Zum Hauptinhalt springen

TeleTrackings Strategie für Informationssicherheit und -gewährleistung

Joe Caffrey avatar
Verfasst von Joe Caffrey
Vor über 7 Monaten aktualisiert

Wir sind stolz darauf, dass die TeleTracking-Strategie für Informationssicherheit und -gewährleistung eine Verpflichtung darstellt, zahlreiche bewährte Praktiken der Branche in einem einzigen Plan zusammenzufassen, um sicherzustellen, dass die Strategie gründlich ist und sich angemessen auf eine umfassende Sicherheitsposition bezieht.

Zu den in unserem Plan angegemeldeten Best Practices der Branche gehören:

  • Eine Struktur zur Steuerung der Informationstechnologie, die in Übereinstimmung mit dem ISO/IEC 27001:2013 Information Security Management System Framework entwickelt wurde;

  • Risikomanagement in der Informationstechnologie auf der Grundlage von NIST 800-37 Guide for Applying the Risk Management Framework;

  • Eine Strategie für die physische Sicherheit nach dem Muster des ISC2 CISSP Security Practitioner Common Book of Knowledge;

  • Traditionelle technische Kontrollen, ausgewählt aus den 20 kritischen Sicherheitskontrollen des Centre of Internet Security sowie aus den NIST 800-53r4 Security and Privacy Controls for Information Systems Publikationen;

  • Strategien zum Datenschutz, die sich an NIST 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information und den Caldicott Principles in Großbritannien orientieren.

  • Die Anwendungssicherheit entspricht dem Building Security in Maturity Model(BSIMM), dem Open Web Application Security Project(OWASP) sowie dem ISO/IEC 27034 Application Security Framework.

Datenverschlüsselung

Abgesehen von der ausgereiften Governance-Struktur und den umfassenden Sicherheitskontrollen verfügt TeleTracking über Prozesse, die sicherstellen, dass alle Daten von Ende zu Ende verschlüsselt werden. Dazu gehört die Verschlüsselung von Daten im Ruhezustand unter Verwendung von kryptografischen Algorithmen mit symmetrischem Schlüssel, die den Anforderungen des Federal Information Processing Standard (FIPS) 140-3 für kryptografische Module entsprechen, sowie die Verschlüsselung von Daten auf allen Übertragungswegen unter Verwendung einer Kombination aus symmetrischen und asymmetrischen Verschlüsselungsalgorithmen für einen "Best-of-Breed"-Ansatz.

Detektive Sicherheitskontrollen

Darüber hinaus setzt TeleTracking zahlreiche detektivische Sicherheitskontrollen ein, um zu gewährleisten, dass geschützte Daten während ihres gesamten Lebenszyklus geschützt bleiben. So setzt TeleTracking beispielsweise fortschrittliche Systeme zur Erkennung und Verhinderung von Eindringlingen sowie ein unternehmensweites System zur Verwaltung von Sicherheitsvorfällen und Ereignissen ein, das Informationen über Bedrohungen aus der Branche mit der Live-Verarbeitung korreliert.

TeleTrackings Best-Practice-Defense-in-Depth-Ansatz ist nicht nur für medizinische oder persönliche Informationen reserviert, sondern wird zur Sicherung aller Kundendaten eingesetzt. TeleTracking behandelt alle Kundendaten als hochsensibel und setzt Schutzmaßnahmen ein, um sicherzustellen, dass Kundendaten nur für den vorgesehenen Zweck verwendet werden und immer sicher bleiben.

Angemeldet im Falle eines Sicherheitsvorfalls

Im Falle eines Sicherheitsvorfalls mobilisiert TeleTracking sein Incident-Response-Team in Übereinstimmung mit dem vom Unternehmen veröffentlichten Leitfaden zur Behandlung von Vorfällen. Der Leitfaden wurde in voller Konformität mit den Praktiken erstellt, die im NIST 800-61r2 Computer Security Incident Handling Guide sowie im ISO/IEC 27035 Information Security Incident Management zu finden sind.

Die Behandlung von Vorfällen ist ein Eckpfeiler der Cybersicherheitsstrategie, da sie gewährleistet, dass unsere Reaktion auf Bedrohungen einem iterativen Ansatz folgt:

  • Identifizierung einer Bedrohung durch Threat Intelligence und Korrelation von Ereignissen;

  • Schutz der Assets und Daten durch Sicherheitskontrollen;

  • Erkennen von Sicherheitsvorfällen und Ereignissen, sobald sie eintreten;

  • Reaktion auf diese Bedrohungen in Übereinstimmung mit den Best Practices zur Behandlung von Vorfällen, die im NIST 800-61r2 Computer Security Incident Handling Guide enthalten sind;

  • Wiederherstellung von Systemen und Diensten nach dem Abgeschlossenwerden des Vorfalls; und

  • Die aus den Vorfällengezogenen Lehren werden zur Verbesserung des Prozesses gemäß dem iterativen Ansatz des ISO/IEC 27001:2013 ISMS plan-do-check-act (PDCA) zur Prozessverbesserung herangezogen.

Alltäglicher Sicherheitsbetrieb

Neben dem Umgang mit auftretenden Vorfällen ist auch der tägliche Sicherheitsbetrieb von entscheidender Bedeutung für die Aufrechterhaltung eines hochgradig verteidigungsfähigen Systems. Bei TeleTracking umfasst dies Aktivitäten wie den unternehmensweiten Einsatz von Malware-Abwehrsystemen (d. h. Antivirensysteme der nächsten Generation), umfassende Schwachstellen- und Patch-Management-Programme, die alle Systeme wöchentlich auf Schwachstellen überprüfen, sowie die Bereitstellung von Software-Updates.

TeleTracking verifiziert sein Engagement für die Sicherheit, indem es Penetrationstests an den Systemen und der Software durchführt, die mit den sensiblen Daten interagieren. Die Tests werden jährlich von unabhängigen Dritten durchgeführt, um sowohl TeleTracking als auch den Kunden, die es unterstützt, eine gewisse Sicherheit zu bieten.

Compliance mit der Datenschutz-Gesetzgebung

Die Konformität mit den sich ständig ändernden Datenschutzgesetzen wird wesentlich einfacher, wenn die Cybersicherheitsstrategie auf der Grundlage der weltweit besten Praktiken der Branche entwickelt wird. Wenn ein Unternehmen beispielsweise nur ein einziges Rahmenwerk wie ISO/IEC 27001 einführt und umsetzt, ist es mit vielen Vorschriften der Branche und Datenschutzgesetzen auf der ganzen Welt konform.

Die Annahme einer Best-of-Breed-Struktur für die Informationssicherheit stellt jedoch sicher, dass sich das Programm mit der Entwicklung der Branche und der Datenschutzgesetze weiterentwickelt. So ändert TeleTracking seine Sicherheitspraktiken ständig, wenn sich die Rahmenbedingungen als Reaktion auf die zunehmenden Vorschriften zum Datenschutz ändern, wie z. B. die Allgemeine Datenschutzverordnung der EU oder der California Consumer Privacy Act.

Unser Ansatz besteht darin, die Compliance in unsere Softwareanwendungen einzubauen, wo immer dies möglich ist, und eine Kombination aus Richtlinien und Prozessen zu verwenden, um die Compliance zu gewährleisten, wenn sie nicht in die Anwendung eingebaut werden kann.

Unterstützende Dokumente

  • ISO/IEC 27001:2013-Zertifizierung

    • Kopieren der aktuellen ISO/IEC 27001:2013-Zertifizierung von TeleTracking, mit dem Hinweis, dass es keine Ausnahmen von der Norm in ihrer ursprünglichen Form gibt.

  • ISMS-Bereichsdokument

    • Dieses Dokument meldet genau an, was für die ISO 27001-Zertifizierung in den Geltungsbereich fällt.

  • Erklärung zur Anwendbarkeit

    • Dieses Dokument zeigt an, welche ISO-Kontrollen ausgewählt wurden und warum.

  • Richtlinie zur Informationssicherheit

    • Diese Richtlinie umreißt die allgemeine Informationssicherheitsstrategie für TeleTracking auf hoher Ebene. Bitte beachten Sie, dass alle zugrunde liegenden Standards und Richtlinien, auf die innerhalb des Dokuments verwiesen wird, existieren und während der ISO-Zertifizierung geprüft wurden.

  • Schulung und Awareness Standard

    • Dieses Dokument ist ein Beispiel für eine der nachgelagerten Richtlinien/Normen.

  • Glossar der Definitionen Standard

    • Da wir viele Best Practices befolgen, definiert dieses Dokument, wie TeleTracking Standard-Sicherheitsbegriffe definiert, auf die in den Richtlinien verwiesen wird.

Weitere Informationen angefordert

Wenn Sie weitere Details benötigen, senden Sie uns bitte eine Anfrage und wir werden uns so schnell wie möglich mit Ihnen in Verbindung setzen.

Verwandte Artikel
TeleTracking Support- und Wartungspolitik
Leitfaden TeleTracking-Support
Leitfaden für den Zugriff auf allgemeine Stammberichte und anwendungsübergreifende Berichte
Hat dies deine Frage beantwortet?