Logo

1 Präambel

Die Produktions- und Leistungsfähigkeit der Capita Experience Gesellschaften in den Ländern Deutschland und Schweiz hängt maßgeblich von der Verfügbarkeit und Qualität der Dienste der Informationstechnik ab. Die „Sicherheit der Informationen“ und damit verbunden die Einhaltung und Umsetzung der Landesspezifischen gesetzlichen Anforderungen wie dem Schutz personenbezogener Daten ist für die Capita Experience nicht nur Voraussetzung und Pflichterfüllung für ihre Dienstleistungserbringung als Customer Service Center, sie hat auch einen großen strategischen Wert.

Vor diesem Hintergrund ist ein angemessenes Niveau der Informationssicherheit in den Geschäftsprozessen der Capita Experience Deutschland und Schweiz zu organisieren.

Die Sicherheit der Informationen und der damit genutzten Informationstechnik ist unabdingbare Voraussetzung für die Umsetzung der einzuhaltenden Gesetze und Vorgaben unserer Auftraggeber, die insbesondere bei der Verarbeitung personenbezogener Daten zu gewährleisten und darüber hinaus gesetzlich gefordert sind.

Eine erfolgreiche Umsetzung des Informationssicherheitsprozesses setzt geregelte Verantwortungsstrukturen sowie die Unterstützung aller Mitarbeitenden der Capita Experience VH/DE voraus.

Um Informationssicherheit nachhaltig zu betreiben, wird mit der Leitlinie zur Informationssicherheit ein allgemeingültiger Rahmen formuliert und von der obersten Leitung beider Länder verabschiedet.

Das Ziel ist ein dem Stand der Technik wirtschaftlich angemessener Schutz der Informationen, unter Berücksichtigung mitgeltender Landesspezifischen gesetzlichen Anforderungen.

Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerledigung und damit für die Informationssicherheit trägt die oberste Leitung des jeweiligen Landes.

  • Die oberste Leitung ist insbesondere verantwortlich für
  • die Schaffung organisatorischer Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit,
  • die Definition und Festlegung der erforderlichen Verantwortlichkeiten und Befugnisse,
  • die Einrichtung eines Information Sicherheit Management Systems,
    die Umsetzung der vereinbarten Sicherheitsmaßnahmen einschließlich der Bereitstellung der erforderlichen Mittel und Ressourcen,
  • eine hinreichende und geeignete Dokumentation der Informationstechnik sowie aller Sicherheitsvorkehrungen und Sicherheitsmaßnahmen.

Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, welche für die Initiierung und Etablierung eines ganzheitlichen Informationssicherheitsprozesses erforderlich sind.
 

1.1 Geltungsbereich

Die Leitlinie zur Informationssicherheit gilt für die Gesellschaften der Capita Experience in Deutschland und der Schweiz. Die darauf aufbauenden Richtlinien und Maßnahmen sind von allen Mitarbeitenden der Capita Experience zu beachten, einzuhalten und entsprechend in den jeweiligen Geschäftseinheiten umzusetzen.

Bereitstellung von IC-Technik

Auftragnehmer und Lieferanten welche Dienstleistungen für die Capita Experience DE/CH erbringen, werden zur Einhaltung, Mitarbeit und Umsetzung der Informationssicherheitsvorgaben verpflichtet.

 

2 Grundsätze und Ziele der Informationssicherheit

2.1 Grundsätze

2.1.1 Begrifflichkeiten

Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Informationen und Informationstechnik dem Stand der Technik entsprechend durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind.

Die Informationssicherheit umfasst neben der Sicherheit der eingesetzten Informationstechnik und der darin gespeicherten Informationen auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Informationen.

Dabei bedeuten

  • Vertraulichkeit: Vertrauliche Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen. Zu den Schutzobjekten gehören die gespeicherten oder transportierten Nachrichteninhalte, die näheren Informationen über den Kommunikationsvorgang (wer, wann, wie lange, mit wem etc.) sowie die Daten über den Sende- und Empfangsvorgang.
  • Integrität: Der Begriff der Integrität bezieht sich sowohl auf Informationen, Daten als auch die gesamte IC-Technik. Integrität der Informationen bedeutet deren Vollständigkeit und Korrektheit. Vollständigkeit bedeutet, dass alle Teile der Information verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben.
  • Verfügbarkeit: Die Funktionen der Hard- und Software im System- und Netzbereich sowie notwendige Informationen stehen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfügung.
  • Belastbarkeit/Widerstandsfähigkeit

    Robustheit wird erreicht durch Reduzierung der Fehleranfälligkeit von einzelnen Komponenten eines Systems. Sie ist relativ zu bekannten Gefahren.
    Resilienz wird erreicht durch Aufrechterhaltung der Funktionen des Gesamtsystems. Sie ist die inhärente Eigenschaft eines Systems, mit Einwirkungen aller Art umzugehen und ist unabhängig von einer konkreten Gefahr.
     

2.1.2 Wirtschaftlichkeit

Die Sicherheitsmaßnahmen müssen dem Stand der Technik und in einem wirtschaftlich vertretbaren Verhältnis zum Schadenspotenzial stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schützenden Informationen und der Informationstechnik definiert.

Für die Umsetzung der erforderlichen und angemessenen Sicherheitsmaßnahmen sind die notwendigen Ressourcen, Personal, Sach- und Investitionsmittel bereit zu stellen.
 

2.1.3 Sicherheit vor Verfügbarkeit

Wenn Angriffe auf die Sicherheit der Informationstechnik und Informationen der Capita Experience DE/CH drohen oder bekannt werden oder sonstige Sicherheitsereignisse auftreten, kann die Verfügbarkeit von IC-Technik, Applikationen, Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden.

Im Interesse der Funktionsfähigkeit der gesamten Organisation ist der Schutz vor Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Maße für die Übergänge zu anderen Netzwerken, insbesondere zum Internet.
 

2.1.4 Prinzip des informierten Mitarbeiter

Alle Mitarbeitenden der Capita Experience sind im erforderlichen Umfang bezüglich der Informationssicherheit mindestens einmal jährlich zu sensibilisieren und zu qualifizieren.

2.2 Informationssicherheitsziele

2.2.1 Verfügbarkeit

Für alle IC-Verfahren sind die Zeiten, in denen sie verfügbar sein sollen, festzulegen.

Betriebsunterbrechungen sind in diesen Zeiten weitgehend zu vermeiden. Die Beschreibung der notwendigen Verfügbarkeit umfasst

  • die regelmäßigen Betriebszeiten,
  • die Zeiten mit erhöhter Verfügbarkeitsanforderung und
  • die maximal tolerierbare Dauer einzelner Ausfälle.

Ebenfalls festzulegen sind regelmäßig geplante Auszeiten, insbesondere zu Wartungszwecken.

2.2.2 Vertraulichkeit

Die in IC-Verfahren erhobenen, gespeicherten, verarbeiteten und weiter gegebenen Daten sind vertraulich zu behandeln und jederzeit vor unbefugtem Zugriff zu schützen. Zu diesem Zweck ist für alle Daten der Personenkreis, dem der Zugriff gestattet werden soll, zu bestimmen.

Der Zugriff auf IC-Technik, IC-Applikationen und Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken.

Jeder Mitarbeiter erhält eine Zugriffsberechtigung nur auf die Informationen, die er zur Erfüllung seiner dienstlichen Aufgaben benötigt.
 

2.2.3 Integrität

Informationen sind gegen unbeabsichtigte Veränderung und vorsätzliche Verfälschung zu schützen. Alle IC-Verfahren sollen stets aktuelle und vollständige Informationen liefern, eventuelle verfahrens- oder informationsverarbeitungsbedingte Einschränkungen sind zu dokumentieren.

2.2.4 Belastbarkeit u. Widerstandsfähigkeit

Die innerhalb der Capita Experience DE/CH bereitgestellte Informationstechnik muss dem jeweiligen Stand der Technik einem Minimalprinzip (Systemhärtung) entsprechen, damit eine adäquate Belastbarkeit und Widerstandsfähigkeit im Verhältnis zur jeweiligen Leistungserbringung und Wirtschaftlichkeit gewährleistet werden kann.

Die Informationstechnik unterliegt einer regelmäßigen Prüfung, welche durch den Fachbereich Information Security Management (ISM) oder durch beauftragte Dritte vorgenommen wird.
 

 

3 Verantwortlichkeiten

3.1 Verantwortung der obersten Leitung

Die oberste Leitung erlässt verbindliche Vorgaben und Maßnahmen zur Gewährleistung und Aufrechterhaltung der Informationssicherheit, und gibt sie allen Mitarbeitenden bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Vorgaben und Maßnahmen sicher.

Hierfür wird vom Fachbereich Information Security Management ein ISMS betrieben welches allen internen Capita Experience DE/CH Mitarbeitenden unter Information Security Management System zur Verfügung steht.

ICT Betriebskonzepte

In einem Management Review, welches mindestens einmal im Jahr oder bei Bedarf erfolgt, werden die definierten Ziele der Unternehmensleitung anhand von vorab vereinbarten Messwerten auf ihre Wirksamkeit und Angemessenheit überprüft. Die definierten Messwerte dienen der Erfüllung zur Aufrechterhaltung der Informationssicherheit, welche in einem separierten Anhang dem ganzheitlichen Informationssicherheitskonzept beiliegt.

3.2 Verantwortung der Mitarbeitenden

Alle Mitarbeitenden gewährleisten die Informationssicherheit durch verantwortungsbewusstes Handeln und Einhalten der für die Sicherheit mitgeltenden Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen verantwortungsvoll mit der zur Verfügung gestellten Informationstechnik und Informationen um.

Verhalten, dass die Sicherheit von Informationen oder Informationstechnik gefährdet, kann disziplinar- oder arbeitsrechtlich geahndet werden. Vorfälle gegen die Informationssicherheit sind unverzüglich dem Fachbereich Information Security Management (ISM) unter ism@capita-europe.com zu melden.

3.3 Fachverantwortliche

Für Geschäftsprozesse oder Fachverfahren sind Fachverantwortliche zu benennen, die in dem ihnen zugewiesenen Verantwortungsbereich zuständig sind für

  • die Festlegung der geschäftlichen Relevanz der verarbeiteten Informationen und deren Schutzbedarf,
  • die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz, der im Verantwortungsbereich befindlichen Informationen implementiert werden.

Der Fachverantwortliche muss den Zugang zu Informationen sowie den Umfang und die Art der Autorisierung definieren, der im jeweiligen Verfahren erforderlich ist. Bei diesen Entscheidungen ist zu berücksichtigen

  • die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen,
  • die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen und
  • die notwendige Zugänglichkeit der für die jeweiligen Geschäftsanforderungen erforderlichen Informationen.

3.4 Verantwortung Auftragnehmer

Personen, Vertragspartner, Lieferanten, Service- und Dienstleister die Leistungen für Capita Experience DE/CH erbringen, haben die Vorgaben zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie einzuhalten. Der Auftraggeber informiert den Auftragnehmer über diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung.

Dazu gehört auch, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber zu informieren hat.
 

 

4 Information Security Management

4.1 Information Security Officer

Als zentrale Sicherheitsinstanz der Capita Experience Deutschland und Schweiz ernennt die oberste Leitung einen Information Security Officer, der für alle operativen Belange und Fragen der Informationssicherheit zuständig ist.

Dabei ist er der obersten Leitung direkt unterstellt und berichtet auch an diese.
 

4.1.1 Fachbereich Information Security Management

Der Fachbereich Information Security Management (ISM) unterstützt den Information Security Officer bei der Erfüllung seiner Aufgaben in Bezug auf Informationssicherheit und der damit verbundenen Aufrechterhaltung der Sicherheit innerhalb der Capita Experience.

 

5 Umsetzung

Die Leitlinie zur Informationssicherheit bildet die Grundlage für die Erstellung eines ganzheitlichen Informationssicherheitskonzeptes und muss immer Anwendung finden.

Alle weiterführenden Richtlinien und Konzepte haben sich an den Vorgaben der obersten Leitung gemäß der Leitlinie zur Informationssicherheit zu orientieren, um das ausgesprochene Informationssicherheitsniveau der Capita Experience DE/CH jederzeit zu gewährleisten.
 

 

6 Verbesserung der Informationssicherheit

Der Informationssicherheitsprozess ist regelmäßig mindestens jedoch einmal im Jahr oder bei Bedarf auf seine Aktualität und Wirksamkeit zu überprüfen. Insbesondere sind die Maßnahmen daraufhin zu untersuchen, ob sie den betroffenen Mitarbeitenden bekannt, umsetzbar und in den jeweiligen Geschäftsprozessen integrierbar sind.

Die oberste Leitung unterstützt die ständige Verbesserung des Sicherheitsniveaus.

Alle Mitarbeitenden sind angehalten, mögliche Verbesserungen oder Ereignisse an die entsprechenden Stellen weiterzugeben.

Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheitsniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern.

 

Die Leitlinie zur Informationssicherheit wurde durch die jeweilige verantwortliche oberste Leitung der Capita Experience Deutschland und Schweiz verabschiedet und tritt mit Wirkung vom 02.01.2025 in Kraft.