1.1. Zielsetzung
Die Richtlinie zur Informationssicherheit von Yours Clothing Limited hat folgende Zielsetzung:

• Vertraulichkeit – Der Zugang zu Daten ist nur Personen mit entsprechender Berechtigung möglich, die Daten sind vor unbefugtem Zugriff zu schützen.
• Integrität – Die Informationen müssen vollständig und exakt sein. Alle Systeme, Anlagen und Netzwerke müssen gemäß den Spezifikationen ordnungsgemäß funktionieren.
• Risikomanagement – Es müssen geeignete Maßnahmen getroffen werden, um die Verfügbarkeit von Daten zu gewährleisten und das Risiko einer Offenlegung zu vermeiden.
• Regelbefolgung – Die Einhaltung von Gesetzen, Vorschriften und Vertragsbedingungen muss sichergestellt werden.

*Die Nichteinhaltung der Richtlinie zur Informationssicherheit von Yours Clothing Limited kann zu Disziplinarmaßnahmen führen.

1.2. Zweck
Zweck der vorliegenden Richtlinie ist die Gewährleistung und Wahrung der Sicherheit für die Daten einzelner Personen sowie für im Besitz von Yours Clothing Limited befindlicher Informationssysteme, Anwendungen und Netzwerke durch folgende Maßnahmen:

• Alle Mitarbeiter werden über die relevanten, in dieser und anderen Richtlinien beschriebenen Vorschriften unterrichtet und halten diese uneingeschränkt ein.
• Die Sicherheitsgrundsätze und deren Umsetzung im Unternehmen werden erläutert.
• Es wird sichergestellt, dass alle Mitarbeiter über ihre eigene Verantwortung für eine konsistente Vorgehensweise im Bereich Sicherheit unterrichtet sind.
• Es wird ein Bewusstsein für die Notwendigkeit der Informationssicherheit als integraler Bestandteil des Tagesgeschäfts geschaffen und gepflegt. Informationsressourcen werden geschützt.

1.3. Geltungsbereich

• Diese Richtlinie gilt für alle Informationen, Informationssysteme, Netzwerke, Anwendungen, Standorte und Anwender von Yours Clothing Limited und entsprechende Elemente, die dem Unternehmen im Rahmen von Verträgen bereitgestellt werden.

2.1. Die Zuständigkeit für Informationssicherheit liegt letztendlich beim Vorstand von Yours Clothing, der für die Umsetzung der Richtlinie und der damit verbundenen Verfahren verantwortlich ist.

2.2. Die direkten Vorgesetzten sind dafür verantwortlich, dass die ihnen unterstellten festangestellten Mitarbeiter, Zeitarbeiter und Auftragnehmer über Folgendes informiert sind:

• Für ihre Abteilung relevante und anwendbare Teile der Richtlinie zur Informationssicherheit
• Persönliche Verantwortung für die Informationssicherheit
• Quellen von Informationen zu Fragen der Informationssicherheit und wie diese aufgerufen werden können

2.3. Alle Mitarbeiter müssen die Verfahren zur Informationssicherheit, einschließlich Wahrung der Vertraulichkeit und Integrität der Daten, befolgen.

2.4. Die Richtlinie zur Informationssicherheit wird gepflegt, jährlich überprüft und bei Bedarf aktualisiert.

2.5. Die direkten Vorgesetzten sind für die Sicherheit der physischen Umgebung ihrer Abteilung, in der Informationen abgerufen, verarbeitet oder gespeichert werden, verantwortlich.

2.6. Jeder Mitarbeiter ist für die Betriebssicherheit der von ihm verwendeten Informationssysteme verantwortlich.

2.7. Jeder Systemanwender muss die geltenden Sicherheitsanforderungen erfüllen und sicherstellen, dass Vertraulichkeit, Integrität und Verfügbarkeit der von ihm verwendeten Informationen auf höchstem Niveau gehalten werden.

2.8. Bevor externen Auftragnehmern der Zugang zu den Informationssystemen des Unternehmens ermöglicht wird, müssen entsprechende Verträge mit ihnen abgeschlossen werden. Durch diese Verträge muss sichergestellt werden, dass Personal und Auftragnehmer des externen Unternehmens alle relevanten Sicherheitsrichtlinien einhalten.

3.1. Yours Clothing Limited ist verpflichtet, alle relevanten Gesetze des Vereinigten Königreichs und der Europäischen Union einzuhalten. Die Verpflichtung zur Einhaltung dieser Rechtsvorschriften geht an die Mitarbeiter und Beauftragten über, die für etwaige eigene Verstöße gegen die Informationssicherheit persönlich verantwortlich gemacht werden können

4.1. Sicherheitsmanagement

• Die Verantwortung für die Informationssicherheit liegt beim Vorstand.
• Die Abteilungsleiter sind für das Unternehmen verantwortlich für die Umsetzung, Überwachung, Dokumentierung und Kommunikation der Sicherheitsanforderungen innerhalb ihrer Teams.

4.2. Schulung zum Thema Informationssicherheit

• Bei der Einführung neuer Mitarbeiter müssen diese zum Thema Informationssicherheit geschult werden.
• Entsprechende Kenntnisse der Mitarbeiter werden überprüft, aufgefrischt und bei Bedarf auf den neuesten Stand gebracht.

4.3. Arbeitsverträge

• Alle Arbeitsverträge müssen eine Geheimhaltungsklausel enthalten.
• Die Erwartungen an das Personal in Bezug auf Informationssicherheit müssen im Mitarbeiterhandbuch aufgeführt sein und bei der Einarbeitung einbezogen werden.

4.4. Kontrolle der Anlagensicherheit

• Für die Informationssicherheit jeder IT-Anlage (Hardware, Software, Anwendung) ist eine bestimmte Person verantwortlich.

4.5. Zugang

• Nur befugtes Personal, das einen berechtigten geschäftlichen Bedarf hat, darf Zugang zu geschützten Bereichen mit Informationssystemen und gespeicherten Daten erhalten.

4.6. Zugang zu Computern

• Der Zugang zu Computereinrichtungen muss auf autorisierte Nutzer beschränkt werden, die einen geschäftlichen Bedarf zu deren Nutzung haben.

4.7. Anwendungszugriff

• Der Zugriff auf Daten, Systemdienstprogramme und Programmquellenbibliotheken ist zu kontrollieren und auf befugte Anwender zu beschränken, die einen legitimen geschäftlichen Bedarf haben (z. B. System- oder Datenbankadministratoren).

4.8. Anlagensicherheit

• Um das Risiko von Verlust oder Beschädigung aller Vermögenswerte möglichst gering zu halten, müssen Anlagen physisch vor Bedrohungen und Umweltrisiken geschützt werden.

4.9. Verfahren für Computer und Netzwerke

• Die Verwaltung von Computern und Netzwerken muss anhand dokumentierter, vom Vorstand genehmigter Standardverfahren erfolgen.

4.10. Informationsrisikobewertung

• Risikobewertung und -management erfordern die Identifizierung und Quantifizierung von Informationssicherheitsrisiken im Hinblick auf den wahrgenommenen Wert, die Schwere der Auswirkungen und die Eintrittswahrscheinlichkeit. Identifizierte Informationssicherheitsrisiken müssen in einem zentralen Geschäftsrisikoregister erfasst und Aktionspläne zur ihrer effektiven Bewältigung erstellt werden. Das Risikoregister und alle damit verbundenen Maßnahmen müssen regelmäßig überprüft werden. Darüber hinaus müssen alle Vorkehrungen zur Wahrung der Informationssicherheit regelmäßig überprüft werden. Diese Überprüfungen sollen dazu beitragen, die Weiterführung bewährter Verfahren zu ermöglichen und mögliche Schwachstellen sowie potenzielle, seit der letzten Überprüfung aufgekommene Risiken aufzudecken.

4.11. Ereignisse und Schwachstellen

• Alle Ereignisse im Hinblick auf die Informationssicherheit sowie vermutete Schwachstellen müssen gemeldet werden. Diese werden auf ihre Ursachen und Auswirkungen hin untersucht, um ähnliche oder zukünftige Ereignisse zu vermeiden.

4.12. Schutz vor Schadsoftware

• Yours Clothing muss sämtliche verwendete Software durch Verwaltungs- und Abwehrmaßnahmen vor Schadsoftware schützen. Die Anwender dürfen ohne Genehmigung der IT-Leitung oder eines Vorstandsmitglieds keine Software auf Unternehmenseigentum installieren.

4.13. Anwendermedien

• Wechselmedien aller Art, die Software oder Daten aus externen Quellen enthalten oder auf externen Geräten verwendet wurden, dürfen nur mit Zustimmung der IT-Leitung oder eines Vorstandsmitglieds auf Systemen von Yours Clothing verwendet werden. Vor der Verwendung müssen solche Medien vollständig auf Viren überprüft werden.

4.14. Überwachung von Systemzugriff und Datennutzung

• Der Systemzugriff und die Datennutzung durch das gesamte Personal muss protokolliert werden.
• Yours Clothing überprüft regelmäßig die Einhaltung der vorliegenden und anderer Richtlinien. Darüber hinaus behält sich das Unternehmen das Recht vor, Aktivitäten zu überwachen, wenn Verdacht auf einen Verstoß gegen die Richtlinie besteht. Die Überwachung und Aufzeichnung der elektronischen Kommunikation von Mitarbeitern (einschließlich der Telefonkommunikation) ist gemäß dem britischen Gesetz Regulation of Investigatory Powers Act (2000) zu folgenden Zwecken zulässig:
  • Feststellung der Existenz von Fakten
  • Erkennung und Untersuchung einer unbefugten Nutzung des Systems
  • Prävention und Aufdeckung von Straftaten
  • Ermittlung oder Nachweis von Standards, die von Personen, die das System nutzen, erreicht werden oder erreicht werden sollen (Qualitätskontrolle und Schulung) Nationale Sicherheitsinteressen
  • Einhaltung regulatorischer Praktiken oder Verfahren
  • Sicherstellung des effektiven Systembetriebs Jede Überwachung erfolgt in Übereinstimmung mit dem oben genannten Gesetz und der Menschenrechtskonvention.

4.15. Akkreditierung von Informationssystemen

• Yours Clothing stellt sicher, dass alle neuen Informationssysteme, Anwendungen und Netzwerke einen Sicherheitsplan umfassen und vom Vorstand vor Inbetriebnahme genehmigt werden.

4.16. Kontrolle von Systemänderungen

• Änderungen an Informationssystemen, Anwendungen oder Netzwerken müssen von der IT-Leitung und dem Vorstand geprüft und genehmigt werden.

4.17. Rechte an geistigem Eigentum

• Yours Clothing stellt sicher, dass alle Informationsprodukte ordnungsgemäß lizenziert und genehmigt werden. Die Anwender dürfen ohne Genehmigung der IT-Leitung oder eines Vorstandsmitglieds keine Software auf Unternehmenseigentum installieren.

4.18. Pläne für betriebliche Kontinuität und Notfallwiederherstellung

• Das Unternehmen muss sicherstellen, dass für alle geschäftskritischen Informationen, Anwendungen, Systeme und Netzwerke eine Analyse der geschäftlichen Auswirkungen sowie Pläne für betriebliche Kontinuität und Notfallwiederherstellung erstellt werden.

4.19. Berichterstattung

• Die IT-Leitung informiert den Vorstand regelmäßig über den Stand der Informationssicherheit im Unternehmen.