Sicherheitspraxis

S-KON Sicherheitsprogramm

Zielsetzungen

Das unternehmensweite Sicherheitsprogramm der S-KON Gruppe wurde entwickelt, um die Vertraulichkeit, Integrität und Verfügbarkeit sowohl von der S-KON als auch von Geschäftspartnern zu schützen, wie z.B.:

• Persönliche und andere sensible Informationen, die S-KON im Rahmen seiner Geschäftstätigkeit sammelt, einschließlich Kunden-, Partner-, Lieferanten- und Mitarbeiterdaten, die sich in den internen IT-Systemen der S-KON befinden
• Das Ziel der S-KON Gruppe ist es, sicherzustellen, dass die Produkte und Dienstleistungen der S-KON Gruppe so sicher wie möglich bleiben. In jeder Phase des Produktentwicklungslebenszyklus wird die Sicherheit berücksichtigt. Dies betrifft das Design, den Aufbau, das Testen und die Wartung der Produkte.
• S-KON-Quellcode und andere sensible Daten werden gegen Diebstahl und böswillige Veränderung geschützt.

Industrienormen und Zertifizierungen

Die Sicherheitsrichtlinien der S-KON Gruppe umfassen das Sicherheitsmanagement sowohl für den internen Betrieb der S-KON als auch für die Dienstleistungen, die S-KON seinen Kunden anbietet, und gelten für alle Mitarbeitenden der S-KON und Auftragnehmenden. Diese Richtlinien sind mit den Normen ISO/IEC 27002:2022 und ISO/IEC 27001:2022 abgestimmt an denen sich alle Sicherheitsbereiche innerhalb der S-KON orientieren.

Organisationen für die Sicherheitsaufsicht von Unternehmen

Der Chief Information Security Officer (CISO) leitet das funktionale Team, das direkt für die Identifizierung und Implementierung von Sicherheitsmaßnahmen bei der S-KON verantwortlich ist. Dieses treibt das Sicherheitsprogramm des Unternehmens voran, definiert die Sicherheitsrichtlinien des Unternehmens, bewertet die Konformität und stellt die operative Aufsicht über die mehrdimensionalen Aspekte der Sicherheitsrichtlinien und -praktiken der S-KON sicher:

• Informationssicherheit
• physische Sicherheit
• Sicherheitsarchitektur

Informationssicherheit

Das Informationssicherheitsteam ist verantwortlich für:

• die Sicherheitsaufsicht,
• die Einhaltung und Durchsetzung der Sicherheitsvorschriften
• die Durchführung von Bewertungen der Informationssicherheit
• die Entwicklung einer Informationssicherheitspolitik und -strategie sowie
• die Schulung und Sensibilisierung auf Unternehmensebene

Das Informationssicherheitsteam dient als Hauptansprechpartner für die Reaktion auf Sicherheitsvorfälle und gibt die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vor.

Das Informationssicherheitsteam widmen sich auf Projektbasis der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit der S-KON Informationsressourcen und der S-KON anvertrauten Informationsressourcen. Einschließlich eines Schwerpunktes auf:

• Definition technischer Unternehmensstandards zur Gewährleistung von Sicherheit, Datenschutz und Compliance,
• Unterstützung der Sicherheitsbehörden bei der Förderung einer Sicherheitskultur in allen Funktionsbereichen.

Der Informationssicherheitsmanager dient als Sicherheitsbeauftragter, um das Bewusstsein für und die Einhaltung der S-KON Sicherheitsrichtlinien, -prozesse, -standards und -initiativen zu erhöhen.

Physische Sicherheit

Die Aufgaben der Verantwortlichen für physische Sicherheit umfassen die Definition, Entwicklung, Implementierung und Verwaltung aller Aspekte der physischen Sicherheit zum Schutz der Mitarbeitenden, Einrichtungen, des Unternehmens und der Vermögenswerte der S-KON Gruppe.

S-KON verwendet einen risikobasierten Ansatz für die physische und umgebungsbezogene Sicherheit, um ein effektives Gleichgewicht zwischen Prävention, Erkennung, Schutz und Reaktion herzustellen und gleichzeitig ein positives Arbeitsumfeld aufrechtzuerhalten, das die Zusammenarbeit zwischen den S-KON Mitarbeitenden und Partnern fördert.

Aufsicht über die Sicherheitsarchitektur

Das S-KON Informationssicherheitsteam hilft bei der Festlegung der technischen Richtung der internen Informationssicherheit und leitet die Abteilungen und Geschäftsbereiche von S-KON bei der Bereitstellung von Lösungen für Informationssicherheit und Identitätsmanagement an, die die Ziele der S-KON im Bereich der Informationssicherheit vorantreiben.

Personalsicherheit

Die S-KON Gruppe unterhält hohe Standards für ethisches Geschäftsverhalten auf jeder Ebene des Unternehmens an dem S-KON Geschäfte tätigt. Diese gelten für die S-KON-Mitarbeitenden und Auftragnehmenden und betreffen die Einhaltung rechtlicher und regulatorischer Vorschriften sowie das Geschäftsgebaren und die Geschäftsbeziehungen und sind in der S-KON-Compliance festgehalten.

Verpflichtung zur Verschwiegenheit

S-KON Mitarbeitende sind verpflichtet, die Vertraulichkeit von Kundendaten zu wahren. Die Mitarbeitenden müssen eine Vertraulichkeitsvereinbarung unterzeichnen und die Unternehmensrichtlinien zum Schutz vertraulicher Informationen als Teil ihrer ursprünglichen Beschäftigungsbedingungen einhalten. S-KON holt von jedem Subunternehmer eine schriftliche Vertraulichkeitsvereinbarung ein, bevor dieser Subunternehmer Dienstleistungen erbringt.

Ausbildung und Schulung des Sicherheitsbewusstseins

S-KON fördert das Sicherheitsbewusstsein und schult die Mitarbeitenden regelmäßig. Jeder Mitarbeitende ist verpflichtet, bei seiner Einstellung und danach jährlich eine Schulung zum Thema Informationssicherheit zu absolvieren. Dieses Training schult die Mitarbeitenden über ihre Verpflichtungen gemäß den Datenschutz- und Sicherheitsrichtlinien und -prinzipien der S-KON Gruppe.

Rechtsdurchsetzung

In regelmäßigen Abständen werden Sicherheitsüberprüfungen, Bewertungen und Audits durchgeführt, um die Einhaltung der Richtlinien, Verfahren und Prozeduren der Informationssicherheit von S-KON zu bestätigen. Mitarbeitende, die sich nicht an diese Grundsätze, Verfahren und Richtlinien halten, können Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses ausgesetzt sein.

S-KON Richtlinie zur Verwaltung von Werten

S-KON’s Richtlinie zur akzeptablen Nutzung bietet Richtlinien für alle S-KON Mitarbeitende und Geschäftspartner in Bezug auf Informationsklassifizierungsschemata und die mit diesen Klassifizierungen verbundenen Mindestanforderungen an die Handhabung.

S-KON kategorisiert vertrauliche Informationen in vier Klassen –öffentlich, intern, vertraulich und streng vertraulich - wobei jede Klassifizierung entsprechende Sicherheitsmaßnahmen erfordert, wie z.B. Verschlüsselungsanforderungen für Daten, die als vertraulich oder streng vertraulich klassifiziert sind.

Schulung und Sensibilisierung

Bei der obligatorischen Schulung von S-KON werden die Mitarbeitenden über die Datenschutzpolitik des Unternehmens unterrichtet. Bei dieser Schulung wird auch das Verständnis der Mitarbeitenden für die Klassifizierung geschärft. Die Mitarbeitenden müssen diese Schulung bei ihrem Eintritt bei S-KON absolvieren und sie danach regelmäßig wiederholen.

System-Bestandsaufnahme

Die Entwicklung und Pflege eines genauen Systembestands ist ein notwendiges Element für ein effektives allgemeines Informationssystem-Management und die Betriebssicherheit. S-KON‘s Richtlinie zur Verwaltung von Werten verlangt, dass für alle Informationssysteme, die kritische und hochkritische Informationsbestände in den S-KON Infrastrukturen enthalten, ein genaues und aktuelles Inventar geführt wird.

S-KON - Zugriffskontrolle

Die Zugangskontrolle bezieht sich auf die Richtlinien, Verfahren und Instrumente, die den Zugang zu und die Nutzung von Ressourcen regeln. Beispiele für Ressourcen sind ein physischer Server, eine Datei, ein Verzeichnis, ein Dienst, der auf einem Betriebssystem läuft, eine Tabelle in einer Datenbank oder ein Netzwerkprotokoll.

• Least Privilege ist ein systemorientierter Ansatz, bei dem die Benutzerrechte und die Systemfunktionalität sorgfältig evaluiert werden und der Zugriff auf die Ressourcen beschränkt ist, die die Benutzer oder Systeme zur Erfüllung ihrer Aufgaben benötigen.

S-KON’s Zugriffskontrollrichtlinien und -praktiken

Die S-KON Richtlinie zur Zugangssteuerung gilt für Zugriffskontrollentscheidungen für alle S-KON Mitarbeitenden und alle informationsverarbeitenden Einrichtungen, für die S-KON Verwaltungsbefugnisse hat. Diese Richtlinie gilt nicht für öffentlich zugängliche, dem Internet zugewandte S-KON Systeme oder Endbenutzer.

Verwaltung von Privilegien

Die Autorisierung hängt von einer erfolgreichen Authentifizierung ab, da die Kontrolle des Zugriffs auf bestimmte Ressourcen von der Feststellung der Identität einer Entität oder Person abhängt. Alle Autorisierungsentscheidungen von S-KON für die Gewährung, Genehmigung und Überprüfung des Zugriffs basieren auf den folgenden Prinzipien:

• Need-to-Know: Benötigt der Benutzer diesen Zugriff für seine Arbeitsfunktion?
• Trennung der Aufgaben: Führt der Zugriff zu einem Interessenkonflikt?
• Geringste Privilegien (Least Privilege): Ist der Zugang nur auf die Ressourcen und Informationen beschränkt, die für einen legitimen Geschäftszweck erforderlich sind?

Benutzer-Passwortverwaltung

S-KON setzt starke Passwortrichtlinien für das S-KON-Netzwerk, das Betriebssystem und die Datenbankkonten durch, um die Chancen zu verringern, dass Eindringlinge durch Ausnutzung von Benutzerkonten und zugehörigen Passwörtern Zugang zu Systemen oder Umgebungen erhalten.

Periodische Überprüfung der Zugriffsrechte

S-KON überprüft regelmäßig Netzwerk- und Betriebssystemkonten im Hinblick auf die entsprechenden Zugriffsebenen der Mitarbeitenden. Im Falle von Kündigungen, Todesfällen oder Rücktritten von Mitarbeitenden ergreift S-KON geeignete Maßnahmen, um Netzwerk, Telefonie und physischen Zugang unverzüglich zu beenden.

Passwort-Richtlinie

Die Verwendung von Passwörtern wird in der S-KON Richtlinie für Passwörter behandelt. S-KON-Mitarbeitende sind verpflichtet, Regeln für die Länge und Komplexität von Passwörtern einzuhalten und ihre Passwörter jederzeit vertraulich und sicher zu behandeln. Passwörter dürfen nicht an unbefugte Personen weitergegeben werden. Unter bestimmten Umständen können autorisierte S-KON-Mitarbeitende Passwörter zum Zweck der Bereitstellung von Support-Dienstleistungen gemeinsam nutzen.

Netzwerk-Zugangsmaßnahmen

S-KON hat starke Netzwerkmaßnahmen eingeführt und hält diese aufrecht, um den Schutz und die Kontrolle von Kundendaten während ihrer Übertragung von einem Endsystem zum anderen zu gewährleisten. Die S-KON-Richtlinie zur Zugangssteuerung besagt, dass Endpunkte, die mit dem S-KON Netzwerk verbunden sind, gut etablierten Standards für Sicherheit, Konfiguration und Zugriffsmethode entsprechen müssen.

Sicherheitsgrundsätze für die Netzwerkkommunikation

Für die Verwaltung von Netzwerksicherheits- und Netzwerkverwaltungsgeräten verlangt S-KON von den IT-Mitarbeitenden die Verwendung sicherer Protokolle mit Authentifizierung, Autorisierung und starker Verschlüsselung. Netzwerkgeräte müssen sich in einer Umgebung befinden, die durch physische Zugangskontrollen und andere Standards für physische Sicherheitsmaßnahmen geschützt ist und definiert sind.

Kommunikationen zum und vom S-KON-Unternehmensnetzwerk müssen durch Netzwerksicherheitsgeräte an der Grenze des internen S-KON Unternehmensnetzwerks geleitet werden.

Der Zugang von Zulieferern und Dritten zum S-KON-Unternehmensnetzwerk unterliegt Einschränkungen und der vorherigen Genehmigung durch die S-KON-Richtlinie zur Zugangssteuerung.

Assets Management

Netzwerkgeräte müssen gemäß der S-KON Richtlinie in einem von S-KON genehmigten Informationssystem-Bestandsverzeichnis registriert sein. Diese Richtlinie erfordert die Inventarisierung und dokumentierte Eigentümerschaft aller Informationssysteme, die kritische und hochkritische Informationsbestände während ihres gesamten Lebenszyklus mittels eines genehmigten Inventarsystems verarbeiten.

Drahtlose Netzwerke

Die S-KON Richtline für Wireless LAN regelt die Bereitstellung und Nutzung von drahtlosen Netzwerken und die Konnektivität für den Zugriff auf das S-KON-Unternehmensnetzwerk. S-KON verwaltet drahtlose Netzwerke und überwacht nicht autorisierte drahtlose Netzwerke.

Datensicherheit

Die Klassifizierung der Information Assets von S-KON bestimmt die Anforderungen des Unternehmens an die Datensicherheit von S-KON verwalteten Systemen. S-KON-Richtlinien und -Standards bieten eine Anleitung für angemessene Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten in Übereinstimmung mit der Datenklassifizierung. Die erforderlichen Mechanismen sind so konzipiert, dass sie mit der Art der zu schützenden Unternehmensdaten in Einklang stehen. Beispielsweise sind die Sicherheitsanforderungen bei sensiblen oder wertvollen Daten wie Cloud-Systemen, Quellcode und Beschäftigungsaufzeichnungen höher.

Die Sicherheitsmaßnahmen der S-KON Gruppe lassen sich in drei Kategorien einteilen: administrative, physische und technische Sicherheitsmaßnahmen.

• Administrative Maßnahmen, einschließlich logischer Zugriffskontrolle und Personalprozesse
• Physische Maßnahmen, die den unbefugten physischen Zugang zu Servern und Datenverarbeitungsumgebungen verhindern sollen
• Technische Maßnahmen, einschließlich sicherer Konfigurationen und Verschlüsselung für Daten im Ruhezustand und bei der Übertragung (Data at Rest, Data in Motion)

S-KON’s Sicherheitspolitik Für Endgeräte

Die S-KON-Richtlinie schreibt den Einsatz von Antiviren- und Firewall-Software auf Endgeräten -soweit möglich- vor. Endgeräte, die S-KON oder Kundendaten verarbeiten, werden mit zugelassener Software verschlüsselt.

Schutz vor Bösartigem Code

S-KON-Mitarbeitende müssen die E-Mail-Anweisungen der S-KON Gruppe befolgen und sind dafür verantwortlich, dem Helpdesk für S-KON Mitarbeitende umgehend jeden Virus oder vermuteten Virenbefall zu melden, der nicht durch Antiviren-Software behoben werden kann.

Den Mitarbeitenden ist es untersagt, Antiviren-Software und den Sicherheits-Update-Service von jedem Endgerät aus zu verändern, zu deaktivieren oder zu entfernen. Jeder S-KON-Mitarbeitende, der gegen diesen Standard verstößt, kann Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses unterworfen werden.

Endgeräte Verschlüsselung

Zum Schutz sensibler S-KON-Informationen müssen die S-KONMitarbeitende von S-KON genehmigte Verschlüsselungssoftware auf ihren Endgeräten installieren.

Datensicherheit: Physische und Umgebungskontrollen

Präventive Maßnahmen: Schutz von S-KON-Assets und -Mitarbeitenden

S-KON hat die folgenden Protokolle implementiert:

• Der physische Zugang zu den Einrichtungen ist auf S-KON Mitarbeitenden, Auftragnehmern und autorisierten Besuchernbeschränkt.
• Besucher sind verpflichtet, begleitet und/oder beobachtet zu werden, wenn sie sich in den Räumlichkeiten von S-KON aufhalten, und/oder an die Bedingungen einer Vertraulichkeitsvereinbarung mit S-KON gebunden zu sein.
• S-KON überwacht den Besitz von Schlüsseln/Zugangskarten und die Möglichkeit des Zugangs zu Einrichtungen. Mitarbeitenden, die aus dem Arbeitsverhältnis mit S-KON ausscheiden, müssen Schlüssel/Karten zurückgeben, und Schlüssel/Karten werden bei Kündigung deaktiviert.

Sicherheit im Rechenzentrum

S-KON’s Systeme laufen in Rechenzentren, die dazu beitragen, die Sicherheit und Verfügbarkeit von Kundendaten zu schützen. Dieser Ansatz beginnt mit dem Standortauswahlverfahren von S-KON. Die S-KON Systeme beherbergen und verwenden redundante. Es sind Brandbekämpfungssysteme vorhanden. Das Personal des Rechenzentrums ist in der Reaktion auf Vorfälle und in Eskalationsverfahren geschult, um auf mögliche Sicherheits- und Verfügbarkeitsereignisse reagieren zu können.

S-KON Kommunikation und Betriebsmanagement

Die Sicherheitsprogramme der S-KON Gruppe sind darauf ausgelegt, die Vertraulichkeit, Integrität und Verfügbarkeit sowohl von S-KON als auch von Kundendaten zu schützen. S-KON arbeitet kontinuierlich daran, die Sicherheitsmaßnahmen und -praktiken des Unternehmens für seine internen Abläufe und Dienstleistungen zu stärken und zu verbessern.

Akzeptable Nutzung

S-KON hat formale Anforderungen für die Nutzung des S-KON Unternehmensnetzwerks, der Computersysteme, Telefoniesysteme, Messaging-Technologien, des Internetzugangs und anderer Unternehmensressourcen, die S-KON-Mitarbeitenden und Auftragnehmern zur Verfügung stehen.

Allgemeine Sicherheitsgrundsätze für die Kommunikation

S-KON protokolliert bestimmte sicherheitsrelevante Aktivitäten auf Betriebssystemen, Anwendungen, Datenbanken und Netzwerkgeräten. Die Systeme sind so konfiguriert, dass sie den Zugriff auf S-KON Programme sowie Systemwarnungen, Konsolenmeldungen und Systemfehler protokollieren.

Überwachung und Schutz von Audit-Protokollinformationen

S-KON protokolliert bestimmte sicherheitsrelevante Aktivitäten auf Betriebssystemen, Anwendungen, Datenbanken und Netzwerkgeräten. Die Systeme sind so konfiguriert, dass sie den Zugriff auf S-KON Programme sowie Systemwarnungen, Konsolenmeldungen und Systemfehler protokollieren.

S-KON überprüft Protokolle für forensische Zwecke und Vorfälle und identifiziert anomale Aktivitäten, die in den Prozess der Verwaltung von Sicherheitsvorfällen einfließen. Der Zugang zu Sicherheitsprotokollen wird auf der Grundlage des „Need-to-know“ und der geringsten Privilegien gewährt. Wenn möglich, werden die Protokolldateien zusätzlich zu anderen Sicherheitskontrollen durch starke Kryptographie geschützt.

Assets Management

Das Inventarisierungsmanagement von S-KON für Informationssysteme erfordert eine genaue Inventarisierung aller Informationssysteme und Geräte, die während ihres gesamten Lebenszyklus über ein vom S-KON Inventarisierungssystem kritische und äußerst kritische Informationsbestände enthalten. Diese Richtlinie definiert die erforderlichen Identifizierungsattribute, die für Server-Hardware, Software, Daten, die auf Informationssystemen gehalten werden, und Informationen, die für Zwecke der Notfallwiederherstellung und Geschäftskontinuität benötigt werden, aufzuzeichnen sind.

Kommunikationstechnologie

Die S-KON Gruppe verwaltet Unternehmenslösungen für die Zusammenarbeit und Kommunikation innerhalb von S-KON und mit externen Parteien. Die Richtlinien von S-KON schreiben vor, dass Mitarbeitende beim Umgang mit vertraulichen Informationen diese genehmigten Unternehmenstools verwenden.

S-KON hat Standards für den sicheren Informationsaustausch mit Zulieferern und anderen Drittparteien definiert.

Sicherheit und Gewährleistung der S-KON-Lieferkette

S-KON-Kunden verlassen sich auf die S-KON Lösungen, wenn es um den Schutz ihrer Daten geht. S-KON widmet der Entwicklung seiner Systeme große Sorgfalt.

S-KON verfügt über formale Richtlinien und Verfahren, um die Sicherheit ihrer Lieferkette zu gewährleisten. Diese Richtlinien und Verfahren erklären, wie S-KON Drittanbieter auswählt, die in S-KON Systeme eingebettet werden können.

S-KON hat auch formale Anforderungen an seine Lieferanten und Partner, die bestätigen müssen, dass sie die ihnen anvertrauten Daten und Vermögenswerte von S-KON und Dritten schützen.

Die Supply Chain Risk Management-Praktiken von S-KON konzentrieren sich auf Qualität, Verfügbarkeit, Kontinuität der Lieferung und Widerstandsfähigkeit in der direkten Lieferkette von S-KON sowie Authentizität und Sicherheit der S-KON-Plattform und -Services.

Datenschutz bei S-KON

Nähere Informationen zum Umgang mit dem Datenschutz finden Sie unter folgendem Link: Datenschutz

Reaktion auf Vorfälle

In Anlehnung an die empfohlenen Praktiken in den gängigen Sicherheitsstandards, die von der Internationalen Organisation für Normung (ISO) und anderen Branchenquellen herausgegeben werden, hat S-KON eine Vielzahl von präventiven Sicherheitsmaßnahmen mit dem Ziel des Schutzes von Informationsbeständen implementiert.

Netzwerkschutz

Die Netzwerkschutzmaßnahmen von S-KON umfassen Lösungen zur Gewährleistung der Dienstkontinuität.

Reaktion auf Vorfälle

S-KON bewertet und reagiert auf Ereignisse, die den Verdacht auf unbefugten Zugriff auf oder Umgang mit Kundendaten begründen, unabhängig davon, ob sich die Daten auf S-KON-Hardware-Assets oder auf den persönlichen Hardware-Assets von S-KON-Mitarbeitenden befinden. S-KON’s Richtlinie zur Handhabung von Informationssicherheitsvorfällen definiert Anforderungen für die Berichterstattung und Reaktion auf Vorfälle. Diese Richtlinie autorisiert das Informationssicherheitsteam als Hauptansprechpartner für die Reaktion auf Sicherheitsvorfälle zu fungieren und die allgemeine Richtung für die Vorbeugung, Identifizierung, Untersuchung und Lösung von Vorfällen vorzugeben.

Die Unternehmensanforderungen für Vorfallreaktionsprogramme und Einsatzteams werden pro Vorfallart definiert:

• Validierung, dass ein Vorfall aufgetreten ist
• Kommunikation mit relevanten Parteien und Benachrichtigungen
• Beweissicherung
• Dokumentieren eines Vorfalls selbst und der damit verbundenen Reaktionsaktivitäten
• Eindämmen eines Vorfalls
• Beseitigung eines Vorfalls
• Eskalieren eines Vorfalls

Bei Entdeckung eines Vorfalls definiert S-KON einen VorfallReaktionsplan für eine schnelle und effektive Untersuchung, Reaktion und Wiederherstellung des Vorfalls. Es wird eine Ursachenanalyse durchgeführt, um Möglichkeiten für angemessene Maßnahmen zu identifizieren, die die Sicherheitshaltung und -abwehr im Detail verbessern. Formale Verfahren und zentrale Systeme werden eingesetzt, um während der Untersuchung eines Vorfalls Informationen zu sammeln und eine Beweismittelkette zu unterhalten. S-KON ist in der Lage, bei Bedarf die rechtlich zulässige forensische Datenerfassung zu unterstützen.

Benachrichtigung

Für den Fall, dass S-KON feststellt, dass ein Sicherheitsvorfall eingetreten ist, benachrichtigt S-KON unverzüglich alle betroffenen Kunden oder andere Dritte in Übereinstimmung mit seinen vertraglichen und gesetzlichen Verpflichtungen. Informationen über böswillige Versuche oder vermutete Vorfälle sind S-KON vertraulich und werden nicht nach außen weitergegeben. Die Vorfallhistorie ist ebenfalls S-KON vertraulich und wird ebenfalls nicht nach außen weitergegeben.

Business Continuity Management

Die S-KON Business Continuity Management Richtlinie definiert Anforderungen und Standards auf Geschäftsunterbrechungsereignisse. Sie legt auch die funktionalen Rollen und Verantwortlichkeiten fest, die erforderlich sind, um die Fähigkeit zur Geschäftskontinuität für S-KON über die Geschäftsbereiche und Standorte hinweg zu schaffen, zu pflegen, zu testen und zu bewerten. Es definiert die Verantwortlichkeiten für die Überwachung der Einhaltung des Programms.