Security Police

1.1. Einleitung

Die Steuerkanzlei ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Mandanten. Von größter Wichtigkeit ist neben der Genauigkeit und Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeiter muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch Teil unserer Verpflichtungen gegenüber Aufsichtsbehörden und unserem Kunden. Jeder Mitarbeiter der Steuerkanzlei muss sich daher an diese Policy und die daraus abgeleiteten Standards und Richtlinien halten.
Nach Maßgabe dieser Policy ist jeder Mitarbeiter der Kanzlei für die Sicherheit ihrer Informationen und einen angemessenen Schutz der Informationen entsprechend ihres Wertes und Risikos für das Geschäfts- oder technische Umfeld verantwortlich. Diese Anforderungen beinhalten die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen sowie die Rechenschaftspflicht des Einzelnen hinsichtlich der Nutzung von Informationen.
Diese Information Security Policy ist für jeden, der bei oder mit der Kanzlei (Angestellte, Vertragspartner) arbeitet, verpflichtend. Ihre Einhaltung wird überprüft.
Wir erwarten, dass jeder Mitarbeiter der Kanzlei diese Policy und die daraus abgeleiteten Standards und Richtlinien beachtet. Dazu zählt auch eine koordinierte IT-Infrastruktur der Kanzlei.

1.2. Sicherheitsbewusstsein

Die Informationssicherheit ist ein wichtiger Faktor für unsere Leistungen. Daraus folgt, dass das Sicherheitsbewusstsein einer der entscheidenden Erfolgsfaktoren für die Kanzlei ist.

Sicherheitsbewusstsein ist durch folgendes Verhalten gekennzeichnet:

  • Erkennen, dass effektive Sicherheit ein kritisches und wesentliches Element der Unternehmensphilosophie ist.
  • Stets vorhandenes Sicherheitsbewusstsein bei allen täglich anfallenden Aktivitäten.
  • Persönliche Verantwortlichkeit für proaktive Maßnahmen in Bezug auf sämtliche Risiken für Informationen, Vermögenswerte und die Fortführung der Geschäftstätigkeit im Notfall.

2. Grundsatzaussage

Die Informationen müssen so geschützt werden, dass

  • die Vertraulichkeit in angemessener Weise gewahrt ist,
  • die Integrität der Informationen sichergestellt ist,
  • sie bei Bedarf verfügbar sind,
  • die Beteiligung an einer Transaktion nicht geleugnet werden kann,
  • eine gesetzliche, vertragliche und aufsichtsrechtliche Verpflichtungen erfüllen kann.

Es wird verlangt, dass

  • für Informationen (Daten, unterstützende Systeme und Verfahren) namentlich Informationseigentümer ernannt werden und dass diese für die Festlegung des erforderlichen Kontrollumfangs verantwortlich sind,
  • der jeweils für die Informationen geltende Sicherheits- und Kontrollumfang am jeweiligen Geschäftsrisiko ausgerichtet ist,
  • die einzelnen Nutzer für die Nutzung der Informationen verantwortlich sind,
  • durch Erzeugung zusätzlicher Informationen und durch zusätzliche Verfahren die Nachvollziehbarkeit sämtlicher Transaktionen gewährleistet ist,
  • es eine unabhängige Überprüfung der Verwaltung und Nutzung von Informationen gibt.

2.1. Systemzugangskontrolle

Die Kanzlei setzt logische und physische Zugangskontrollen, sowie abgesicherte Logins für sämtliche von ihr betriebenen Informationssysteme und Verfahren ein.

  • Die Verantwortlichkeit und Rechenschaftspflicht für die Festlegung von Zugriffsrechten liegen bei den Informationseigentümern.
  • Der Zugriff auf Informationen darf Nutzern nur für den definierten Geschäftsbedarf gewährt werden.

2.2. Sicherheit der Informationssysteme während des Lebenszyklus

  • Eine Sicherheitsrisikoanalyse muss ein fester Bestandteil bei der Entwicklung, bei Einführung und Wartungsverfahren von Informationssystemen sein, und zwar ab Beginn des Lebenszyklus.
  • Neue Hardware und/oder Software muss den geltenden Informationssicherheitsstandards:
    • Information Security Policy (ISP),
    • Generic Security Standards (GSS),
    • Product-based Operating Manuals (POM)

    entsprechen.

3 Nutzer

Nutzer (Mitarbeiter, Vertragspartner) sind bei der Erstellung, Nutzung und Verwaltung von Informationen verpflichtet, die Information Security Policy und die damit verbundenen Informationssicherheitsstandards sowie die Richtlinien des Unternehmens einzuhalten. Die einzelnen Nutzer sind für sämtliche Maßnahmen verantwortlich, die sie bei der Nutzung von Informationen und der damit verbundenen Systeme ergreifen.
Nutzer, die eine Verletzung der Information Security Policy und der damit verbundenen Informationssicherheitsstandards vermuten oder Kenntnis davon erlangt haben bzw. annehmen, dass Informationen nicht in geeigneter Weise geschützt sind, müssen dies unverzüglich melden.

3.1. Sicherheitsmanagement

Das Steuerberatungsbüro ist für eine sichere und solide Bearbeitung sämtlicher Transaktionen der Kanzlei nach Maßgabe der festgelegten Standards sowie für die Sicherstellung des Schutzes der Informationen verantwortlich.
Ein Sicherheitsmanagement stellt die Entwicklung der Information Security Policy und der damit verbundenen Standards, ihre ständige Fortschreibung und Veröffentlichung sicher. Es ist sowohl für die Einführung von Sicherheitsprogrammen entsprechend den geschäftlichen Bedürfnissen sowie für die Bereitstellung von Sicherheitsdienstleistungen zum Schutz der Kanzlei verantwortlich. Dazu zählen auch das Sicherheitsbewusstsein der Mitarbeiter, die Sicherheitsanalyse und die technische Überwachung. Der Kanzleiinhaber versichert sich ständig über die Einhaltung dieser Policy.

3.2. Prüfung

Die Verwaltung, Nutzung und Kontrolle von Informationen werden überprüft. Bei dieser Prüfung muss die Stichhaltigkeit der Sicherheitsklassifizierung der Informationen begutachtet werden. In Bezug auf diese beiden Faktoren ist die Angemessenheit der nachstehenden Eigenschaften wichtig:

  • Zugriffsmöglichkeit zu den Informationen,
  • Kontrollen im Zusammenhang mit den Informationen,
  • Verwaltung der Informationen, einschließlich der Trennung von Rollen und unabhängige Genehmigung/Überprüfung von Transaktionen,
  • Maßnahmen zur Wiederherstellung von Informationen und Verfahren.

4. Durchsetzung/ 4.1. Verstöße

Als Verstöße gelten vorsätzliche oder grob fahrlässige Handlungen, die

  • eine Kompromittierung des Rufes der Kanzlei darstellen,
  • die Sicherheit der Vertragspartner und des Vermögens der Kanzlei kompromittieren,
  • der Kanzlei tatsächlichen oder potentiellen finanziellen Verlust einbringen – durch die Kompromittierung der Sicherheit von Daten oder Geschäftsinformationen,
  • den unberechtigten Zugriff auf Informationen, deren Preisgabe und/oder Änderung
  • beinhalten, die Nutzung von Informationen für illegale Zwecke beinhalten.

4.2. Strafen

Die Nichteinhaltung oder bewusste Verletzung der Information Security Policy führt zu einer der nachfolgenden Aktionen, ist aber nicht auf diese beschränkt:

  • Disziplinarmaßnahmen
  • Entlassung
  • straf- und/oder zivilrechtliche Verfahren.

5. Anhang

Informationen
Daten, die gespeichert oder verwaltet werden auf Systemen oder Medien, wie z.B. auf Disketten, in der Infrastruktur oder im Rahmen von Geschäftsabläufen.

Sicherheit
Schutz von Informationsquellen vor unberechtigten Änderungen, Zerstörungen oder Preisgabe – unabhängig davon, ob sie absichtlich oder unabsichtlich erfolgten.

Vertraulichkeit
Vermeidung der Offenlegung von Informationen ohne Erlaubnis des Eigentümers.

Verfügbarkeit
Vermeidung einer nicht annehmbaren Verzögerung bei der Durchführung eines genehmigten Zugriffs auf Informationen.

Rechenschaftspflicht
Grundsatz, dass Einzelpersonen für die Folgen ihrer Handlungen verantwortlich sind, die zu einer Verletzung der Sicherheit führen könnten oder bereits geführt haben.

Verbindlichkeit
Dieser Grundsatz besagt, dass später nachgewiesen werden kann, dass die an einer Transaktion Beteiligten die Transaktionen tatsächlich autorisiert haben und sie über keinerlei Mittel verfügen, ihre Beteiligung zu bestreiten.