den Erhalt der<br />
informellen Vermögenswerte der <strong>IMC</strong> FH <strong>Krems</strong>.<br />
7.1. Ausnahmen dieser <strong>Sicherheitsrichtlinie</strong><br />
Um eine Ausnahme bei der Einhaltung dieser <strong>Sicherheitsrichtlinie</strong> zu erwirken, ist<br />
eine schriftliche Begründung einzureichen, die von der Geschäftsführung freigegeben<br />
wird. Diese schriftliche Begründung muss an die <strong>IT</strong>-Services gerichtet werden. Die<br />
<strong>IT</strong>-Services speichern die Begründung zusammen mit der Zustimmung zur<br />
Ausnahme ab und bewahren sie revisionssicher auf. Die einmalige Gewährung einer<br />
Ausnahme bedeutet nicht die generelle Zusage zu dieser Ausnahme.<br />
7.2. Durchsetzung und Verletzung<br />
Jede Verletzung der Richtlinie muss an die Leitung des betroffenen<br />
Unternehmensbereichs und die <strong>IT</strong>-Services gemeldet werden. Jede Verletzung der<br />
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> zieht disziplinarische Folgen nach sich. Die Art dieser<br />
disziplinarischen Folgen wird von der Geschäftsführung in Zusammenarbeit mit den<br />
<strong>IT</strong>-Services festgelegt. Sie hängt stark von der Wirkung und dem entstandenen<br />
Schaden ab.<br />
Abhängig von der Verletzung der Richtlinie kann es sein, dass ein<br />
Sicherheitsvorfall-Bericht erstellt werden muss. Weiterhin muss entschieden<br />
werden, ob die Zugriffsrechte einzelner Personen auf Informationen der <strong>IMC</strong> FH<br />
<strong>Krems</strong> entzogen werden müssen. Elektronisch und automatisch erstellte<br />
Sicherheitsvorfall-Berichte müssen an die Geschäftsführung, die Personalabteilung<br />
und die <strong>IT</strong>-Services weitergeleitet werden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 15
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
7.3. Änderungen dieses Dokuments<br />
Jede/r MitarbeiterIn der <strong>IMC</strong> FH <strong>Krems</strong> kann eine Änderung dieser<br />
<strong>Sicherheitsrichtlinie</strong> beantragen. Änderungs- und Verbesserungsvorschläge hierfür<br />
müssen in schriftlicher Form an die <strong>IT</strong>-Services gerichtet werden, die den Vorschlag<br />
nach Erhalt prüft. Die Gültigkeit der geänderten Richtlinie beginnt mit dem Zeitpunkt<br />
der Verteilung an der Einbindung ins QM-System.<br />
8. Organisatorische und funktionale Verantwortlichkeiten<br />
Die folgenden Abschnitte erklären in Kürze die organisatorische Struktur der <strong>IMC</strong> FH<br />
<strong>Krems</strong>, damit die Einhaltung der Richtlinie gewährleistet ist:<br />
<strong>IT</strong> Services<br />
Die <strong>IT</strong>-Services der <strong>IMC</strong> FH <strong>Krems</strong> hat die Gesamtverantwortung darüber, die<br />
Implementierung, Verbesserung, die Überwachung und das Einhalten dieser<br />
<strong>Sicherheitsrichtlinie</strong> sicherzustellen. Die <strong>IT</strong>-Services sind der zentrale<br />
Ansprechpartner, wenn es um sicherheitsrelevante Fragen geht. Sie arbeiten eng<br />
mit allen Unternehmensbereichen zusammen. Die <strong>IT</strong>-Services geben in<br />
Sicherheitsfragen Empfehlungen ab und machen Vorschläge, wie entsprechende<br />
Sicherheitsvorkehrungen innerhalb der <strong>IMC</strong> FH <strong>Krems</strong> getroffen werden können. Die<br />
<strong>IT</strong>-Services sind bei einem Sicherheitsvorfall dafür verantwortlich, dass alle Schritte<br />
zur Aufklärung und Wiederherstellung des Betriebs koordiniert werden.<br />
Sicherheitsadministratoren<br />
Sicherheitsadministratoren sind dafür verantwortlichen, dass diese Richtlinie<br />
entsprechend administriert, Bedrohungen identifiziert und analysiert sowie<br />
entsprechende Maßnahmen bei einem Verstoß gegen diese Richtlinie eingeleitet<br />
werden. Die Personen, die zur Gruppe der Sicherheitsadministratoren gehören,<br />
haben administrative Rechte für alle Betriebssysteme und Benutzerkennungen<br />
innerhalb der <strong>IMC</strong> FH <strong>Krems</strong>.<br />
Besitzer von Informationen<br />
Jeder Information muss ein/ eindeutige/r BesitzerIn von Informationen zugewiesen<br />
werden. Diese Personen legen fest, wer Zugriff auf diese Information bekommt und<br />
mit welchen Rechten dieser Zugriff eingerichtet wird (Lesen, Schreiben und so<br />
weiter). Diese Zugriffsrechte müssen in Einklang mit der<br />
Tätigkeitsbeschreibung der entsprechenden MitarbeiterInnen sein. Besitzer von<br />
Informationen müssen diese Informationen ihrer Wichtigkeit entsprechend<br />
klassifizieren. Diese Einstufung kann zwar delegiert werden, die Verantwortung dazu<br />
bleibt jedoch bei der/dem BesitzerIn der Informationen.<br />
Alle BenutzerInnen sind verpflichtet, diese Richtlinie, die Sicherheitsstandards,<br />
Implementierungsvorschriften und alle anderen sicherheitsrelevanten Dokumente<br />
einzuhalten; sie müssen Verletzung dieser Richtlinie an die Geschäftsführung und <strong>IT</strong>-<br />
Services melden.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 16
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
9. Verpflichtungserklärung zur Einhaltung des Datenschutzes<br />
Verpflichtungserklärung zur Einhaltung des Datenschutzgesetztes<br />
(DSG) 2000<br />
Verpflichtungserklärung für Dienstnehmer – die für die <strong>IMC</strong><br />
<strong>Fachhochschule</strong> <strong>Krems</strong> (privatrechtliche Bildungseinrichtung) tätig sind<br />
– zur Einhaltung des Datengeheimnisses gemäß § 15 Datenschutzgesetz<br />
2000 und zur Verschwiegenheit bezüglich sonstiger bekannt gewordener<br />
Dienst- und Amtsvorgänge.<br />
Im Zuge Ihres Dienstverhältnisses erhalten Sie voraussichtlich Kenntnis über<br />
Personen und personenbezogene Umstände und Daten sowie über technische<br />
Daten betreffend die technische Infrastruktur und den strukturellen Aufbau von<br />
Datenanwendungen.<br />
Alle diese Daten sind absolut vertraulich zu behandeln und unterliegen den<br />
Bestimmungen des österreichischen Datenschutzgesetzes.<br />
Sie verpflichten sich,<br />
<br />
<br />
das Datengeheimnis gemäß den Bestimmungen des Datenschutzgesetzes<br />
i.d.g.F., insbesondere § 15 DSG (Datengeheimnis) zu wahren;<br />
zu absoluter Verschwiegenheit über alle, Ihnen anlässlich Ihrer Tätigkeit<br />
bekannt gewordenen, nicht von den zuständigen Personen ausdrücklich als<br />
unbedenklich bezeichneten Dienst- und Amtsvorgänge.<br />
Sie verpflichten sich weiters,<br />
<br />
<br />
<br />
unbefugten Personen oder zuständigen Stellen die Kenntnisnahme von Daten,<br />
die Ihnen in Ausübung Ihres Dienstes bekannt geworden sind, nicht zu<br />
ermöglichen, sowie solche Daten nicht zu einem anderen als dem zum<br />
jeweiligen rechtmäßigen Aufgabenvollzug gehörenden Zweck zu verwenden;<br />
Automationsunterstützte oder manuell verarbeitete Daten, die Ihnen auf<br />
Grund Ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich<br />
geworden sind, unbeschadet sonstiger Verschwiegenheitspflichten, nur auf<br />
Grund einer ausdrücklichen mündlichen oder schriftlichen Zustimmung des<br />
Dienstgebers oder dessen Beauftragten zu verwenden;<br />
diese Verpflichtung auch nach Beendigung Ihres Mitarbeiterverhältnisses und<br />
dem Ausscheiden aus der Firma einzuhalten.<br />
Sie nehmen zur Kenntnis,<br />
<br />
dass weiterreichende andere Bestimmungen über die Geheimhaltungspflicht<br />
von der oben angeführten Verpflichtung unberührt bleiben, sofern sie nicht<br />
mit dem Datenschutzgesetz im Widerspruch stehen;<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 17
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
<br />
<br />
dass als Dienst- und Amtsvorgänge insbesondere jene zur Kenntnis gelangten<br />
Vorgänge zu verstehen sind, die dienstinterner Natur sind, oder die Rechte<br />
Dritter berühren;<br />
dass Verstöße gegen die oben angeführte Verpflichtung zu entsprechender<br />
strafrechtlicher Verfolgung führen können, schadenersatzpflichtig machen und<br />
auch arbeitsrechtliche Folgen haben können (z.B. Entlassung gemäß § 27<br />
Angestelltengesetz).<br />
Sie verpflichten sich,<br />
Daten und Verarbeitungsergebnisse ausschließlich dem Dienstgeber<br />
zurückzugeben oder nur nach dessen schriftlichem Auftrag zu übermitteln.<br />
Desgleichen bedarf eine Verwendung der überlassenen Daten für eigene<br />
Zwecke eines schriftlichen Auftrages;<br />
<br />
<br />
<br />
Alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der<br />
Tätigkeit zur Wahrung des Datengeheimnisses im Sinne des § 15 DSG 2000<br />
zu verpflichten. Insbesondere bleibt die Verschwiegenheitsverpflichtung der<br />
mit dem Datenverkehr beauftragten Personen auch nach Beendigung ihrer<br />
Tätigkeit und Ausscheiden beim Dienstnehmer aufrecht. Die Verpflichtung zur<br />
Verschwiegenheit ist auch für Daten von juristischen Personen und<br />
handelsrechtlichen Personengesellschaften einzuhalten;<br />
Ausreichende Sicherheitsmaßnahmen im Sinne des § 14 DSG 2000 ergriffen<br />
zu haben, um zu verhindern, dass Daten ordnungswidrig verwendet oder<br />
Dritten unbefugt zugänglich werden;<br />
Nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und<br />
Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben bzw. in<br />
dessen Auftrag für ihn weiter vor unbefugter Einsicht gesichert<br />
aufzubewahren oder auftragsgemäß zu vernichten.<br />
Weiters verpflichtet sich der Dienstnehmer,<br />
<br />
<br />
Für die technischen und organisatorischen Voraussetzungen Vorsorge zu<br />
tragen, dass der Auftraggeber die Bestimmungen der § 26 (Auskunftsrecht)<br />
und § 27 (Recht auf Richtigstellung oder Löschung) DSG 2000 gegenüber<br />
dem Betroffenen innerhalb der gesetzlichen Fristen jederzeit erfüllen kann<br />
und er überlässt dem Auftraggeber alle die dafür notwendigen Informationen;<br />
Der Dienstnehmer ist nicht berechtigt, einen Subverarbeiter heranzuziehen.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 18
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
10. Anhang<br />
10.1. <strong>IT</strong> Policy in der Fassung vom 24.07.2012<br />
Um die Sicherheit des Computernetzwerkes gewährleisten zu können, verpflichten sich<br />
die MitarbeiterInnen und Studierenden zur Einhaltung folgender Benutzerregeln:<br />
Den Studierenden ist die Benutzung der den Studenten zugewiesenen Computer erlaubt.<br />
Das Downloaden von Programmen und deren Installation ist während der Benutzung der<br />
Computer der <strong>IMC</strong> <strong>Fachhochschule</strong> <strong>Krems</strong> verboten.<br />
Für die Vertraulichkeit der den Studierenden übermittelten Benutzerkennung ist Sorge zu<br />
tragen.<br />
Die Sicherung der lokal auf einem Einzelplatz–PC gehaltenen Daten hat in<br />
Eigenverantwortung zu erfolgen.<br />
Die Studenten haften für die Einhaltung der gesetzlichen Vorschriften, insbesondere<br />
betreffend Urheberrecht bei Verwendung der Computer der <strong>IMC</strong> FH <strong>Krems</strong>.<br />
Die Benutzung von Tauschbörsen für Dateien jeder Art ist allenfalls unzulässig.<br />
Weiters nimmt der Studierende die Erklärung zur Einhaltung des Datengeheimnisses<br />
gemäß § 15 Datenschutzgesetz 2000 nachweislich zur Kenntnis.<br />
Der Studierende verpflichtet sich, hausexternen Personen keinen Zutritt zu den<br />
Computer- und Seminarräumen zu gewähren und der Anordnung, dass Essen und<br />
Trinken in diesen Räumen nicht gestattet ist, Folge zu leisten.<br />
Der Studierende verpflichtet sich, das Inventar in den Computerräumen mit größter<br />
Sorgfalt zu behandeln und das vom Studiengang erhaltene persönliche Passwort nicht<br />
weiterzugeben.<br />
Nachfolgende Einschränkungen gelten für die den Studierenden zur Verfügung gestellten<br />
elektronischen Ressourcen:<br />
<br />
Speicherplatzbeschränkungen:<br />
- Z:\ Laufwerk – max. 425MB<br />
- Mailpostfachgröße gesamt – max. 500 MB<br />
- Keine Daten auf LAB-PCs<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 19
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
<br />
Verpflichtend für alle Studenten sind nachstehende Punkte:<br />
- Pflege des Z:\Laufwerkes (Aufräumen, etc.)<br />
- Pflege des Mail Accounts (Postfach)<br />
- Anerkennung der auferlegten Speicherplatzbeschränkungen<br />
- Sofortige Bekanntgabe von eventuell auftretenden Sicherheitslücken an<br />
support@imc-krems.ac.at<br />
<br />
Jedem Studenten sind folgende Punkte strengstens untersagt:<br />
- Verändern der zur Verfügung gestellten Hardware (Lab-PCs, Surfstations, etc.)<br />
- Versenden von Spam Mails (Mails an mehr als 5 Empfänger, ohne direkten<br />
Zusammenhang mit LVAs)<br />
- Weitergabe von Passwörtern jeglicher Art<br />
- Verwendung von Passwörtern die nicht der Passwortrichtlinie in der <strong>IT</strong>-<br />
<strong>Sicherheitsrichtlinie</strong> entsprechen.<br />
- Übermäßiges Speichern von Privatdaten auf dem Z:\Laufwerk<br />
- Jeglicher Versuch, diverse Sicherheitsmechanismen zu umgehen<br />
- Speichern fremder Software auf Lab PCs<br />
<br />
Außerdem ist Folgendes zu beachten:<br />
- Allgemeine Umgangsformen am eDesktop<br />
Im Falle eines Verstoßes gegen die Benutzerregeln wird umgehend die Benutzerkennung<br />
des jeweiligen Studierenden für mindestens 5 Werktage gesperrt.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 20
<strong>IT</strong> <strong>Sicherheitsrichtlinie</strong><br />
MB/Juli 2012<br />
10.2. Laptop – Nutzungsrichtlinie<br />
Bei Ausgabe eines Firmen-Laptops wird vom/von der MitarbeiterIn eine Unterschrift<br />
eingefordert. Die Ausgabe des Laptops erfolgt ausschließlich persönlich an den/die<br />
MitarbeiterIn.<br />
Sie haben von der <strong>IMC</strong> <strong>Fachhochschule</strong> <strong>Krems</strong> <strong>GmbH</strong><br />
am<br />
______________________<br />
1 Laptop der Marke ______________________<br />
mit der Seriennummer<br />
______________________<br />
erhalten und bestätigen mit Ihrer Unterschrift die Übernahme der folgenden Rechte,<br />
Verantwortungen und Pflichten:<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
grundsätzlich sollte das o.a. Gerät für firmenmäßige Zwecke verwendet werden;<br />
die Nutzung von einschlägigen und pornografischen Internetseiten ist strengstens<br />
untersagt;<br />
durch den/die DienstnehmerIn ist zu gewährleisten, dass firmeninterne Daten, auf<br />
denen ein möglicher Zugriff besteht geschützt werden;<br />
eine Weitergabe an Dritte ist nicht erlaubt;<br />
der/die DienstnehmerIn hat das Gerät unter Einhaltung der Sorgfalt zu verwenden;<br />
ein sorgsamer Umgang zur Vermeidung von Beschädigungen und Fehlfunktionen ist<br />
einzuhalten (Akku, Temperaturen,…);<br />
bei Störungen oder Beschädigungen am Gerät ist der/die LeiterIn der <strong>IT</strong>-Abteilung<br />
bzw. dessen Stellvertretung zu kontaktieren;<br />
Lokal gesicherte Daten sollten regelmäßig extern gesichert werden, bzw. generell auf<br />
dem persönlichen Laufwerk (Z:);<br />
Auf die Sicherheit und den Schutz vor Diebstahl muss geachtet werden, speziell bei<br />
Dienstreisen. Generell sollte das Gerät nie unbeaufsichtigt sein und im Auto so<br />
verstaut sein, dass es von außen nicht sichtbar ist;<br />
Bei Verlust oder Diebstahl des Geräts ist ebenfalls der/die LeiterIn der <strong>IT</strong>-Abteilung<br />
bzw. dessen Stellvertretung zu kontaktieren;<br />
Software darf nur vom Admin installiert werden, kontaktieren Sie dazu die <strong>IT</strong>-<br />
Abteilung;<br />
Änderungen an der Hardware sowie den Systemdateien (z.B. in der Registry) sind<br />
verboten;<br />
Auf ausreichenden Anti-Virus Schutz muss geachtet werden, Firewall Einstellungen<br />
werden vom Admin vorgenommen Regelmäßige Software Updates! (auch zur<br />
Sicherheit des Firmen-Netzwerks);<br />
Mit Ausscheiden aus dem Unternehmen ist das Gerät mit allem Zubehör an die<br />
Personalabteilung oder <strong>IT</strong>-Abteilung zurück zu geben.<br />
Dok.Nr.: FHR-1-0010_Vers.02_Rev.00 21