Sicherheitspolitik

Ziele und Programm zur Umsetzung der Masterplan.com Sicherheitspolitik

Version 2.0 vom 04.12.2022
Inhalt dieser Seite
  1. Informationssicherheit
  2. Personalsicherheit
  3. Richtlinie zum Schutz von Informationen
  4. Zugriffskontrolle
  5. Sicherheitsgrundsätze für die Netzwerkkommunikation
  6. Datensicherheit
  7. Sicherheitspolitik für Endgeräte (Stationär und Mobil)
  8. Datensicherheit: Physische und Umgebungskontrollen
  9. Kommunikation und Betriebsmanagement
  10. Sicherheit und Gewährleistung der Masterplan.com-Lieferkette
  11. Datenschutz @ Masterplan.com
  12. Reaktion auf Vorfälle
  13. Resilienzprogramm für Risikomanagement

Zielsetzungen

Die von der Geschäftsführung der Masterplan.com beschlossene Sicherheitspolitik wird im Rahmen eines Programms umgesetzt. Es sollen Schutzziele der Informationssicherheit, wie die Vertraulichkeit, Verfügbarkeit und Integrität von Daten, IT-Systemen und deren Infrastruktur gewährleistet werden.
Unternehmenswerte von Masterplan.com die einen hohen Schutzbedarf aufweisen sind z. B.
  1. Die eLearning Plattform
  2. Masterplan.com-Quellcode und andere sensible Daten
  3. Persönliche und andere sensible Informationen, die Masterplan.com im Rahmen seiner Geschäftstätigkeit sammelt, einschließlich Kunden-, Partner-, Lieferanten- und Mitarbeiterdaten, die in den internen IT-Systemen von Masterplan.com verarbeitet werden.
Das Ziel von Masterplan.com ist sicherzustellen, dass die Produkte von Masterplan.com und die für deren Betrieb erforderlichen Komponenten und Systeme bestmöglich vor z. B. Diebstahl von Informationen, mutwillige oder böswillige Veränderung von Software, unangemessener Benutzung, Bedrohungen von außen, geschützt werden.
Die Entwickler der Masterplan.com Plattform berücksichtigen in jeder Phase des Produktentwicklungs- und Lebenszyklus der Software, den Grundsatz des sicheren Designs (secure by design).
Die gilt für die Phasen der Spezifikation, der Entwicklung, dem Testen und der Wartung der Produkte.

Industrienormen und Zertifizierungen

Die Sicherheitsrichtlinien von Masterplan.com umfassen das Sicherheitsmanagement sowohl für die interne Organisation von Masterplan.com als auch für Dienstleistungen, die Masterplan.com für seine Kunden erbringt.
Die Sicherheitsrichtlinien gelten für das gesamte Personal von Masterplan.com, sowie externe Mitarbeiter, Dienstleister und Auftragnehmer. Sie sind mit den Normen ISO/IEC 27002:2013, ISO/IEC 27001:2013 und TISAX abgestimmt und sind maßgeblich für alle definierten Sicherheitsbereiche innerhalb von Masterplan.com.

Organisation des Informationssicherheitsmanagement

Das Informationssicherheitsmanagement wird durch den von der Geschäftsführung bestellten CISO (Chief Information Security Manager) verantwortet. Dies Position ist als Stabstelle in der Masterplan.com etabliert und sie berichtet direkt an die Geschäftsführung.
Zu den Aufgaben zählen die Strategische Planung und Entwicklung von Konzepten, Standards und Richtlinien für die Informationssicherheit; die Technische Implementierung von IT-Sicherheit; sowie die Steuerung und Koordination der Sicherheitsmaßnahmen unter Berücksichtigung der Standards (Informationssicherheits-Prozessmanagement, ISO 27001und TISAX)
Zudem obliegt dem CISO die Koordinierung und das Training der Sicherheitskoordinatoren der Fachbereiche; das Incident und Configuration Management; sowie die kontinuierliche Analyse und Optimierung der IT-Sicherheitsstrategien in Anlehnung an die Geschäftsprozesse.
Weiterhin organisiert er die Analyse und Bewertung von Risiken für die Informationssicherheit (bereichs- und standortübergreifend); die Planung und Umsetzung der Sicherheitskonzepte in enger Zusammenarbeit mit den Fachabteilungen und IT); sowie die Durchführung und Betreuung/Begleitung von Audits.
Er ist verantwortlich für die Organisation und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zum Thema Informationssicherheit.
Der Chief Information Security Officer (CISO) leitet die Abteilung, die direkt für die Identifizierung und Implementierung von Sicherheitsmaßnahmen bei Masterplan.com verantwortlich ist. Diese Abteilung treibt das Sicherheitsprogramm des Unternehmens voran, definiert die Sicherheitsrichtlinien des Unternehmens, bewertet die Konformität und stellt die operative Aufsicht über die mehrdimensionalen Aspekte der Sicherheitsrichtlinien und -praktiken von Masterplan.com sicher:
  1. Informationssicherheit
  2. Physische Sicherheit
  3. Sicherheitsarchitektur

Informationssicherheit

Übersicht
Informationssicherheit bedeutet bei Masterplan.com die Sicherheitsaufsicht, die Einhaltung und Durchsetzung von Sicherheitsvorschriften und die Durchführung von Bewertungen der Informationssicherheit.
Dies bildet die Grundlage zur Entwicklung einer Informationssicherheitspolitik und -strategie sowie die Schulung und Sensibilisierung der Mitarbeit.
Die für die Informationssicherheit verantwortliche Stelle, dient als Hauptansprechpartner für die Reaktion auf Sicherheitsvorfälle und gibt die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vor.
Das Informationssicherheitsprogramm widmet sich der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit der Masterplan.com Informationsressourcen. Dies umfasst auch die Schwerpunkte:
  1. Der Definition technischer Unternehmensstandards zur Gewährleistung von Sicherheit, Datenschutz und Compliance

Informationssicherheits-Manager

Der Information Security Manager (ISM) verwaltet das Programm zur Umsetzung der Informationssicherheit. Der Information Security Manager dient als Sicherheitsbeauftragter im Geschäftsbereich, um das Bewusstsein für und die Einhaltung von Sicherheitsrichtlinien, -prozessen, -standards und -initiativen innerhalb der Masterplan.com zu erhöhen.

Physische Sicherheit

Übersicht
Physische Sicherheit bedeutet bei Masterplan.com die Definition, Entwicklung, Implementierung und Verwaltung aller Aspekte der physischen Sicherheit zum Schutz der Mitarbeiter, Einrichtungen des Unternehmens und der Vermögenswerte von Masterplan.com.
Risikobasierter Ansatz
Masterplan.com setzt hierfür einen risikobasierten Ansatz zur kontinuierlichen Risikoeinschätzung und Verbesserung der physischen und umgebungsbezogenen Sicherheit. Ziel ist ein wirkungsvolles Gleichgewicht zwischen Prävention, Erkennung, Schutz und Reaktion herzustellen und gleichzeitig ein konstruktives Arbeitsumfeld aufrechtzuerhalten, das Innovation und Zusammenarbeit zwischen Masterplan.com-Mitarbeitern, Partnern und Kunden fördert.
Masterplan.com führt regelmäßig Risikobewertungen durch, um zu gewährleisten, dass korrekte und wirksame Maßnahmen zur Risikominderung genutzt und aufrechterhalten werden.

Aufsicht über die Sicherheitsarchitektur

Übersicht
Der Masterplan.com Security Architect (SAC) unterstützt die Organisation bei der Festlegung der technischen und organisatorischen Ausrichtung der Informationssicherheit und bei der Entwicklung und Bereitstellung von Lösungen für die Informationssicherheit und das Identitätsmanagement.
Der Security Architect arbeitet mit der Informationssicherheit und der Softwareentwicklung zusammen, kommuniziert und implementiert die Roadmaps für die Unternehmenssicherheitsarchitektur.
Die Unternehmenssicherheitsarchitektur verwaltet eine Vielzahl von Programmen und nutzt verschiedene Methoden der Zusammenarbeit mit Führungs- und Sicherheitsteams, die für den Betrieb, die Dienste, die Cloud und alle anderen Geschäftsbereiche von Masterplan.com verantwortlich sind.
  1. Vorbewertung: Die Risikomanagement-Teams in jedem Geschäftsbereich müssen eine Vorbewertung jedes Projekts anhand der genehmigten Vorlage durchführen
  2. Das Sicherheitsarchitektur-Team prüft die eingereichten Pläne und führt eine technische Sicherheits-Design-Prüfung durch
  3. Überprüfung der Sicherheitsbewertung: Auf der Grundlage des Risikoniveaus werden Systeme und Anwendungen vor dem Produktionseinsatz einer Sicherheitsüberprüfung unterzogen

Personalsicherheit

Übersicht
Masterplan.com stellt hohe Ansprüche an Mitarbeiter für ethisches Geschäftsverhalten auf allen Ebenen des Unternehmens. Diese umfassen Masterplan.com-Mitarbeitende sowie Auftragnehmer und Kunden. Sie betreffen die Einhaltung rechtlicher und regulatorischer Vorschriften sowie das Geschäftsgebaren und die Geschäftsbeziehungen. Masterplan.com schult seine Mitarbeitenden in Ethik und Geschäftsgebaren alle zwei Jahre.
Schwerpunkt Sicherheit
Das Unternehmen führt laufend Initiativen durch, die dazu beitragen, Risiken im Zusammenhang mit menschlichem Versagen, Diebstahl, Betrug und Missbrauch von Einrichtungen zu minimieren. Maßnahmen die gewährleisten, dass ausschließlich vertrauenswürdiges und gut ausgebildetes Personal, das mit angemessenem Datenschutz und Informationssicherheit Bewusstsein agiert, für Masterplan.com tätig ist.
Verschwiegenheit
Masterplan.com-Mitarbeiter sind verpflichtet, die Vertraulichkeit von Kundendaten zu wahren. Mitarbeiter verpflichten sich mit Eintritt in das Unternehmen Vertraulichkeit zu allen Geschäftsvorgängen zu wahren und Unternehmensrichtlinien zum Schutz vertraulicher Informationen als Teil ihrer ursprünglichen Beschäftigungsbedingungen einzuhalten. Subunternehmen und relevante Dienstleister werden von Masterplan auf Compliance zu Masterplan.com Vorgaben regelmäßig geprüft.
Ausbildung und Weiterentwicklung des Sicherheitsbewusstseins
Masterplan.com fördert das Sicherheitsbewusstsein und schult seine Mitarbeiter regelmäßig.
Jeder Mitarbeiter verpflichtet sich, bei seiner Einstellung und anschließend alle zwei Jahre eine Schulung zum Thema Informationssicherheit zu absolvieren. Dieses Training schult die Mitarbeiter zur Einhaltung von Datenschutz und Sicherheitsrichtlinien und -prinzipien von Masterplan.com.
Umsetzung
Es werden in regelmäßigen Abständen Sicherheitsüberprüfungen und Audits durchgeführt, um die Einhaltung der Richtlinien, Verfahren und Prozeduren der Informationssicherheit von Masterplan.com zu gewährleisten.

Masterplan.com-Richtlinie zum Schutz von Informationen

Übersicht
Die Richtlinie zum Schutz von Informationen von Masterplan.com betrifft alle Informationen und Daten die im Betrieb von Masterplan.com entstehen und regelt wie Mitarbeiter und Geschäftspartner die Informationsklassifizierungsschemata einsetzen und anwenden sollen.
Masterplan.com kategorisiert Informationen und Daten in vier Klassen – öffentlich, intern, vertraulich und streng vertraulich – wobei jede Klassifizierung entsprechende Sicherheitsmaßnahmen erfordert, wie z.B. Verschlüsselungsanforderungen für Daten, die als vertraulich oder streng vertraulich klassifiziert sind.
Schulung und Sensibilisierung
Bei der obligatorischen Schulung von Masterplan.com werden die Mitarbeiter über die Datenschutzpolitik des Unternehmens unterrichtet. Die Mitarbeiter müssen diese Schulung bei ihrem Eintritt bei Masterplan.com absolvieren und sie danach regelmäßig wiederholen.
System-Bestandsaufnahme
Die Entwicklung und Pflege eines genauen Systembestands ist ein notwendiges Element für ein effektives allgemeines Informationssystem-Management und die Betriebssicherheit. Masterplan.com‘s Richtlinie zur Inventarisierung von Informationssystemen verlangt, dass für alle Informationssysteme, die kritische und hochkritische Informationsbestände in Masterplan.com Infrastrukturen enthalten, ein genaues und aktuelles Inventar geführt wird.

Masterplan.com-Zugriffskontrolle

Einführung
Die Zugangskontrollen beziehen sich auf die Richtlinien, Verfahren und Instrumente, die den Zugang zu und die Nutzung von Ressourcen regeln. Beispiele für Ressourcen sind ein physischer Server, eine Datei, ein Verzeichnis, ein Dienst, der auf einem Betriebssystem läuft, eine Tabelle in einer Datenbank oder ein Netzwerkprotokoll.
  1. Least Privilege ist ein systemorientierter Ansatz, bei dem die Benutzerrechte und die Systemfunktionalität sorgfältig evaluiert werden und der Zugriff auf die Ressourcen beschränkt ist, die die Benutzer oder Systeme zur Erfüllung ihrer Aufgaben benötigen
  2. Standardverweigerung (Default-Deny) ist ein netzwerkorientierter Ansatz, bei dem implizit die Übertragung des gesamten Datenverkehrs verweigert wird und dann spezifisch nur der erforderliche Datenverkehr auf der Grundlage von Protokoll, Port, Quelle und Ziel zugelassen wird
Masterplan.com’s Zugriffskontrollrichtlinien und -praktiken
Die Masterplan.com-Richtlinie zur logischen Zugriffskontrolle gilt für Zugriffskontrollentscheidungen für alle Masterplan.com-Mitarbeitenden und alle informationsverarbeitenden Einrichtungen, für die Masterplan.com Verwaltungsbefugnisse hat. Diese Richtlinie gilt nicht für öffentlich zugängliche, dem Internet zugewandte Masterplan.com-Systeme oder Endbenutzer.
Verwaltung von Privilegien
Die Autorisierung hängt von einer erfolgreichen Authentifizierung ab, da die Kontrolle des Zugriffs auf bestimmte Ressourcen von der Feststellung der Identität einer Entität oder Person abhängt. Alle Autorisierungsentscheidungen von Masterplan.com für die Gewährung, Genehmigung und Überprüfung des Zugriffs basieren auf den folgenden Prinzipien:
  1. Need to know: Benötigt der Benutzer diesen Zugriff für seine Arbeitsfunktion?
  2. Trennung der Aufgaben: Führt der Zugriff zu einem Interessenkonflikt?
  3. Geringste Privilegien (Least Privilege): Ist der Zugang nur auf die Ressourcen und Informationen beschränkt, die für einen legitimen Geschäftszweck erforderlich sind?
Benutzer-Passwortverwaltung
Masterplan.com setzt starke Passwortrichtlinien für das Masterplan.com-Netzwerk, das Betriebssystem und die Datenbankkonten durch, um die Chancen zu verringern, dass Eindringlinge durch Ausnutzung von Benutzerkonten und zugehörigen Passwörtern Zugang zu Systemen oder Umgebungen erhalten.
Periodische Überprüfung der Zugriffsrechte
Masterplan.com überprüft regelmäßig Netzwerk- und Betriebssystemkonten im Hinblick auf die entsprechenden Zugriffsebenen der Mitarbeiter. Im Falle von Kündigungen, Todesfällen oder Rücktritten von Mitarbeitern ergreift Masterplan.com geeignete Maßnahmen, um Netzwerk, Telefonie und physischen Zugang unverzüglich zu beenden.
Passwort-Richtlinie
Die Verwendung von Passwörtern wird in der Masterplan.com Password Policy behandelt. Masterplan.com-Mitarbeiter sind verpflichtet, Regeln für die Länge und Komplexität von Passwörtern einzuhalten und ihre Passwörter jederzeit vertraulich und sicher zu behandeln. Passwörter dürfen nicht an unbefugte Personen weitergegeben werden. Unter bestimmten Umständen können autorisierte Masterplan.com-Mitarbeiter Passwörter zum Zweck der Bereitstellung von Support-Dienstleistungen gemeinsam nutzen.
Netzwerk-Zugangsmaßnahmen
Masterplan.com hat starke Netzwerkmaßnahmen eingeführt und hält diese aufrecht, um den Schutz und die Kontrolle von Kundendaten während ihrer Übertragung von einem Endsystem zum anderen zu gewährleisten. Die Masterplan.com-Richtlinie zur Nutzung von Netzwerkdiensten besagt, dass Endpunkte, die mit dem Masterplan.com-Netzwerk verbunden sind, gut etablierten Standards für Sicherheit, Konfiguration und Zugriffsmethode entsprechen müssen.

Sicherheitsgrundsätze für die Netzwerkkommunikation

Übersicht
Für die Verwaltung von Netzwerksicherheits- und Netzwerkverwaltungsgeräten verlangt Masterplan.com vom IT-Mitarbeitenden die Verwendung sicherer Protokolle mit Authentifizierung, Autorisierung und starker Verschlüsselung. Netzwerkgeräte müssen sich in einer Umgebung befinden, die durch physische Zugangskontrollen und andere Standards für physische Sicherheitsmaßnahmen geschützt und definiert sind.
Kommunikationen zum und vom Masterplan.com-Unternehmensnetzwerk müssen durch Netzwerksicherheitsgeräte an der Grenze des internen Masterplan.com-Unternehmensnetzwerks geleitet werden.
Der Zugang von Zulieferern und Dritten zum Masterplan.com-Unternehmensnetzwerk unterliegt Einschränkungen und der vorherigen Genehmigung durch die Masterplan.com-Richtlinien für den Netzzugang von Drittanbietern.
Asset Management
Netzwerkgeräte müssen gemäß der Masterplan.com Richtlinie in einem von Masterplan.com genehmigten Informationssystem-Bestandsverzeichnis registriert sein. Diese Richtlinie erfordert die Inventarisierung und dokumentierte Eigentümerschaft aller Informationssysteme, die kritische und hochkritische Informationsbestände während ihres gesamten Lebenszyklus mittels eines genehmigten Inventarsystems verarbeiten.
Drahtlose Netzwerke
Die Masterplan.com Richtlinie für Wireless LAN regelt die Bereitstellung und Nutzung von drahtlosen Netzwerken und die Konnektivität für den Zugriff auf das Masterplan.com-Unternehmensnetzwerk. Masterplan.com verwaltet drahtlose Netzwerke und überwacht nicht autorisierte drahtlose Netzwerke.

Datensicherheit

Einführung
Die Klassifizierung der Information Assets von Masterplan.com bestimmt die Anforderungen des Unternehmens an die Datensicherheit von Masterplan.com-verwalteten Systemen. Masterplan.com-Richtlinien und -Standards bieten eine Anleitung für angemessene Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten in Übereinstimmung mit der Datenklassifizierung. Die erforderlichen Mechanismen sind so konzipiert, dass sie mit der Art der zu schützenden Unternehmensdaten in Einklang stehen. Beispielsweise sind die Sicherheitsanforderungen bei sensiblen oder wertvollen Daten wie Cloud-Systemen, Quellcode‘s und Beschäftigungsaufzeichnungen höher.
Die Sicherheitsmaßnahmen von Masterplan.com im Unternehmen lassen sich in drei Kategorien einteilen: administrative, physische und technische Sicherheitsmaßnahmen.
  1. Administrative Maßnahmen, einschließlich logischer Zugriffskontrolle und Personalprozesse
  2. Physische Maßnahmen, die den unbefugten physischen Zugang zu Servern und Datenverarbeitungsumgebungen verhindern sollen
  3. Technische Maßnahmen, einschließlich sicherer Konfigurationen und Verschlüsselung für Daten im Ruhezustand und bei der Übertragung (Data at Rest, Data in Motion)
Darüber hinaus verfügt Masterplan.com über formelle Programme, um die Entwicklung der Plattform zu steuern. Diese umfasst jede Phase des Produktentwicklungs-Lebenszyklus und ist Masterplan.com‘s Methodik für den Einbau von Sicherheit in das Design, den Aufbau, das Testen und die Wartung seiner Plattform.

Masterplan.com’s Sicherheitspolitik für Endgeräte (Stationär und mobil)

Einführung
Die Masterplan.com-Richtlinie schreibt den Einsatz von Antiviren-, IPS und Firewall-Software auf Endgeräten -soweit möglich- vor. Darüber hinaus müssen auf allen Endgeräten automatisierte Sicherheitsupdates und Updates der Virensignaturen aktiviert sein. Endgeräte, die Masterplan.com- oder Kundendaten verarbeiten, werden mit zugelassener Software verschlüsselt.
Schutz vor bösartigem Code
Masterplan.com-Mitarbeiter müssen die E-Mail-Anweisungen von Masterplan.com befolgen und sind dafür verantwortlich, dem Helpdesk für Masterplan.com-Mitarbeiter umgehend jeden Virus oder vermuteten Virenbefall zu melden, der nicht durch Antiviren-Software behoben werden kann.
Den Mitarbeitern ist es untersagt, Antiviren-Software und den Sicherheits-Update-Service von jedem Computer aus zu verändern, zu deaktivieren oder zu entfernen. Jeder Masterplan.com-Mitarbeiter, der gegen diesen Standard verstößt, kann Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses unterworfen werden.
Endgeräte Verschlüsselung
Zum Schutz sensibler Masterplan.com-Informationen müssen die Masterplan.com-Mitarbeiter von Masterplan.com genehmigte Verschlüsselungssoftware auf ihren Endgeräten installieren.
Mobilitätsmanagement für Unternehmen
Masterplan.com setzt eine Mobil Device Management Lösung zum Schutz von Daten der Mitarbeiter betriebenen mobilen Geräte auf. Diese Lösungen unterstützen alle gängigen Betriebssysteme und Plattformen für mobile Geräte. Die IT- und Sicherheitsorganisationen von Masterplan.com fördern regelmäßig das Bewusstsein für die Sicherheit mobiler Geräte und bewährte Verfahren.
Datensicherheit: Physische und Umgebungskontrollen
Risikobasierter Ansatz
Globale physische Sicherheit verwendet einen risikobasierten Ansatz für physische und umgebungsbezogene Sicherheit. Ziel ist es, Prävention, Erkennung, Schutz und Reaktion in ein Gleichgewicht zu bringen und gleichzeitig ein positives Arbeitsumfeld aufrechtzuerhalten, das Innovation und Zusammenarbeit zwischen Masterplan.com-Mitarbeitenden und -Partnern fördert. Masterplan.com führt regelmäßig Risikobewertungen durch, um zu bestätigen, dass die korrekten und wirksamen Maßnahmen zur Risikominderung vorhanden sind und aufrechterhalten werden.

Präventive Maßnahmen: Schutz von Masterplan.com-Assets und -Mitarbeitenden

Masterplan.com hat die folgenden Protokolle implementiert:
  1. Der physische Zugang zu den Einrichtungen ist auf Masterplan.com-Mitarbeiter , Auftragnehmer und autorisierte Besucher beschränkt
  2. Besucher sind verpflichtet, begleitet und/oder beobachtet zu werden, wenn sie sich in den Räumlichkeiten von Masterplan.com aufhalten, und/oder an die Bedingungen einer Vertraulichkeitsvereinbarung mit Masterplan.com gebunden zu sein
  3. Masterplan.com überwacht den Besitz von Schlüsseln/Zugangskarten und die Möglichkeit des Zugangs zu Einrichtungen. Mitarbeitende, die aus dem Arbeitsverhältnis mit Masterplan.com ausscheiden, müssen Schlüssel/Karten zurückgeben, und Schlüssel/Karten werden bei Kündigung deaktiviert
Sicherheit im Rechenzentrum
Masterplan.com’s Plattform läuft in Rechenzentren die dazu beitragen, die Sicherheit und Verfügbarkeit von Kundendaten zu schützen. Dieser Ansatz beginnt mit dem Standortauswahlverfahren von Masterplan.com. Die Rechenzentren entsprechen den ANSI/TIA-942-A Tier 3- oder Tier 4-Standards des Uptime Institute and Telecommunications Industry Association (TIA). Rechenzentren, die Masterplan.com Plattform beherbergen, verwenden redundante Stromquellen und unterhalten Generator-Backups für den Fall eines weit verbreiteten Stromausfalls. Diese werden genau auf Lufttemperatur und Luftfeuchtigkeit überwacht, und es sind Brandbekämpfungssysteme vorhanden. Das Personal des Rechenzentrums ist in der Reaktion auf Vorfälle und in Eskalationsverfahren geschult, um auf mögliche Sicherheits- und Verfügbarkeitsereignisse reagieren zu können.

Masterplan.com Kommunikation und Betriebsmanagement

Einführung
Die Sicherheitsprogramme von Masterplan.com sind darauf ausgelegt, die Vertraulichkeit, Integrität und Verfügbarkeit sowohl von Masterplan.com- als auch von Kundendaten zu schützen. Masterplan.com arbeitet kontinuierlich daran, die Sicherheitsmaßnahmen und -praktiken des Unternehmens für seine internen Abläufe und Dienstleistungen zu stärken und zu verbessern.
Akzeptable Nutzung und Masterplan.com-Mitarbeiter
Masterplan.com hat formale Anforderungen für die Nutzung des Masterplan.com-Unternehmensnetzwerks, der Computersysteme, Telefoniesysteme, Messaging-Technologien, des Internetzugangs und anderer Unternehmensressourcen, die Masterplan.com-Mitarbeitern und Auftragnehmern zur Verfügung stehen.
Allgemeine Sicherheitsgrundsätze für die Kommunikation
Kommunikationen von und zum Masterplan.com-Unternehmensnetzwerk müssen an der Netzwerkgrenze durch Netzwerksicherheitsvorrichtungen geleitet werden. Wenn Sie mehr über die Netzwerkmanagementpraktiken von Masterplan.com erfahren möchten, lesen Sie bitte Sicherheitsgrundsätze für die Netzwerkkommunikation.
Pflichtentrennung und Kenntnisnahme der Grundsätze
Masterplan.com setzt klar definierte Rollen durch, die eine Trennung der Aufgaben unter dem Betriebspersonal ermöglichen. Der Betrieb ist in Funktionsgruppen organisiert, wobei jede Funktion von separaten Gruppen von Mitarbeitenden wahrgenommen wird. Beispiele für funktionelle Gruppen sind Datenbankadministratoren, Systemadministratoren und Netzwerktechniker. Erfahren Sie mehr über Masterplan.com Zugriffskontrolle.
Überwachung und Schutz von Audit-Protokollinformationen
Masterplan.com protokolliert bestimmte sicherheitsrelevante Aktivitäten auf Betriebssystemen, Anwendungen, Datenbanken und Netzwerkgeräten. Die Systeme sind so konfiguriert, dass sie den Zugriff auf Masterplan.com-Programme sowie Systemwarnungen, Konsolenmeldungen und Systemfehler protokollieren. Masterplan.com implementiert Kontrollen, die vor Betriebsproblemen schützen sollen, dem Versagen, Ereignisse aufzuzeichnen, und/oder dem Überschreiben von Protokollen.
Masterplan.com überprüft Protokolle für forensische Zwecke und Vorfälle und identifiziert anomale Aktivitäten, die in den Prozess der Verwaltung von Sicherheitsvorfällen einfließen. Der Zugang zu Sicherheitsprotokollen wird auf der Grundlage des „Need-to-know“ und der geringsten Privilegien gewährt. Wenn möglich, werden die Protokolldateien zusätzlich zu anderen Sicherheitskontrollen durch starke Kryptographie geschützt, und der Zugriff wird überwacht. Protokolle, die von Systemen erzeugt werden, die über das Internet zugänglich sind, werden auf Systeme verlagert, die nicht über das Internet zugänglich sind.
Asset Management
Das Inventarisierungsmanagement von Masterplan.com für Informationssysteme erfordert eine genaue Inventarisierung aller Informationssysteme und Geräte, die während ihres gesamten Lebenszyklus über ein vom Masterplan.com Inventarisierungssystem kritische und äußerst kritische Informationsbestände enthalten. Diese Richtlinie definiert die erforderlichen Identifizierungsattribute, die für Server-Hardware, Software, Daten, die auf Informationssystemen gehalten werden, und Informationen, die für Zwecke der Notfallwiederherstellung und Geschäftskontinuität benötigt werden, aufzuzeichnen sind.
Kommunikationstechnologie
Masterplan.com verwaltet Unternehmenslösungen für die Zusammenarbeit und Kommunikation innerhalb von Masterplan.com und mit externen Parteien. Die Richtlinien von Masterplan.com schreiben vor, dass Mitarbeiter beim Umgang mit vertraulichen Informationen diese genehmigten Unternehmenstools verwenden.
Masterplan.com hat Standards für den sicheren Informationsaustausch mit Zulieferern und anderen Drittparteien definiert.

Sicherheit und Gewährleistung der Masterplan.com-Lieferkette

Einführung
Masterplan.com-Kunden auf der ganzen Welt verlassen sich auf die Masterplan.com Plattform, wenn es um den Schutz ihrer Daten geht. Als globales Unternehmen widmet Masterplan.com der Entwicklung und dem Vertrieb seiner Plattform große Sorgfalt.
Masterplan.com verfügt über formale Richtlinien und Verfahren, um die Sicherheit seiner Lieferkette zu gewährleisten. Diese Richtlinien und Verfahren erklären, wie Masterplan.com Drittanbieter auswählt, die in Masterplan.com Plattform eingebettet werden können.
Masterplan.com hat auch formale Anforderungen an seine Lieferanten und Partner, die bestätigen müssen, dass sie die ihnen anvertrauten Daten und Vermögenswerte von Masterplan.com und Dritten schützen. Die Supplier Information and Physical Security Standards (Standards für Lieferanteninformationen und physische Sicherheit) beschreiben die Sicherheitsmaßnahmen, die Masterplan.com’s Lieferanten und Partner einhalten müssen:
  1. Zugang zu den Einrichtungen, Netzwerken und/oder Informationssystemen von Masterplan.com und Masterplan.com-Kunden
  2. Umgang mit vertraulichen Masterplan.com-Informationen und Masterplan.com-Hardware-Assets, die sich in ihrem Gewahrsam befinden
Darüber hinaus sind Masterplan.com-Lieferanten verpflichtet, sich an den Masterplan.com Code of Conduct zu halten, der Richtlinien in Bezug auf die Sicherheit vertraulicher Informationen und des geistigen Eigentums von Masterplan.com und Dritten enthält.
Einführung
Die Supply Chain Risk Management-Praktiken von Masterplan.com konzentrieren sich auf Qualität, Verfügbarkeit, Kontinuität der Lieferung und Widerstandsfähigkeit in der direkten Lieferkette von Masterplan.com sowie Authentizität und Sicherheit der Masterplan.com-Plattform und -Services.
Weitere Sicherheitsprozesse konzentrieren sich auf die Sicherheit und den Produktschutz während des Transports, des Versands und der Lagerung.

Datenschutz bei Masterplan.com

Unsere Datenschutzrichtlinien sind unter https://masterplan.com/datenschutzerklärung/ einsehbar.
Übersicht
In Anlehnung an die empfohlenen Praktiken in den gängigen Sicherheitsstandards, die von der Internationalen Organisation für Normung (ISO) und anderen Branchenquellen herausgegeben werden, hat Masterplan.com eine Vielzahl von präventiven, detektivischen und korrektiven Sicherheitsmaßnahmen mit dem Ziel des Schutzes von Informationsbeständen implementiert.
Netzwerk-Schutz
Die Netzwerkschutzmaßnahmen von Masterplan.com umfassen Lösungen zur Gewährleistung der Dienstkontinuität und zur Abwehr von Denial-of-Service (DoS)- und Distributed-Denial-of-Service (DDoS)-Angriffen.
Ereignisse werden mit Hilfe der Signaturerkennung analysiert, d.h. einem Musterabgleich von Umgebungseinstellungen und Benutzeraktivitäten mit einer Datenbank bekannter Angriffe. Masterplan.com aktualisiert die Signaturdatenbank häufig.
Überwachung und Ereigniswarnungen
Warnmeldungen werden zur Überprüfung und Reaktion auf potenzielle Bedrohungen an das Sicherheitsteam von Masterplan.com gesendet. Diese Warnungen werden 24x7x365 überwacht.

Reaktion auf Vorfälle

Masterplan.com bewertet und reagiert auf Ereignisse, die den Verdacht auf unbefugten Zugriff auf oder im Umgang mit Kundendaten begründen, unabhängig davon, ob sich die Daten auf Masterplan.com-Hardware-Assets oder auf den persönlichen Hardware-Assets von Masterplan.com-Mitarbeitenden befinden. Masterplan.com’s Information Security Incident Reporting and Response Policy definiert Anforderungen für die Berichterstattung und Reaktion auf Vorfälle. Diese Richtlinie autorisiert Sicherheitsorganisation, als Hauptansprechpartner für die Reaktion auf Sicherheitsvorfälle zu fungieren und die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vorzugeben.
Die Unternehmensanforderungen für Vorfallreaktionsprogramme und Einsatzteams werden pro Vorfallart definiert:
  1. Validierung, dass ein Vorfall aufgetreten ist
  2. Kommunikation mit relevanten Parteien und Benachrichtigungen
  3. Beweissicherung
  4. Dokumentieren eines Vorfalls selbst und der damit verbundenen
  5. Reaktionsaktivitäten
  6. Eindämmen eines Vorfalls
  7. Beseitigung eines Vorfalls
  8. Eskalieren eines Vorfalls
Bei Entdeckung eines Vorfalls definiert Masterplan.com einen Vorfall-Reaktionsplan für eine schnelle und effektive Untersuchung, Reaktion und Wiederherstellung des Vorfalls. Es wird eine Ursachenanalyse durchgeführt, um Möglichkeiten für angemessene Maßnahmen zu identifizieren, die die Sicherheitshaltung und -abwehr im Detail verbessern. Formale Verfahren und zentrale Systeme werden eingesetzt, um während der Untersuchung eines Vorfalls Informationen zu sammeln und eine Beweismittelkette zu unterhalten. Masterplan.com ist in der Lage, bei Bedarf die rechtlich zulässige forensische Datenerfassung zu unterstützen.
Benachrichtigungen
Für den Fall, dass Masterplan.com feststellt, dass ein Sicherheitsvorfall eingetreten ist, benachrichtigt Masterplan.com unverzüglich alle betroffenen Kunden oder andere Dritte in Übereinstimmung mit seinen vertraglichen und gesetzlichen Verpflichtungen. Informationen über böswillige Versuche oder vermutete Vorfälle sind Masterplan.com vertraulich und werden nicht nach außen weitergegeben. Die Vorfallhistorie ist ebenfalls Masterplan.com Confidential und wird ebenfalls nicht nach außen weitergegeben.
Sicherheitslücken
Um eine Sicherheitslücke an Masterplan.com zu melden, verwenden Sie bitte folgenden Link: informationssicherheit@masterplan.com

Resilienzprogramm für Risikomanagement (RMRP)

Widerstandsfähigkeitspolitik des Masterplan.com-Risikomanagements
Masterplan.com’s Risk Management Resilience Richtlinie definiert Anforderungen und Standards auf Geschäftsunterbrechungsereignisse. Sie legt auch die funktionalen Rollen und Verantwortlichkeiten fest, die erforderlich sind, um die Fähigkeit zur Geschäftskontinuität für Masterplan.com über die Geschäftsbereiche und Standorte hinweg zu schaffen, zu pflegen, zu testen und zu bewerten. Es definiert die Verantwortlichkeiten für die Überwachung der Einhaltung des Programms. Die Richtlinie schreibt einen jährlichen Betriebszyklus für Planung, Bewertung, Schulung, Validierung und Genehmigungen durch die Geschäftsleitung für kritische Geschäftsvorgänge vor.
Programm zur Widerstandsfähigkeit des Risikomanagements
Das Ziel besteht darin, einen Rahmen für die Geschäftselastizität zu schaffen, um eine effiziente Reaktion auf Geschäftsunterbrechungsereignisse zu ermöglichen, die den Betrieb von Masterplan.com beeinträchtigen.
Der RMRP-Ansatz besteht aus mehreren Unterprogrammen: Erste Notfallreaktion auf ungeplante und dringende Ereignisse, Krisenmanagement bei schwerwiegenden Vorfällen, Wiederherstellung nach IT-Katastrophen und Management der Geschäftskontinuität. Ziel des Programms ist es, negative Auswirkungen auf Masterplan.com zu minimieren und kritische Geschäftsprozesse aufrechtzuerhalten, bis die regulären Betriebsbedingungen wiederhergestellt sind.
Jedes dieser Unterprogramme ist eine einzigartig vielfältige Disziplin. Durch die Konsolidierung von Notfallreaktion, Krisenmanagement, Geschäftskontinuität und Notfallwiederherstellung können sie jedoch zu einem robusten kollaborativen und kommunikativen System werden
Das RMRP von Masterplan.com ist so konzipiert, dass mehrere Aspekte des Notfallmanagements und der Geschäftskontinuität vom Beginn eines Ereignisses an einbezogen und je nach den Erfordernissen der Situation genutzt werden können.