Informationssicherheitsgrundlagen
Was bedeutet Informationssicherheit für die Mitarbeitenden der ETH?
„Die ETH Zürich geht mit den Informationsgütern aus Forschung, Lehre und Verwaltung so um, dass ihre Verfügbarkeit, Vertraulichkeit und Integrität jederzeit bedarfsgerecht gewährleistet ist.“ ETH Compliance Guide.
Gemäss dem Compliance-Leitfaden sind alle Beschäftigten verpflichtet, die ETH-Vorschriften zur Informationssicherheit einzuhalten.
Die wichtigsten Pflichten für Mitarbeiter und Führungskräfte sind im Folgenden aufgeführt, wobei wir darauf hinweisen, dass sie nicht vollständig sind. Bitte stellen Sie sicher, dass Sie und Ihre Mitarbeiter mit dem Inhalt der einzelnen Vorschriften vertraut sind.
- IKT-Nutzung: Nutze die ICT-Ressourcen für die vorgesehenen Zwecke und nimm keine Änderungen vor, die der ETH Zürich schaden.
- Insbesondere: Installiere sicherheitsrelevante Software-Updates zügig, verwende Bildschirmsperren und befolge die Passwort- und PIN-Regeln.
- Eine begrenzte private Nutzung von ICT ist erlaubt, wenn sie rechtmässig und nicht kommerziell ist und dem Ruf der ETH Zürich nicht schadet.
- Informationsmanagement: Behandle Verschlusssachen entsprechend der erforderlichen Sicherheitsstufe
- Datenschutz: Behandle persönliche Daten gemäss den Datenschutzgesetzen. Weitere Informationen finden Sie auf der Seite Grundlagen des Datenschutzes.
- Fernarbeit: Befolge die IT-Richtlinien, wenn du IKT-Ressourcen aus der Ferne nutzt.
- Sicherheit: Klassifiziere und beschränke den Zugang zu Daten entsprechend. Wenn Sie einen unbefugten Zugriff feststellst oder vermutest, melde ihn.
- Haftung: Die Nutzer:innen sind für die richtlinienkonforme Nutzung verantwortlich und haften für Schäden aus Fahrlässigkeit oder Fehlverhalten.
- Missbrauchsmeldung: Unterstütze bei der Untersuchung von Missbrauch und Schwachstellen. Vermeide illegale Aktivitäten und unbefugte Änderungen am Netzwerk.
Service-Vermittelnde
Mitarbeitende, die die Nutzung externer IT-Dienstleistungen für die ETH verwalten und beaufsichtigen - müssen sicherstellen, dass diese Services (Dienstleistungen) den Sicherheits- und Compliance-Standards entsprechen. Weitere Informationen findest du in Artikel 6 der IT-Richtlinien.
Führungskräfte mit Führungsverantwortung haben zusätzliche Aufgaben:
- Richtlinienmanagement: Sicherstellen, dass die Mitarbeiter/innen die IKT-Richtlinien einhalten und Änderungen genehmigen.
- Aufsicht über die private Nutzung: Verwalte die private IKT-Nutzung, um die Einhaltung der Richtlinien zu gewährleisten.
- Aufsicht über den Umgang mit Daten: Sicherstellung eines angemessenen Datenmanagements (d.h. Klassifizierung von Informationen, Herausgabe von Richtlinien oder Erstellung von Richtlinien, falls erforderlich) und Veranlassung der rechtmässigen Offenlegung, falls erforderlich.
- Richtlinien für Fernarbeit: Sicherstellen, dass die IKT-Nutzung per Fernzugriff den festgelegten Richtlinien entspricht.
- Sicherheitsüberwachung: Verwalte die Datensicherheit und den Datenzugriff und leite bei Bedarf Reaktionen auf Vorfälle ein.
- Durchsetzung von Richtlinien: Kümmere dich um Verstöße gegen die Richtlinien, verwalte sie und melde sie bei Bedarf.
- Leitung von Ermittlungen: Untersuche den Verdacht auf Missbrauch und/oder Systemschwachstellen, um unbefugte Aktivitäten zu verhindern und aufzudecken.
Die Organisation des Information Security Office (ISO) unterstützt die Führungskräfte bei ihren Aufgaben. Siehe Kontakt und Organisation.