Leitlinien zur
Informationssicherheit
Stellenwert der Informationssicherheit
Informationssicherheit spielt eine Schlüsselrolle für unsere Aufgabenerfüllung. Alle wesentlichen strategischen und operativen Funktionen und Aufgaben der Kanzlei werden durch Informationstechnik maßgeblich unterstützt. Ein Ausfall oder eine Störung unserer Informationssysteme muss insgesamt kurzfristig kompensiert werden können.
Auch in Teilbereichen darf unser Geschäft nicht in Mitleidenschaft oder durch Dysfunktionen der Workflow nicht gestört werden. Da unsere Kernkompetenz in der Be- und Verarbeitung von betrieblichen und persönlichen Daten liegt, ist der Schutz dieser Informationen vor unberechtigtem Zugriff und vor unerlaubter Änderung sowie deren fachgerechte Verarbeitung von existenzieller Bedeutung.
Informationssicherheit bedeutet aber auch, dass der Mandant die Gewissheit haben muss, seine persönlichen Belange in informationeller Hinsicht bei seinem Berater optimal zu beheimaten. Zweifel an dieser Kompetenz können Zweifel an der gesamten Professionalität des Beraters nach sich ziehen und diese wiederum eine Bedrohung dessen wirtschaftlicher Existenz begründen.
In dieser Leitlinie zur Informationssicherheit soll unser Qualitätsanspruch im Rahmen des Corporate Governance Ausdruck erhalten. Damit möchten wir auch nach außen den Erwartungen des Publikums und unserer Mandanten gerecht werden, die sich in gesetzlichen Vorgaben wie dem Steuerberatungsgesetz niederschlagen.
Übergreifende Ziele
Unsere Daten und unsere IT-Systeme in allen mandantenrelevanten und kaufmännischen Bereichen werden in ihrer Verfügbarkeit so gesichert, dass die zu erwartenden Stillstandszeiten toleriert werden können. Fehlfunktionen und Unregelmäßigkeiten in Daten und IT-Systemen sind nur in geringem Umfang und nur in Ausnahmefällen akzeptabel (Integrität). Die Anforderungen an Vertraulichkeit haben höchstes, an Gesetzeskonformität orientiertes Niveau.
(...) Alle Mitarbeiter und die Unternehmensführung sind sich ihrer Verantwortung beim Umgang mit der Informationssicherheit bewusst und unterstützen die Umsetzung und Verbesserung der Leitlinien nach besten Kräften.
Detailziele
(...) Beratungsanlässe stellen ebenfalls auf gesicherte und aktuelle Informationen ab. Die operativen Daten müssen deshalb übersichtlich und vollständig in der Betriebssoftware zur Verfügung stehen.
Die Datenschutzgesetze und die Interessen unserer Mandanten verlangen eine Sicherstellung der Vertraulichkeit der persönlichen Daten. Die Daten der Personalabteilung sowie die Mandantenakten (elektronisch und analog) werden daher einem hohen Vertraulichkeitsschutz unterzogen.
Die Nutzung des Internets zur Informationsbeschaffung und zur Kommunikation ist für uns selbstverständlich. E-Mail dient als Ersatz oder als Ergänzung von anderen Bürokommunikationswegen. Durch entsprechende Maßnahmen wird sichergestellt, dass die Risiken der Internetnutzung möglichst gering bleiben.
Sicherheitsmaßnahmen
(...) Computer-Viren-Schutzprogramme werden auf allen IT-Systemen eingesetzt. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Alle Schutzprogramme werden so konfiguriert und administriert, dass sie einen effektiven Schutz darstellen und Manipulationen verhindert werden. Malware und Fehlbedienungen können Bedrohungen des IT-Systems nicht ausschließen. Deshalb unterstützen die IT-Benutzer durch eine sicherheitsbewusste Arbeitsweise diese Sicherheitsmaßnahmen und informieren bei Auffälligkeiten die entsprechend festgelegten Stellen.
Durch Schulung und Sensibilisierung der Mitarbeiter soll die Aufmerksamkeitsschwelle für Gefährdungsquellen erhöht werden. Grundsätzlich wird jeder Mitarbeiter im Zweifel über die Verlässlichkeit von Daten und Informationsquellen mit anderen Mitarbeitern bzw. dem Verantwortlichen Rücksprache halten.
Datenverluste können nie vollkommen ausgeschlossen werden. Durch eine umfassende Datensicherung wird daher gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind.
Informationen werden einheitlich gekennzeichnet und in den Mandantenstrukturen (Mandantenarchiv, Arbeitsverzeichnisse etc.) so abgelegt und beschriftet, dass sie schnell auffindbar sind.
(...) Sofern IT-Dienstleistungen an externe Stellen ausgelagert werden, werden von uns konkrete Sicherheitsanforderungen in den Service Level Agreements vorgegeben. Das Recht auf Kontrolle wird festgelegt.
Empfehlungen des Datenschutzbeauftragten werden beachtet.
Verbesserung der Sicherheit
Das Managementsystem der Informationssicherheit wird regelmäßig auf seine Aktualität und Wirksamkeit geprüft. In Absprache und auf Anregung des Datenschutzbeauftragten werden auch die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt sind, ob sie umsetzbar und in den Betriebsablauf integrierbar sind. (...)
Ausschnittsweise Wiedergabe unserer Richtlinie, Stand: 15.12.2014