Sicherheit bei RWS

Bei RWS wissen wir, wie wichtig die Datensicherheit für unsere Kunden ist. Als globales Unternehmen haben wir das National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) übernommen, um unser Information Security Management System (ISMS) zur Wahrung der Datensicherheit zu strukturieren. 

Dieses weit verbreitete und branchenweit anerkannte Framework bietet RWS eine solide Grundlage, auf der wir konkrete Kundenanforderungen erfüllen können, wie z. B. HITRUST-Compliance zur Erfüllung von Sicherheitsstandards im US-amerikanischen Gesundheitswesen. Dieser Ansatz hat es uns ermöglicht, die Zertifizierung nach ISO27001:2013 für viele unserer Produkte und Dienstleistungen sowie der dafür eingesetzten Mitarbeiter, Prozesse und Technologien zu erreichen. Weitere Einzelheiten dazu finden Sie in unserem aktuellen ISO27001-Zertifikat. 

Auf dieser Seite haben wir einige unserer allgemeinen Richtlinien zur Datensicherheit sowie produktspezifische Dokumentation zum Thema Sicherheit zusammengefasst. Wenn Sie weitere Fragen zur Datensicherheit haben, können Sie jederzeit Kontakt zu uns aufnehmen.

FAQs

Bitte beschreiben Sie Ihren Auswahl- und Risikobewertungsprozess für neue Anbieter/Dienstleister.

Zum Beschaffungsprozess von RWS gehört, dass neue Anbieter vor dem Onboarding einer Sicherheitsrisikobewertung unterzogen werden. Den Anbietern wird eine Risikokategorie gemäß einer Reihe von Kriterien zugewiesen, darunter die Kritikalität der zu erbringenden Waren/Dienstleistungen und die Sensibilität der Informationen oder Einrichtungen, auf die sie zugreifen.

Verfügt RWS über ein Dienstleister-Management-Programm für Sicherheit?

Ja, in der Globalen Richtlinie für das Dienstleister-Sicherheitsmanagement von RWS sind die Sicherheitsanforderungen für Drittanbieter festgelegt.

Beschreiben Sie, wie Sie Schwachstellen bezüglich der Informationssicherheit in Ihren IT-Systemen identifizieren und verwalten, einschließlich Änderungsmanagementprozessen.

RWS führt monatliche Schwachstellenscans seiner öffentlichen Infrastruktur durch. Schwachstellen werden gemäß der Globalen Richtlinie für Sicherheitstests bewertet und durch geeignete Abhilfemaßnahmen behoben. Ein Mitglied des Informationssicherheitsteams sitzt im Global IT Change Advisory Board, um die Auswirkungen vorgeschlagener Änderungen auf die Sicherheit zu beurteilen.

Beschreiben Sie, wie Sie Anwendungen während des Systementwicklungslebenszyklus schützen und wie Änderungen der Anwendungen entwickelt und getestet werden.

„Die Globale Richtlinie von RWS zum sicheren Softwareentwicklungslebenszyklus legt fest, wie Produkte sicher entwickelt werden müssen. Die Sicherheit ist Bestandteil jedes Entwicklungsschritts, von der Erfassung der Anforderungen über das Design, die Implementierung und die Verifizierung bis hin zur Veröffentlichung. Änderungen werden vor der Veröffentlichung getestet. “

Verwenden Sie ein Tool, um Vorfälle, Änderungen und Probleme zu verfolgen?

Ja, RWS nutzt sowohl das Service Centre als auch ServiceNow, um die Workflows von der Einreichung neuer Support-Tickets über die Zuweisung bis zur Lösung zu verfolgen. Je nach Kritikalität des Vorfalls bzw. der Änderung oder des Problems gelten verschiedene Service-Level-Verträge (SLAs).

Gibt es bei RWS eine Nutzungsrichtlinie?

Ja. RWS verfügt über eine IT-Sicherheits- und Nutzungsrichtlinie.

Welche Richtlinie gilt für das Speichern von Kundendaten?

RWS speichert Kundendaten nur so lange, wie dies für die Erbringung der Dienstleistungen erforderlich ist, und in jedem Fall wie im Vertrag vereinbart.

Gibt es einen Asset-Management-Prozess für Ressourcen?

Ja, RWS verfügt über ein spezielles SAM-Team (Software and Asset Management) und nutzt ein Asset-Tool namens Lansweeper sowie Flexera im RWS-Netzwerk. Lansweeper erkennt und erfasst automatisch Elemente im RWS-Unternehmensnetzwerk, einschließlich Details wie Eigentümer, Art der Ressource, installierte Software, Garantie und Konfiguration. Allen Ressourcen ist ein Verantwortlicher zugewiesen.

Gibt es einen Patch-Management-Prozess?

Ja, Patches werden mithilfe einer zentralen Patching-Anwendung automatisch auf Endpunkte angewendet. Patches für Server-Updates werden mindestens einmal jährlich angewendet. In der Regel erfolgt dieses Patching im Rahmen der routinemäßigen monatlichen Wartung. Patches anderer Art (wie SQL, Antivirus) werden bei Bedarf ad-hoc durchgeführt, sollten jedoch vor der Produktion in einem Entwicklungs- oder Staging-System getestet werden, wenn solche Systeme vorhanden sind.

Gibt es einen Änderungsmanagement-Prozess?

Ja, die Rollen und Verantwortlichkeiten beim Änderungsmanagement werden durch den CAB-Prozess (Change Advisory Board) bestimmt, in den das Management sowie die relevanten Stakeholder einbezogen sind, einschließlich IT und RWS-Systemtestern. Systemänderungen werden vor der Implementierung und/oder Bereitstellung getestet. Notfalländerungen folgen dem gleichen Prozess wie die Standard-Änderungen, wobei sichergestellt wird, dass alle Änderungen protokolliert, aufgezeichnet, getestet, vereinbart und implementiert werden. Die Implementierung von Änderungen liegt in der Verantwortung des Release-Managements, für den zugrundeliegenden Prozess ist jedoch das CAB verantwortlich.

Hat RWS einen festen Genehmigungsprozess für logische Zugriffsanforderungen implementiert, der auf den Prinzipien begrenzter Zugriffsberechtigungen basiert?

Ja, RWS hat eine Richtlinie für logischen Zugriff, in der die Prozesse zur Verwaltung des logischen Zugriffs festgelegt sind.

Gibt es ein Programm zur Risikobeurteilung, das vom Management genehmigt und den relevanten Mitarbeitenden mitgeteilt wurde, mit einem Verantwortlichen für die Wartung des Programms?

Ja, das Risikobewertungsprogramm von RWS untersteht dem RWS-Führungsteam und wird den relevanten Mitarbeitenden mitgeteilt.

Beschreiben Sie die Kernelemente des Sicherheitsrisiko-Managementprogramms von RWS.

Das Sicherheitsrisiko-Managementprogramm von RWS ist in der Globalen Richtlinie zum Sicherheitsrisikomanagement dargelegt. Sie beinhaltet die Methodik, die bei der Identifizierung von und beim Umgang mit Sicherheitsrisiken angewendet werden soll, und schließt Folgendes ein: Kennzeichnung von Ressourcen, Auswirkungsanalyse, Risikobewertung, Identifizierung und Anwendung von Kontrollen sowie Überwachung der Wirksamkeit von Kontrollen. Die Risiken werden in regelmäßigen Abständen oder bei wesentlichen Änderungen bewertet, die sich auf die Vertraulichkeit, Integrität oder Verfügbarkeit von RWS-Informationen oder -Ressourcen auswirken könnten. Die Beaufsichtigung und Governance der Risikomanagementprozesse wird vom Global Information Security Lead und gegebenenfalls vom Information Security Steering Committee durchgeführt.

Berücksichtigt RWS den Datenschutz?

Ja, RWS nimmt den Datenschutz sehr ernst. Unsere Datenschutzrichtlinie finden Sie hier: www.rws.com/de/legal/privacy

Verfügt RWS über eine Zertifizierung nach ISO 27001?

Ja, Kunden können unsere ISO 27001-Zertifizierung unter www.rws.com/de/security einsehen

Verfügt RWS über eine SOC 2 Typ II-Zertifizierung?

Ja, RWS-Software, die von RWS Cloud Operations gehostet wird, fällt unter unseren SOC 2 Typ II-Bericht. Eine Kurzfassung des Berichts ist auf Anfrage erhältlich.

Ist ein etabliertes, veröffentlichtes und jährlich genehmigtes Sicherheitsprogramm vorhanden?

Ja. Der Chief Transformation Officer ist für das Informationssicherheitsprogramm von RWS verantwortlich, welches das ganze Jahr über auf Führungsebene vom Security Steering Committee verwaltet wird, um sicherzustellen, dass es die Geschäftsziele weiterhin unterstützt.

Verfügt RWS über einen speziellen Verantwortlichen für Informationssicherheit und/oder ein Team, das für die Informationssicherheit verantwortlich ist?

Ja. Der Chief Transformation Officer von RWS fungiert als Executive Sponsor für Informationssicherheit. Die Verantwortung für die laufende Verwaltung des Managementsystems für Informationssicherheit von RWS und für die kontinuierliche Einhaltung der Sicherheitsanforderungen unterliegt einem kleinen Team unter der Leitung des Global Information Security Lead von RWS.

Gibt es eine Richtlinie zur Informationssicherheit, die vom Management genehmigt und allen Mitarbeitern mitgeteilt wurde?

Ja, die Informationssicherheitsrichtlinie von RWS wird vom Executive Sponsor für Informationssicherheit genehmigt und unterzeichnet und legt die hohen Sicherheitsanforderungen fest, die es RWS ermöglichen, sein Managementsystem für Informationssicherheit aufrechtzuerhalten und kontinuierlich weiterzuentwickeln.

Bitte führen Sie Ihre Richtlinien zur Informationssicherheit auf. Werden solche Richtlinien regelmäßig überprüft und aktualisiert, und sind sie für alle RWS-Mitarbeitenden zugänglich?

„Unsere Richtlinien werden mindestens einmal jährlich überprüft. Interne Dokumente können vom Kunden während eines Audits unter einer Geheimhaltungsvereinbarung (NDA/MNDA) vor Ort oder remote eingesehen werden. 

ISP100 – Globale Richtlinie zur Datensicherheit
ISP101 – Globale Richtlinie zum Risikomanagement (intern)
ISP102 – Globale Richtlinie für Sicherheitstests (intern)
ISP103 – Globale Richtlinie für logischen Zugriff (intern)
ISP104 – Richtlinie zur Geschäftskontinuität (intern)
ISP105 – Globale Richtlinie zur Klassifizierung und Handhabung (intern)
ISP106 – Globale Richtlinie zum Vorfallsmanagement für Informationssicherheit (intern)
ISP107 – Globale Richtlinie für physische Sicherheit (intern)
ISP108 Datenschutzrichtlinie (intern)
ISP109 Globale Richtlinie für IT-Systeme: Letzte Überprüfung und Genehmigung (intern)
ISP110 – Globale Richtlinie für kryptografische Kontrolle (intern)
ISP111 – Globale Richtlinie für das Dienstleister-Sicherheitsmanagement (intern)
ISP112 – Globale Richtlinie zum sicheren Softwareentwicklungslebenszyklus (intern) 

Unsere Richtlinien werden im firmeneigenen Intranet veröffentlicht und stehen allen RWS-Mitarbeitenden zur Verfügung. Die RWS-Mitarbeitenden werden im Zuge obligatorischer Kampagnen und Schulungen zu Informationssicherheit und Datenschutzbewusstsein regelmäßig über die Richtlinien informiert. “

Verfügt Ihr Unternehmen über eine Cyberversicherung?

Ja

Verfügt RWS über einen Prozess und eine Richtlinie für Ausnahmen von Sicherheitsrichtlinien?

RWS entwickelt derzeit eine Globale Richtlinie für Sicherheitsausnahmen. Teil dieses Richtlinienentwurfs ist ein Prozess für Richtlinienausnahmen, der einen formellen Ausnahmeantrag und eine Risikobewertung vor der Genehmigung beinhaltet.

Gibt es ein formelles Disziplinarverfahren für Mitarbeitende, die gegen Richtlinien und Verfahren zur Informationssicherheit verstoßen?

Ja, jede Nichteinhaltung unserer Informationssicherheitsrichtlinien wird vom globalen Informationssicherheitsteam geprüft und untersucht und anschließend an das Management und die zuständige Personalabteilung weitergeleitet, die bei Bedarf weitere Untersuchungen einleiten und die nötigen Maßnahmen ergreifen. Sanktionen hängen von der Schwere des Vorfalls ab und können Disziplinarmaßnahmen bis hin zur Entlassung umfassen.

Verfügt RWS über einen Prozess zur Überwachung von Änderungen der geltenden gesetzlichen Vorschriften in den relevanten Rechtssystemen und zur Anpassung seines Sicherheitsprogramms, um die fortgesetzte Compliance zu gewährleisten?

Die Rechtsabteilung von RWS überwacht relevante gesetzliche und behördliche Vorschriften, die für RWS gelten. Gesetzliche Vorschriften zur Informationssicherheit werden zwischen dem Leiter der Rechtsabteilung und dem globalen Leiter der Informationssicherheit besprochen, und bei Bedarf werden Änderungen am Sicherheitsprogramm vorgenommen.

Verfügt RWS über ein dokumentiertes Verfahren, um Anfragen von Behörden oder Dritten nach Mandantendaten zu erfüllen?

Alle derartigen rechtmäßigen Anfragen werden von unserer Rechtsabteilung bearbeitet, unter Berücksichtigung aller vertraglichen Verpflichtungen und gesetzlichen Vorschriften.

Verfügt RWS über eine Richtlinie und ein Verfahren zur Reaktion auf Informationssicherheitsvorfälle, und werden diese veröffentlicht und mitgeteilt?

Ja, die Richtlinie von RWS zum Vorfallsmanagement für Informationssicherheit wurde veröffentlicht und ist für alle Mitarbeitenden im RWS-Intranet zugänglich. Sie umfasst unter anderem: Überwachung und Vorbereitung, Identifizierung, Eindämmung, Abhilfemaßnahmen, Wiederherstellung und Nachverfolgung.

Verfügt RWS über einen Prozess für die Reaktion auf Vorfälle/Datenschutzverletzungen?

Ja, die Globale Richtlinie von RWS zum Vorfallsmanagement für Informationssicherheit legt die Maßnahmen fest, die im Falle eines Sicherheitsvorfalls einzuleiten sind, und unsere Datenschutzrichtlinie enthält spezifische Informationen zu Vorfällen, die personenbezogene Daten betreffen.

Verfügt RWS über einen Prozess zur Identifizierung von Vorfällen und deren üblichen Angriffsvektoren sowie Mechanismen zum Erkennen von Vorfällen, wenn diese auftreten?

Ja, der Netzwerkanbieter von RWS überwacht den Datenverkehr und gibt bei anomalen Aktivitäten Warnmeldungen aus. RWS nutzt IDS/IPS in wichtigen Bereichen des Netzwerks, um jeden unbefugten Zugriff zu erkennen und zu verhindern. Endpunkte verfügen über eine geeignete Präventions-/Erkennungssoftware.

Wird regelmäßig eine Schulung für alle Mitarbeitenden und Berater:innen zur Sensibilisierung für Informationssicherheit durchgeführt?

Ja. Schulungen zum Thema Informationssicherheit sind ein grundlegender Bestandteil des Einarbeitungsprozesses für RWS-Mitarbeitende, Auftragnehmer und Freiberufler:innen. Anschließend erhalten alle Mitarbeitenden jährlich computergestützte Schulungen zur Informationssicherheit in einem speziellen Lernmodul. Darüber hinaus werden Schulungen zum Thema Informationssicherheit im Rahmen der jährlichen Schulung zum Verhaltenskodex und im Rahmen unserer „Think Security“-Kampagne mindestens alle zwei Monate oder bei besonderen Vorkommnissen auch häufiger durchgeführt.

Führt RWS Hintergrundprüfungen seiner Mitarbeitenden durch?

Ja. Alle Neueinsteiger:innen werden einer Identitäts- und „Recht auf Arbeit“-Prüfung unterzogen. Soweit dies aufgrund ihrer Rolle im Unternehmen oder ihrer nationalen Verpflichtungen erforderlich ist, können weitere Hintergrundprüfungen in Übereinstimmung mit geltenden Gesetzen durchgeführt werden.

Führt RWS Hintergrundprüfungen seiner Freiberufler:innen durch?

Die Freiberufler:innen von RWS werden standardmäßig keiner Hintergrundprüfung unterzogen. Wir schließen jedoch einen Dienstleistervertrag mit unseren Freiberufler:innen ab, der Mindestsicherheitsmaßnahmen umfasst. Darüber hinaus können Kunden Vertraulichkeitsvereinbarungen und eine Hintergrundprüfung von Freiberufler:innen unter Vorbehalt der vor Ort geltenden Gesetze verlangen.

Berücksichtigt RWS bei den Einarbeitungs- und Kündigungsverfahren für Mitarbeitende die Informationssicherheit?

Ja, alle Neueinsteiger:innen müssen eine obligatorische Schulung zum Thema Informationssicherheit und eine Schulung zum Verhaltenskodex absolvieren, die ebenfalls Sicherheitselemente umfasst. Bei der Kündigung werden die Mitarbeitenden an ihre sicherheitsbezogenen Verpflichtungen nach Beendigung des Beschäftigungsverhältnisses erinnert. Sämtliches Unternehmenseigentum wird eingezogen, und Konten werden ausgesetzt, bis sie geprüft und gelöscht werden.

Verfügt RWS über einen Prozess zur Datenvernichtung und Medienbereinigung?

Ja, die Globale Richtlinie von RWS zur Klassifizierung und Handhabung deckt die Bereiche Datenvernichtung und Medienbereinigung ab. Spezifische Prozesse zur Umsetzung der Richtlinie werden von den Verantwortlichen für die jeweilige Technologie überwacht und gepflegt.