Wir respektieren und schützen die Privatsphäre

Der Zweck des Dokuments besteht darin, die Verpflichtungen und Verantwortlichkeiten des Budimex-Lieferanten (und seiner Mitarbeiter) beim Schutz der Informationsgüter von Budimex zu definieren, zu denen der Lieferant Zugang hat und die er im Rahmen der Erbringung seiner Dienstleistungen verarbeiten wird.

Dieses Dokument stellt die Sicherheitsrichtlinie für Informationssysteme für Lieferanten von Budimex SA dar, im Folgenden als “Richtlinie” bezeichnet.

Die folgenden Bestimmungen regeln zwei grundlegende Bereiche der Informationssicherheit:

• Erbringung von Dienstleistungen durch den Lieferanten unter Verwendung von IT-Systemen, die von Budimex anvertraut wurden, und/oder IT-Systemen, die mit der Infrastruktur von Budimex verbunden sind,
• Erbringung von Dienstleistungen durch den Lieferanten unter Verwendung seiner eigenen IT-Systeme, aber Verarbeitung von Informationen, die Eigentum von Budimex sind oder für die Budimex verantwortlich ist (z. B. personenbezogene Daten von Budimex-Mitarbeitern).

Budimex SA unternimmt alle Anstrengungen, um das effektive und sichere Funktionieren des Unternehmens zu gewährleisten, um die Bedürfnisse der Kunden, Aktionäre und Mitarbeiter des Unternehmens bestmöglich zu erfüllen. Eine besondere Sorgfalt seitens der Geschäftsleitung von Budimex SA ist die Minimierung des operationellen Risikos, m.in. durch die Gewährleistung eines angemessenen Sicherheitsniveaus der verarbeiteten Informationswerte. Zu diesem Zweck hat die Geschäftsleitung der Budimex SA beschlossen, die Regeln zur Informationssicherheit umzusetzen.

Dieses Dokument ist Ausdruck der Absicht von Budimex, die Sicherheit von Informationsgütern zu gewährleisten, die sich aus der verabschiedeten Informationssicherheitspolitik ergeben, von Vermögenswerten, die von Budimex-Lieferanten zur Verfügung gestellt und verarbeitet werden.

Information Assets – Informationen und die Systeme, Infrastruktur, Geräte und Software, die zur Verarbeitung von Informationen verwendet werden.

Informationssicherheit – Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von IT-Assets.

Persönliche Daten – alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Sicherheitsvorfall – ein unerwünschtes Ereignis oder eine Reihe von Ereignissen, die mit erheblicher Wahrscheinlichkeit den Geschäftsbetrieb stören und sich negativ auf die Sicherheit von Informationsressourcen auswirken können.

Information – jede Information, unabhängig von ihrer Form, d.h. in elektronischer Form, in Papierform aufgezeichnet, mündlich übertragen.

Verschlusssache – ein Begriff, der im Gesetz vom 5. August 2010 über den Schutz von Verschlusssachen definiert ist. Es handelt sich um Informationen, die als Staats- oder Amtsgeheimnis vor unbefugter Offenlegung geschützt werden müssen, unabhängig von der Form und Weise ihrer Äußerung.

Informationsverarbeitung – jede Aktion, die auf Informationen ausgeführt wird, wie z.B. Erstellen, Sammeln, Aufzeichnen, Speichern, Lesen, Ändern, Teilen, Löschen usw.

Benutzer – jeder, der Zugriff auf die Informationsressourcen von Budimex hat – Benutzer sind Angestellte, Zeitarbeiter, Berater, Praktikanten, Kunden usw.

5.1. Einhaltung der Richtlinie

5.1.1. Die Richtlinie ist Teil der Regeln und Verfahren, die die Beziehungen zwischen den Parteien regeln. Die Richtlinie unterliegt einer regelmäßigen Überprüfung. Die Einhaltung der Richtlinie ist eine Voraussetzung für die Erbringung von Dienstleistungen für Budimex in Übereinstimmung mit dem Vertrag.

5.2. Einhaltung gesetzlicher Vorschriften

5.2.1. Die Parteien müssen die Gesetze und Vorschriften in Bezug auf die Informationstechnologie einhalten.

5.2.2. Es ist verboten, die Ressourcen der Informationssysteme zu nutzen, um die Rechte an geistigem Eigentum zu verletzen.

5.2.3. Die Installation von Software oder die Speicherung anderer Materialien im von Budimex anvertrauten IT-System, die nicht in einer Weise erhalten wurden, die Budimex zur Nutzung berechtigt, verstößt gegen die Richtlinie.

5.3. Eigentumsrechte und Schutz von Informationen, die in elektronischer Form gespeichert sind.

5.3.1. Daten und Informationen, die über die IT-Systeme von Budimex gespeichert, verarbeitet und/oder übertragen werden, stehen unter ständiger Kontrolle. Die Kontrolle umfasst Methoden wie: Abfangen, Überwachen, Eintrag in das Ereignisprotokoll und Inspektion. Der Zweck der ständigen Kontrolle besteht darin, die Interessen von Budimex und des Lieferanten zu schützen.

5.3.2. Daten und Informationen sind Eigentum von Budimex oder dem Lieferanten und müssen wie jedes andere Firmeneigentum behandelt werden.

5.3.3. Daten und Informationen über Budimex, die auf irgendwelchen Medien oder in IT-Systemen gespeichert sind, dürfen nicht ohne Genehmigung gelöscht werden und sollten nur mit Zustimmung und in einer mit dem Dateninhaber vereinbarten Weise gelöscht/vernichtet werden.

5.3.4. Daten und Informationen, die dem Lieferanten anvertraut werden oder vom Lieferanten im Rahmen der Erbringung von Dienstleistungen für Budimex generiert werden, und die unter der Kontrolle des Lieferanten stehen, müssen vom Lieferanten mit den verfügbaren Mitteln angemessen gegen Zerstörung, Beschädigung und unbefugten Zugriff geschützt werden.

5.3.5. Der Anbieter muss jederzeit geeignete Sicherheitsmechanismen in Übereinstimmung mit den von ihm kontrollierten Systemen und in Bezug auf die darin enthaltenen Daten/Informationen anwenden. Der Lieferant ist voll verantwortlich für die Erstellung regelmäßiger Sicherungskopien der Budimex-Daten, die auf mobilen Computergeräten gespeichert sind. Daten und Informationen sollten nur in der minimalen Menge und nur so lange auf tragbaren Computern gespeichert werden, wie es für die Erbringung des Leistungsumfangs erforderlich ist. Wann immer möglich, sollten die Daten auf Netzlaufwerken gespeichert werden.

5.3.6. Tragbare Computergeräte, die wichtige und/oder vertrauliche Daten und Informationen über Budimex enthalten, müssen jederzeit mit Technologien ausgestattet sein, die von den Parteien zugelassen sind, um unbefugten Zugriff zu verhindern.

5.3.7. Ohne die schriftliche Zustimmung von Budimex dürfen Daten, die Budimex gehören, nicht auf Geräten verarbeitet oder gespeichert werden, die nicht im Besitz von Budimex sind (z.B. auf Heimcomputern).

5.3.8. Der Zeitraum und die Art und Weise der Speicherung elektronischer Daten im IT-System müssen mit den Annahmen übereinstimmen, die für ein bestimmtes System angenommen wurden (Vorratsdatenspeicherung).

5.3.9. Hardware, die nicht von Budimex freigegeben wurde, kann nicht mit dem Budimex IT-System verbunden werden. Die Verbindung von geschäftlichen oder privaten Mobiltelefonen mit den IT-Systemen von Budimex ist untersagt.

5.3.10. Sie dürfen keine geheimen oder vertraulichen Informationen über das Internet übertragen. Wichtige Informationen (nicht geheim und nicht vertraulich), die über das Internet empfangen oder gesendet werden, müssen gemäß den Empfehlungen der geltenden Sicherheitsrichtlinie verschlüsselt werden.

6.1. Nutzung der Informationstechnologie für geschäftliche Zwecke.

6.1.1. Die Mitarbeiter des Lieferanten, die Benutzer der von Budimex bereitgestellten IT-Systeme sind, können diese Ressourcen gelegentlich für private Zwecke nutzen. Diese Art der Nutzung darf die Erfüllung offizieller Aufgaben nicht beeinträchtigen und den Interessen von Budimex zuwiderlaufen.

6.1.2. Der Lieferant darf die von Budimex zur Verfügung gestellten Ressourcen der IT-Systeme nicht für eine Erwerbstätigkeit für ein anderes Unternehmen als Budimex verwenden.

6.2. Kontrolle des Zugangs zu Informationen aus elektronischen Quellen.

6.2.1. Die Kontrolle des Zugriffs auf Informationen, die in den IT-Systemen von Budimex gespeichert sind, ist obligatorisch. Für jedes System wird dem Benutzer eine Zugriffsberechtigung erteilt, soweit dies für die Ausübung seiner Arbeit erforderlich ist.

6.2.2. Der Zugriff wird mittels individueller Identifikatoren und Passwörter gesteuert, die den Benutzer im IT-System eindeutig identifizieren und vor unbefugtem Zugriff schützen.

6.2.3. Passwörter werden nach spezifischen Regeln bezüglich ihrer Länge, ihres Aufbaus und der Häufigkeit von Änderungen erstellt.

6.2.4. Passwörter müssen vertraulich behandelt werden und dürfen nicht an Dritte weitergegeben werden. Wenn der Benutzer, der die Verpflichtung des Anbieters erfüllt, das Passwort einer anderen Person zur Verfügung stellt, bleibt der Anbieter in vollem Umfang für die Unverletzlichkeit und Vertraulichkeit der ihm anvertrauten Informationen verantwortlich. Der Passwortschutz liegt sowohl im Interesse von Budimex als auch des Lieferanten.

6.2.5. Der Benutzer, dessen ID und Passwort verwendet wurden, um unbefugten Zugriff auf das IT-System zu erhalten, gilt als die Person, die die Ressourcen dieses Systems auf unbefugte Weise genutzt hat.

6.2.6. Wenn Sie Ihren Arbeitsplatz für eine Weile verlassen, sperren Sie die Computerkonsole (z.B. verwenden Sie unter Windows STRG-ALT-ENTF + ENTER), um eine unbefugte Nutzung des Computers zu verhindern.

6.2.7. Im Falle des Hinzufügens neuer Benutzer zum IT-System ist die Zustimmung von Budimex erforderlich.

6.2.8. Budimex wird das Passwort des Benutzers nur auf Anfrage einer autorisierten Person ändern, ohne das vorherige Passwort preiszugeben.

6.2.9. Es ist verboten, IT-Systeme, die Budimex oder Dritten gehören, ohne Zustimmung der Person, die berechtigt ist, solche Genehmigungen zu erteilen, zu verwenden.

6.3. Schutz der gemeinsam genutzten Ressourcen von Informationssystemen.

6.3.1. Der Lieferant darf die Geräte von Budimex nicht verändern, z.B. durch die Installation von Computerkomponenten, Software oder auf andere Weise ohne schriftliche Genehmigung des verantwortlichen Budimex-Mitarbeiters.

6.3.2. Der Lieferant sollte sich ständig um die ihm anvertrauten Budimex-Geräte kümmern, insbesondere auf den Schutz vor Diebstahl achten, Schäden während des Transports oder der Handhabung vermeiden, ordnungsgemäß bei der richtigen Temperatur lagern und sie keinen Magnetfeldern oder schlechten Wetterbedingungen aussetzen.

6.3.3. Besondere Vorsicht ist geboten beim Umgang mit Materialien auf austauschbaren Medien (z.B. CD-ROM usw.), die außerhalb des Budimex-IT-Systems erstellt oder verwendet wurden. Medien aus einer zweifelhaften oder unbekannten Quelle dürfen nicht auf Geräten verwendet werden, die sich im Besitz von Budimex befinden. Alle diese Materialien sollten vor der Verwendung mit einem Antivirenprogramm gescannt und/oder vom IT-Büro von Budimex getestet werden.

6.3.4. Alle Softwareinstallationen auf Budimex-Computern werden von Budimex durchgeführt. Nur mit schriftlicher Zustimmung von Budimex darf die Installation von legaler Software für den geschäftlichen Gebrauch durch Personen, die keine Mitarbeiter von Budimex sind, durchgeführt werden.

6.3.5. Die Installation und/oder Verwendung von privater Software/Dateien auf IT-Geräten, die Budimex anvertraut wurden, ist verboten.

6.3.6. Die neueste Version der von Budimex bereitgestellten Antivirensoftware muss immer auf den von Budimex anvertrauten Computergeräten vorhanden und aktiv sein. Den von Budimex zur Virenprävention und möglichen Beseitigung von Viren, die in das IT-System von Budimex eingedrungen sind, ist Folge zu leisten. Wenn eine fehlerhafte Funktion des Antivirenprogramms festgestellt wird, muss der Benutzer diese Tatsache unverzüglich dem IT-Büro von Budimex melden.

6.3.7. Alle festgestellten Fälle von Bedrohung, Verletzung und Schwächung der Sicherheit von IT-Systemen oder der Betrieb von Software, die von Budimex nicht autorisiert wurde (Sicherheitsvorfälle), müssen unverzüglich dem IT-Büro von Budimex gemeldet werden.

6.4. Nachrichten elektronisch senden.

6.4.1. Die Firmen-E-Mail von Budimex, die den Benutzern zur Verfügung gestellt werden kann, für die der Lieferant verantwortlich ist, ist ein offizielles Kommunikationsmittel in Budimex und wird als Geschäftspost behandelt.

6.4.2. Der Benutzer, für den der Lieferant verantwortlich ist, darf beim Versenden von Nachrichten auf elektronischem Wege keine privaten Meinungen und Urteile wie die Position von Budimex vertreten.

6.4.3. Nur elektronische Nachrichtenaustauschsysteme, die von Budimex genehmigt wurden, können auf Computern verwendet werden, die Budimex anvertraut wurden.

6.4.4. Auf Computern, die von Budimex anvertraut werden, können externe Dienste, die über das Internet bereitgestellt werden (z.B. Hotmail, Yahoo, WP, ONET, Chat und Messenger, etc.), nicht zum Senden oder Empfangen von Nachrichten verwendet werden.

6.4.5. Um das Eindringen von Schadsoftware (z.B. Viren) in das IT-System von Budimex zu verhindern, ist es notwendig, jede unerwartete E-Mail mit Anhängen von einem unbekannten Absender sofort zu löschen. Anhänge in einer solchen Nachricht können nicht geöffnet werden.

6.4.6. Die Verteilung von E-Mails im Firmen-E-Mail-System von Budimex darf nur an Personen beschränkt werden, die ihren Inhalt kennen müssen oder an Personen, die direkt mit dem Inhalt der Nachricht in Verbindung stehen. Verteilerlisten sollten nur verwendet werden, wenn alle Empfänger die oben genannten Kriterien erfüllen.

6.4.7. Im Firmen-E-Mail-System von Budimex ist es notwendig, das Versenden von Nachrichten mit großen Anhängen an eine große Gruppe von Personen über Verteilerlisten zu vermeiden. Sie sollten die von Budimex bereitgestellte Komprimierungssoftware verwenden, um die Größe großer Anhänge zu begrenzen und/oder mehrere Nachrichten zu senden.

6.4.8. Die Größe des anvertrauten Budimex-Firmenpostfachs ist durch das Limit begrenzt. Der Nutzer, für den der Anbieter verantwortlich ist, ist verpflichtet, veraltete Nachrichten regelmäßig zu löschen.

6.5. Internet.

6.5.1. Um die im Vertrag enthaltenen Dienstleistungen zu erbringen, kann es für Budimex erforderlich sein, dem Lieferanten Zugang zum Internet zu gewähren. Dieser Zugang unterliegt den Einschränkungen der Informationssicherheitsrichtlinie von Budimex SA. Der Zugriff auf das Internet von den von Budimex zur Verfügung gestellten Geräten und/oder Infrastrukturen ist nur über Lösungen gestattet, die von Budimex bereitgestellt und genehmigt werden.

6.5.2. Unter keinen Umständen darf der Benutzer, für den der Lieferant verantwortlich ist, die ihm anvertrauten Geräte über Kabel, Einwahlmodems oder drahtlos mit dem Internet oder anderen Netzwerken verbinden, ohne die Sicherheitsvorkehrungen, die in der geltenden Informationssicherheitsrichtlinie von Budimex SA vorgeschrieben sind. Jede Verbindung zu einem Computernetzwerk, das nicht zur Budimex-Gruppe gehört, muss von Budimex anvertraut werden. individuell von Budimex genehmigt.

6.5.3. Budimex behält sich das Recht vor, alle Arten von Internetverbindungen zu überwachen, die Geräte betreffen, die mit den IT-Systemen von Budimex verbunden sind, und den Zugang zu Diensten und Websites zu sperren, die als nicht mit der Informationssicherheitsrichtlinie von Budimex SA vereinbar angesehen werden

6.5.4. Der Benutzer, für den der Anbieter verantwortlich ist, darf nicht:

• Versuch, Sicherheits-, Zugriffskontroll- oder Inhaltsfiltermechanismen auf dem Gateway zum Internet zu umgehen,
• absichtlich das Funktionieren des Netzwerks stören, z.B. durch das Versenden von Computerviren, die Anwendung von Hacking-Praktiken und das Versenden großer Datenmengen, die das Netzwerk blockieren und die Arbeit anderer Benutzer behindern,
• geheime oder proprietäre Firmeninformationen über das Internet offenzulegen oder zu veröffentlichen, wie z.B.: Finanzinformationen, neue Ideen oder Ideen in Bezug auf das Unternehmen, Marketingstrategien und -pläne, Datenbanken und darin enthaltene Informationen, Kundenlisten, Software-Quellcodes, Computer-/Netzwerk-Zugangscodes und Geschäftszugehörigkeiten, etc.,
• das Internet, E-Mail oder andere Tools zu nutzen, um rechtliche oder vertragliche Verpflichtungen ohne die erforderliche Genehmigung des Vorstands von Budimex zu schaffen,
• Ressourcen auf eine andere von Budimex angegebene unsachgemäße Weise zu verwenden.

6.6. Ungeeignetes Material.

6.6.1. Der Lieferant darf die von Budimex zur Verfügung gestellte Computerausrüstung, Geräte und Räume nicht verwenden, um Materialien anzusehen, zu verarbeiten, zu erstellen und/oder an Mitarbeiter oder Personen außerhalb von Budimex zu verteilen, die Inhalte enthalten:

• im Zusammenhang mit Diskriminierung (rassistisch oder anderweitig),
• Belästigung (sexuell oder anderweitig),
• ,
• obszön,
• ,
• verleumderisch,
• illegal

6.6.2. Der Anbieter ist verpflichtet, die in Abschnitt 6.6.1 genannten Materialien, die er von jemandem erhalten hat, unverzüglich zu vernichten/zu entfernen und den Absender aufzufordern, solche Praktiken in Zukunft einzustellen. Der IT-Systemsicherheitsmanager von Budimex SA sollte auch unverzüglich über die Einzelheiten des Vorfalls informiert werden, zusammen mit der E-Mail-Adresse des Absenders, dem Betreff und den ergriffenen Maßnahmen.

Wenn der Lieferant für die Erbringung von Dienstleistungen sein IT-System verwendet, das nicht im Besitz von Budimex ist und nicht mit der Infrastruktur von Budimex verbunden ist, stellen die folgenden Anforderungen das Minimum dar, damit ein solches System Dienstleistungen erbringen kann:

7.1. Jegliche Software (Betriebssystem und Anwendungen), die in Übereinstimmung mit dem Gesetz und den Lizenzbedingungen installiert und verwendet wird.

7.2. Jedes Betriebssystem und jede Anwendung muss laufend auf Sicherheitspatch-Updates überprüft werden (Häufigkeit von mindestens 1x pro Monat).

7.3. Ein System, das irgendeine Möglichkeit der Interaktion mit der Außenwelt hat (Computernetzwerk, CD-ROM/DVD-ROM-Laufwerk, USB, Diskettenlaufwerk), muss notwendigerweise über eine aktuelle (mit einer Häufigkeit von Updates von mindestens 24 Stunden) und funktionierende Antivirensoftware verfügen. Für Windows-basierte Systeme wird die Liste der verfügbaren Anbieter – http://windows.microsoft.com/en-US/windows/antivirus-partners#AVtabs=win7.

7.4. Das System muss über eine ordnungsgemäß aktualisierte und regelmäßig synchronisierte Zeit verfügen (bei Systemen mit Netzwerkzugang die Verwendung eines Zeitservers; bei Offline-Systemen mindestens 1 x monatlich eine dokumentierte Zeitsynchronisation).

7.5. Das System muss über eine funktionierende und regelmäßig überprüfte (mindestens einmal im Jahr durchgeführte Wiederherstellungstests) Software verfügen, die Datensicherungen durchführt.

7.6. Die gesamte Umgebung, die für die Bereitstellung von Dienstleistungen für Budimex verwendet wird, muss über einen angemessenen logischen und umweltbezogenen Schutz verfügen – Notstromversorgung und Schutz vor unbefugtem physischem und unbefugtem logischem Zugriff.

7.7. Bedienpersonal, das in der Verwendung des Systems geschult ist.

7.8. Wo immer möglich, sollte beim Zugriff auf IT-Systeme eine Multi-Faktor-Authentifizierung (MFA) verwendet werden.

7.9. Besondere Vorsicht ist geboten, wenn ein externes Speichermedium (z.B. USB-Stick) für die Datenverarbeitung von Budimex SA verwendet wird, die Daten auf dem Medium müssen gegen Verlust und Zugriff durch Dritte geschützt werden (z.B. verschlüsselt durch ein allgemein als sicher anerkanntes Verfahren).

8.1. Bericht über die Überprüfung organisatorischer und technischer Sicherheitsmaßnahmen

des Anbieters