IMS-Vorgabe: Informationssicherheit:
Zusammenarbeit mit Lieferanten

Zweck

IMS-Vorgabe mit den Details zur Informationsübertragung innerhalb der Staudinger GmbH und zu externen Partnern, Kunden und Lieferanten.

Geltungsbereich

Die Vorgaben richten sich an die Geschäftsleitung von Lieferanten der Staudinger GmbH, deren Mitarbeiter sowie deren Erfüllungs-/Verrichtungsgehilfen (im folgenden Auftragnehmer genannt). Die Geschäftsleitung ist verpflichtet, dieses Dokument selbstständig an ihre Mitarbeiter, Erfüllungsgehilfen und wenn vorhanden, an etwaige Sublieferanten, weiterzugeben.

Ziel

Informationen der Lieferanten zum grundlegenden Umgang mit Informationssicherheit, der Umgang mit Sublieferanten und die, für die Nutzung von Informationen und IT-Geräten (z. B. Desktop-Rechner, Notebooks, Smartphones, Tablets), zu beachtenden IT-Sicherheitsregelungen.

Inhalt

Zusammenarbeit zwischen Lieferanten und der Staudinger GmbH

Geheimhaltungsvereinbarung zwischen dem Auftragnehmer und seinen Mitarbeitern

Der Auftragnehmer der Staudinger GmbH verpflichtet sich dazu, mit all seinen Mitarbeitern, die im Zuge der Zusammenarbeit Informationen der  Staudinger GmbH erhalten oder auf diese zugreifen können, eine Geheimhaltungsvereinbarung (separat oder als Teil des Arbeitsvertrages) abzuschließen. Der Nachweis der Einhaltung obliegt dem Auftragnehmer und ist auf Verlangen der Staudinger GmbH jederzeit nachzuweisen.

Unterauftragnehmer

Die Beauftragung von anderen Auftragnehmern (Subunternehmern) durch den Auftragnehmer bedarf der ausdrücklichen schriftlichen Zustimmung der Staudinger GmbH. Die Zustimmung kann nachträglich widerrufen werden, wenn schwerwiegende Pflichtverletzungen oder nicht unerhebliches Fehlverhalten des Unterauftragnehmers oder seiner Erfüllungsgehilfen im Rahmen der Leistungserbringung dies rechtfertigen, vorbehaltlich einer außerordentlichen Kündigung aus wichtigem Grund oder der Geltendmachung von Schadensersatzansprüchen.

Einhaltung der Informationssicherheit (Lieferkette)

Der Auftragnehmer hat im Rahmen der Beauftragung von Unterauftragnehmern sicherzustellen, dass die Anforderungen der Staudinger GmbH an die Einhaltung der Informationssicherheit gemäß TISAX / VDA-ISA Katalog auch durch den Unterauftragnehmer eingehalten werden. Dies schließt auch den Abschluss von Geheimhaltungsvereinbarung mit Sublieferanten ein. Der Nachweis der Einhaltung obliegt dem Auftragnehmer und ist auf Verlangen der Staudinger GmbH jederzeit nachzuweisen.

Ist der Auftragnehmer berechtigt, Unteraufträge zu erteilen, so haftet er hierfür in vollem Umfang, unabhängig von etwaigen vertraglichen oder gesetzlichen Haftungsbeschränkungen oder -ausschlüssen in Bezug auf diese.

Auditrechte in Bezug auf Informationssicherheit

Der Auftragnehmer räumt der Staudinger GmbH das jederzeit auszuübende Recht ein, nach vorheriger Anmeldung sämtliche Daten zu Geschäftsvorfällen in Bezug auf die Informationssicherheit zwischen dem Auftraggeber und der Staudinger GmbH bei dem Auftragnehmer einzusehen und zu überprüfen sowie Maßnahmen der IT- und Datensicherheit zu überprüfen.

Mitarbeiter der Staudinger GmbH oder von der Staudinger GmbH beauftragte Dritte dürfen hierzu die Räume des Auftragnehmers während der üblichen Geschäftszeiten betreten. Die Kosten der Überprüfung trägt der Auftragnehmer, wenn hierbei Verstöße gegen die Informationssicherheit und/ oder Vereinbarungen der jeweiligen Beauftragung festgestellt werden, es sei denn, solche Verstöße beruhen nicht auf einem Verschulden des Auftragnehmers.

Handhabung von Medien

Physischer Transport von Medien

Generell gilt, dass Medien, die Informationen der Staudinger GmbH beinhalten, vor unbefugten Zugriff, Missbrauch oder Verfälschung während des Transports, auch über Organisationsgrenzen hinweg, geschützt werden müssen. Es ist darauf zu achten, dass alle notwendigen und geeigneten Vorkehrungen getroffen werden (z.B. Verschlüsselung), die vor Einsichtnahme, Veränderung und Löschung der Informationen durch Unbefugte (das sind auch Angehörige des Familien- und Freundeskreises) beim Transport schützen. Datenträger sind verborgen zu transportieren. Datenträger mit geheimen Informationen werden grundsätzlich eskortiert durch einen Firmen Mitarbeiter transportiert. Dokumente müssen sichtgeschützt, also z.B. in einer Nicht-Klarsichtmappe transportiert werden.

Physischer Transport von Laptops

Laptops, auf denen Informationen der Staudinger GmbH liegen, sind so zu transportieren, dass sie von außen nicht sichtbar sind. Bei Benutzung von Laptops in der Öffentlichkeit ist darauf zu achten, dass andere nicht am Bildschirm mitlesen können oder die Eingabe geheimer Authentisierungsinformationen ausspähen können.

Austausch von Informationen

Bei allen Gesprächen über vertrauliche oder geheime Informationen, die die Staudinger GmbH bzw. Kunden der Staudinger betreffen, inklusive Telefongespräche, ist darauf zu achten, dass diese nicht unbefugt mitgehört werden können.

Es ist darauf zu achten, dass alle notwendigen und geeigneten Vorkehrungen getroffen werden (z. B. Verschlüsselung), die vor Einsichtnahme, Veränderung und Löschung der Informationen durch Unbefugte (das sind auch Angehörige des Familien- und Freundeskreises) beim Transport schützen.

Informationssicherheitsvorfälle

Schwerwiegende Informationssicherheitsereignisse (z. B. auftretende Störungen, Verstöße gegen interne Richtlinien) sind sofort an den ISB der Staudinger GmbH unter isb@staudinger-est.de zu melden. Beim Verdacht auf Verlust von vertraulichen oder geheimen Informationen muss dies ebenfalls an den ISB gemeldet werden.

Kommunikation

Der Lieferant wird die E-Mail-Adresse isb@staudinger-est.de (direkt oder in cc) für jegliche Kommunikation in Bezug auf die Angelegenheiten der Informationssicherheit in Bezug auf die Staudinger GmbH verwenden.