IT-Sicherheitspolitik

Inhaltsverzeichnis

Einführung. 3
Aufgaben für die IT-Sicherheit 4
Richtlinien und Standards. 5
Kontrollen. 6
Sicherheitsereignisse. 8
Lebenszyklus der Daten. 9
Interne Compliance. 10
Kommunikation. 11

Einführung

Dieses Dokument hat zum Ziel, die Geschäftspraxis der KPMG SA, Aktiengesellschaft französischen Rechts, mit Sitz in Tour Eqho, 2 avenue Gambetta CS 60055 – F-92066 Paris La Défense Cedex, den Rechtseinheiten, die sie in Frankreich besitzt und kontrolliert, sowie von KPMG Avocats, KPMG Academy, KPMG Associés und Fondation d’entreprise KPMG France (nachstehend „KPMG“ oder zusammenfassend „Kanzlei“) in Bezug auf die IT-Sicherheit und den Datenschutz darzulegen.

KPMG verpflichtet sich, eine sichere und zuverlässige IT-Umgebung für die personenbezogenen Daten und vertraulichen Informationen, die ihr anvertraut werden, zu gewährleisten und alle privaten Daten ihrer Mandanten, Lieferanten und Dritter zu schützen.

KPMG ist der Ansicht, dass diese Informationen und die IT-Systeme, die damit verbunden sind, wertvolles Kapital darstellen, das für die Geschäftstätigkeit von KPMG relevant ist. Mithilfe von Ressourcen zur Verbesserung der IT-Sicherheitspraxis verpflichtet sich KPMG, die mit ihren Daten verbundenen Risiken zu ermitteln und sich vor jedem unberechtigten Zugriff, jedwedem Verlust oder jeder unsachgemäßen Verwendung zu schützen. Im Rahmen dieses Risikomanagements hat KPMG verschiedene Mechanismen zur Kontrolle des Zugangs und der Sicherheit sowie Evaluierungstools eingerichtet, um ihre Systeme und Netzwerke zu analysieren.

Die Richtlinien und Geschäftspraxis der Kanzlei werden dem gesamten Personal mitgeteilt. Informationsbroschüren, Kampagnen zur Sensibilisierung und Schulungen unterstützen die Übernahme dieser Geschäftspraxis. KPMG hat die IT-Sicherheitsrichtlinien dem gesamten Personal zur Verfügung gestellt. Diese Richtlinien erfordern es, dass die Mitarbeiter die IT-Ressourcen von KPMG angemessen verwenden. Sie legen den Akzent auf die Einhaltung der Sicherheit der persönlichen und vertraulichen Informationen jedes Mitarbeiters, von KPMG und ihrer Mandanten. Die Einhaltung dieser Richtlinien und Verfahren, die die IT-Sicherheit betreffen, wird regelmäßig bewertet

Alle Mitarbeiter von KPMG befolgen das Gesetz und erfüllen die anzuwendenden beruflichen Standards sowie die Anforderungen an das Berufsethos, die von den Vertretungen der von der Tätigkeit von KPMG betroffenen Berufsgruppen (Berufsorganisation der Wirtschaftsprüfer Ordre des Experts-Comptables, Nationale Wirtschaftsprüferkammer Compagnie Nationale des Commissaires aux Comptes, Anwaltskammer Conseil national des barreaux), von den Gremien, die die gesetzlichen Regelungen für sie festlegen (Aufsichtsbehörde für Wirtschaftsprüfer Haut Conseil du Commissariat aux Comptes, Aufsichtsbehörde für Rechnungslegungsgrundsätze Autorité des Normes Comptables, Justizministerium, Anwaltskammer Conseil national des barreaux) und von den Behörden zur Regulierung des Finanz- und Steuersystems festgelegt wurden. Bestimmte Regelungen kommen in der Kanzlei und bei ihren Mitarbeitern zur Anwendung und tragen den Spezifika eines jeden Mandanten Rechnung (insbesondere die französische Aufsichtsbehörde für die Finanzmärkte Autorité des marchés financiers und die Aufsichtsbehörde der französischen Zentralbank, Autorité de contrôle prudentiel). Außerdem haben alle Mitarbeiter von KPMG eine vertragliche Verpflichtung zur Einhaltung der IT-Sicherheitspolitik von KPMG.

Aufgaben für die IT-Sicherheit

Das für die IT-Sicherheit verantwortliche Team von KPMG setzt sich namentlich aus Fachleuten zusammen, die in den Abteilungen Risk Management und Informatik arbeiten („ITS“). Es hat die Aufgabe, die Geschäftspraxis im Bereich der IT-Sicherheit von KPMG durch Aktivitäten zur Sensibilisierung und Fortbildung zu entwickeln und zu unterstützen sowie an der Entwicklung der anzuwendenden Standards und der Bewertung der IT-Sicherheit und der Risiken teilzunehmen. In enger Zusammenarbeit mit den verschiedenen Berufsgruppen von KPMG erarbeiten die IT-Fachleute Standards zur Gewährleistung der Sicherheit ihrer Informationen sowie ihrer Mandanten. Dank dieser verschiedenen Tätigkeiten verfügt das Personal von KPMG über Tools und Ressourcen, mit denen es die Verantwortung für die Sicherheit und den Schutz der Informationen seiner Mandanten verstehen kann.

IT-Sicherheit: Schlüsselaktivitäten

  • Einsatz von Richtlinien und Begleitung der Nutzer im Rahmen der Nutzung der Daten, der Geräte, des Netzwerks und der IT-Systeme von KPMG
  • Entwicklung von Strategien und Standards sowie Einsatz von Sicherheitskontrollen zum Schutz der Informationen unserer Mandanten sowie jedweder anderen Information in den Systemen von KPMG
  • Ratgeber zum Risikomanagement
  • Verwalten der Kontrollmechanismen der IT-Sicherheit und Sicherstellung, dass die Standards und Richtlinien von KPMG International eingehalten werden
  • Verwalten des Compliance-Programms, insbesondere:
  • Anfertigen von Bilanzen zur IT-Sicherheit und Bewertung der Risiken. Erleichtern des internen Controlling des Teams ITS und der Büros von KPMG
  • Erfassen der Auswirkungen der neuen Gesetze und gesetzlichen Regelungen zur IT-Umgebung
  • Inangriffnahme eines Tätigkeitsprogramms zur Sensibilisierung und Fortbildung, damit die Mitarbeiter ihre Verantwortung gegenüber dem Schutz der Mandanten, der personenbezogenen Daten und von KPMG erfassen

Richtlinien und Standards

IT-Sicherheit

Die Maßnahmen zur IT-Sicherheit von KPMG beruhen auf einer vollständigen Sammlung von Richtlinien, Standards und Abläufen. Letztere umfassen insbesondere:

  • Organisation der Sicherheit
  • Richtlinien zur Sicherheit
  • Verantwortung gegenüber den Sachwerten
  • Sicherheit des Personals
  • Business Continuity Management
  • Physische Sicherheit und Sicherheit der IT-Umgebung
  • Incident Management bei der IT-Sicherheit
  • Zugangskontrolle
  • Weiterentwicklung der Systeme
  • Compliance

Privatsphäre der Mandanten

Das Personal von KPMG unterliegt den Richtlinien zur Geheimhaltung gemäß dem Verhaltenskodex und gemäß dem Handbuch „Quality and Risk Management“, sowie den internen Richtlinien zur Nutzung und Bereitstellung der mandanteneigenen Informationen. Diese Richtlinien umfassen die Vorschriften und Grundsätze zur Geheimhaltung gemäß dem Gesetz und den Gremien zur Regulierung der Berufsgruppen i) der Wirtschaftsprüfer, darunter Artikel L.822-15 des französischen Handelsgesetzbuches, Artikel 9 des französischen Berufskodex für Wirtschaftsprüfer und Artikel 622-1 der Allgemeinen Vorschriften der französischen Finanzmarktaufsichtsbehörde, ii) der Steuerberater, darunter Abschnitt 140 des Berufskodex für Wirtschaftsprüfer, Artikel 21 des Beschlusses Nr. 45-2138 vom 19. September 1945 und Artikel 147 der Verordnung Nr. 2012-432 vom 30. März 2012 und iii) der Anwälte, darunter Artikel 66-5 des Gesetzes Nr. 71-1130 vom 31. Dezember 1971 sowie die Bestimmungen der Nationalen Berufsordnung der Rechtsanwälte RIN (Règlement Intérieur National de la profession).

Für den Fall, dass KPMG einen Dritten ermächtigt, vertrauliche oder persönliche Informationen in seinem Namen zu verwenden, sieht der Vertrag mit dem Dritten vor, dass dieser eine Verpflichtung zur Vertraulichkeit bei der Verwendung aller privaten und vertraulichen Informationen gemäß den Richtlinien und Praktiken von KPMG bezüglich der Vertraulichkeit hat.

Kontrollen

Zugangskontrollen

KPMG hat Sicherheitsvorkehrungen zur Verwaltung und Kontrolle des physischen Zugangs zu den Räumen eingerichtet, die die Informationen von KPMG und ihrer Mandanten beherbergen. Der Zugang zu ihren Büros ist auf die Personen beschränkt, die elektronische oder mechanische Vorrichtungen der Zugangskontrolle haben, sowie auf dazu berechtigte Besucher. Außerdem ist der Zugang zu den Datenzentren begrenzt auf die dazu berechtigten Personen oder Besucher, die in einem Eingangsbuch unterzeichnen müssen und sich in ständiger Begleitung befinden müssen.

Gemäß den Anforderungen an die IT-Sicherheit von KPMG werden die Regelungen für den Zugang zu den Geschäftsanwendungen von den Eigentümern der Business-Apps festgelegt und sind nach dem Prinzip der Privilegientrennung gestaltet. Die IT-Sicherheitsrichtlinien von KPMG sehen das Hinzufügen, die Änderung und Löschung von Nutzerkonten vor, wenn Mitarbeiter bei KPMG angestellt werden, intern Stellen wechseln oder die Kanzlei verlassen. Das Personal von KPMG, das außerhalb der Büros von KPMG arbeitet, hat zum Netzwerk von KPMG und ihren Ressourcen nur über das virtuelle private Netzwerk (VPN) nach zweifacher Authentifizierung Zugang. KPMG sensibilisiert ihr Personal regelmäßig zu dessen Verantwortung bei der IT-Sicherheit.

Technische Kontrollen

Die Maßnahmen zur IT-Sicherheit von KPMG sehen mehrere Kontrollstufen vor. Die außerhalb des lokalen Netzwerks genutzten Applikationen befinden sich in einem abgetrennten und gesicherten Teil der IT-Infrastruktur, bekannt unter dem Namen DMZ (demilitarisierte Zone). Der Zugriff auf die DMZ ist beschränkt, was die unberechtigte Nutzung der in diesem Teil des Netzwerks beherbergten Applikationen einschränkt.

KPMG hat ein System von zwei Firewalls eingerichtet, wodurch die außerhalb des lokalen Netzwerks genutzten Internet-Anwendungen isoliert werden. Die Anschlusspunkte zum KPMG-Netzwerk (wie Internet oder dedizierte Anschlüsse), die Dritten vorbehalten sind, werden durch eine Firewall geschützt. Jegliche Änderung der Konfiguration der Firewall wird entsprechend den damit verbundenen Risiken in Übereinstimmung mit einem spezifischen Ablauf bewertet. Die Firewalls sind wesentliche Komponenten der Sicherheitskontrolle. Die Sicherheitsmaßnahmen von KPMG umfassen ebenfalls mehrere zusätzliche Kontrollsysteme zur Sicherung des Netzwerks von KPMG.

Bei der Konfigurierung der PCs, Laptops, Server, IT-Geräte und Betriebssysteme wird das Sicherheitsniveau einheitlich gewährleistet. Diese Sicherheitsvorkehrungen umfassen insbesondere: Antivirenprogramm, vollständige Festplattenverschlüsselung, Verschlüsselung der externen Hardware, Updates und Sicherheitspatches, Firewall, Zugangskontrollen, Ereignisüberwachung, Netzwerksicherheit, Ablauf der Zugriffsberechtigungen, Passwortmanagement und Warnmeldungen. Die Kanzlei beurteilt und verbessert diese Sicherheitsvorkehrungen regelmäßig, um die für Technologie und Standards gültige Praxis ihres Geschäftsbereichs anzuwenden.

Je nach Anforderungen und IT-Kapazitäten unserer Mandanten können zusätzliche technische Kontrollen auf Verlangen durchgeführt werden, wie transparente Verschlüsselung der E-Mails, Implementierung einer gesicherten Webseite für Zusammenarbeit und gesicherter Datentransfer (insbesondere Verschlüsselung der externen Festplatten).

Kontrollen der Projekte

Im Rahmen des Bewertungsverfahrens analysieren wir die neuen IT-Systeme und ihre Updates, um das von KPMG erforderliche Sicherheitsniveau zu gewährleisten und die vertraulichen Mandantendaten in geeigneter Weise zu schützen. Dieses Verfahren dient der Beurteilung des Systems und der Ermittlung der Risiken für die IT-Sicherheit innerhalb des IT-Systems. Werden Risiken festgestellt, werden korrektive Maßnahmen erarbeitet und realisiert, durch die jedwede vertraulichen Daten, die Mandanten gehören, gesichert werden können, bevor sie zugänglich sind oder benutzt werden.

Sicherheitsereignisse

Überwachung der IT-Sicherheitsereignisse

Um Sicherheitsereignissen in geeigneter Form zu begegnen, verfügt KPMG über mehrere Tools zur Beurteilung der an ihren Systemen und von ihrem Personal vorgenommenen Arbeiten. Außerdem hat KPMG ein Antivirenprogramm eingesetzt, das bei mehreren Komponenten des Systems wirksam wird (darunter dem E-Mail-Verkehr, den Servern und den PCs), wodurch die automatischen Updates der Antivirendefinitionen regelmäßig erfolgen und gegebenenfalls Notfallpläne zum Einsatz kommen können. Mit automatisierten Abläufen können die Dateien unbekannter Herkunft blockiert und ein mögliches Eindringen ermittelt werden, wodurch die Umgebung von KPMG vor jeder Vireninfektion geschützt wird.

KPMG hat Abläufe umgesetzt, mit denen die Sicherheitswarnungen verfolgt werden, um die Schwachstellen der IT-Systeme sowie Malware, wie Würmer und Viren, zu identifizieren. Diese Abläufe schließen die Analyse der Risiken für die IT-Umgebung von KPMG, Updates, die Installation von Sicherheitspatches sowie gegebenenfalls den Einsatz von Schutzmaßnahmen ein.

Die Programme, die der Integrität der Systeme und Netzwerke von KPMG schaden können, werden identifiziert. Diese Programme dürfen nicht auf die Computer von KPMG heruntergeladen oder im Netzwerk benutzt werden. Die Liste verbotener Programme umfasst die Peer-to-Peer-Systeme und Filesharing-Dienste, externe Programme zum Instant Messaging und die Dienstprogramme. Durch Verfahren können Scans und Recherchen durchgeführt und Reports zu den auf den Geräten von KPMG installierten Anwendungen oder Programmen, die ein Risiko darstellen können, erstellt werden. Anhand dieser Reports werden die betroffenen Nutzer ermittelt und erhalten eine Benachrichtigung zur sofortigen Löschung der unerlaubten Programme oder Anwendungen. Für jede Person, die sich weigert, die verbotenen Programme oder Anwendungen zu löschen, können disziplinarische Maßnahmen angewendet werden.

Sicherheitsvorfälle

Information-Security-Incident-Management-Prozesse managen Sicherheitsvorfälle, wie Datenverlust / Datenweitergabe und physische Sicherheitsvorfälle:

  • Jeder IT-Sicherheitsvorfall wird dem Verantwortlichen für IT-Sicherheit mitgeteilt.
  • Jeder Vorfall, in den Daten verwickelt sind, wird der Abteilung Risk Management und der internen Rechtsabteilung mitgeteilt.
  • Jeder physische IT-Sicherheitsvorfall wird dem Verantwortlichen für physische IT-Sicherheit mitgeteilt.

Lebenszyklus der Daten

Sicherung der Daten

Abläufe zur Datensicherung wurden eingeführt, um nach einem Systemausfall oder jedweder anderen Störung die Daten wiederzuerlangen. Die Daten werden gemäß den Regelungen des Business-Continuity-Plans und des Disaster-Recovery-Plans gesichert. Die Integrität der gesicherten Daten wird gemäß den Verfahren zur Datenrettung regelmäßig getestet.

Aufbewahrung und Löschung

KPMG wendet die Richtlinien zur Aufbewahrung der Dokumente laut Gesetz, gemäß den gesetzlichen Erfordernissen und den Anforderungen im Zusammenhang mit den von der Tätigkeit von KPMG betroffenen Berufsgruppen an. Diese Richtlinien sind auf jedweden Typ von Dokument oder Datei – physischer oder elektronischer Art – anzuwenden. Nach Ablauf der Aufbewahrungszeit (7 bis 10 Jahre, je nach betroffener Berufsgruppe) werden die Dokumente oder Dateien gemäß den Standards für unseren Tätigkeitsbereich und gemäß unseren Richtlinien sicher gelöscht.

Entsorgung der Hardware

Die Daten, die auf den PCs und Festplatten von KPMG enthalten sind, deren Lebenszyklus beendet ist, werden mit der Datenlöschsoftware „Blancco“ gelöscht.

Alle End-of-Life-Server werden von zugelassenen Fachleuten sicher recycelt.

Interne Compliance

Das für die IT-Sicherheit zuständige Team von KPMG hat ein Programm zur internen Risikobewertung eingeführt, das insbesondere der IT-Sicherheit dient und Folgendes umfasst:

  • Eine jährliche Bewertung: bestehend aus einer Selbstbewertung und einem Audit. Die Selbstbewertung beruht auf dem international anerkannten Bewertungstool (http://sharedassessments.org/). Es gewährleistet die kontinuierliche Bewertung der Compliance aller Kanzleien, die Mitglied bei KPMG sind, im Hinblick auf das Management der Informations- und IT-Sicherheit. Es wird jedes Jahr von dem IT-Sicherheitsverantwortlichen jeder Mitgliedskanzlei ausgeführt. Die Ergebnisse werden der Leitung jeder Mitgliedskanzlei übermittelt, die für die Verwaltung dieser Ergebnisse verantwortlich ist. Das Team IPG (Informationsschutz) von KPMG International ist für die Überwachung zuständig.
  • Eine jährliche Bewertung der IT-Schwachstellen: das Team IPG von KPMG International stellt den Mitgliedskanzleien Tools zur Erkennung von Schwachstellen in der gesamten mit dem Internet verbundenen Infrastruktur und Software zur Verfügung Diese Bewertung hat zum Ziel, das Risiko zu messen und die bereitzustellenden Patches zu ermitteln sowie Sicherheitsvorkehrungen umzusetzen.

Compliance mit den IT-Standards

Gemäß den internen Richtlinien respektiert KPMG die IT-Standards und gewährleistet die Wartung der auf allen ihren Computern installierten Programme. Die IT-Standards, die Versionen der Programme und die Sicherheitspatches werden regelmäßig von der IT-Abteilung überwacht und bewertet, die sich von ihrer Richtigkeit und ihren Updates vergewissert oder sie, wenn nötig, ersetzt. Die Produkte und Programme, die in der Standardkonfiguration der Computer von KPMG enthalten sind, werden auf allen Plattformen im Rahmen des Einsatzes auf internationaler Ebene aktualisiert und eingesetzt.

Kommunikation

Für das Personal

KPMG hebt die Bedeutung der IT-Sicherheit, eines ethischen Verhaltens und der Privatsphäre der Mandanten hervor. KPMG verfügt über einen Verhaltenskodex, der auf das gesamte Personal anzuwenden ist und informiert regemäßig über ihre Richtlinien und Vorgehensweisen. Die verschiedenen Programme der Personalschulungen schließen Kapitel zur Ethik, Vertraulichkeit und Sicherheit, zum Qualitäts- und Risikomanagement sowie die unseren Berufsgruppen entsprechende Geschäftspraxis ein. Diese Richtlinien und Vorgehensweisen sowie unsere Informationsbroschüren werden im Intranet von KPMG veröffentlicht und sind für das gesamte Personal verfügbar.

Außerdem müssen die Mitarbeiter von KPMG jedes Jahr eine Verpflichtungserklärung unterzeichnen, in der sich jeder dazu verpflichtet, die Vertraulichkeit und den privaten Charakter der Daten sowohl gegenüber den Mandanten in Frankreich oder im Ausland als auch jeglicher Person, die für die Kanzlei arbeitet, zu respektieren.

Bei der Einstellung bestätigen alle Mitarbeiter von KPMG schriftlich, dass sie die berufsrechtlichen Regelungen und die Richtlinien von KPMG verstehen, die im Rahmen der Nutzung der vertraulichen Mandanteninformationen anzuwenden sind. Diese Bestätigung wird anschließend jedes Jahr erneuert.

Für mehr Informationen

Wir hoffen, dass die in diesem Dokument dargelegten Informationen mögliche Fragen zur Geschäftspraxis von KPMG in Bezug auf die Sicherheit beantworten.

Für weitere Informationen wenden Sie sich bitte zunächst an Ihren für den Einsatz verantwortlichen KPMG-Manager. Gegebenenfalls werden Sie zu dem für die IT-Sicherheit verantwortlichen Team weitergeleitet.

Kontakt

fr-nitso@kpmg.fr
www.kpmg.fr

© 2019 KPMG S.A., eine Steuerberatungs- und Wirtschaftsprüfungs-Aktiengesellschaft, französisches Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative, einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

© 2019 KPMG Avocats, eine Anwaltskanzlei französischen Rechts, Mitglied des KPMG-Netzwerks unabhängiger Kanzleien, die KPMG International Cooperative, einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sowie der Name KPMG Avocats sind eingetragene Markenzeichen von KPMG International.

© 2019 KPMG Academy, eine durch die KPMG S.A. französisches Mitglied des KPMG-Netzes unabhängiger Mitgliedsfirmen der KPMG International Cooperative, einer juristischen Person nach schweizerischem Recht, gegründete Vereinigung. Vereinigung gemäß dem Gesetz vom 01.07.1901 und der Durchführungsverordnung vom 16.08.1901. Registrierung bei der Präfektur Hauts-de-Seine unter der Nr. W9 22 00 3006.

Die  im vorliegenden Dokument enthaltenen Informationen sind zum Zeitpunkt der Herausgabe gültig. Wir können nicht gewährleisten, dass diese Informationen zu einem späteren Zeitpunkt immer noch exakt sind. Dieses Angebot unterliegt der Einhaltung der ausgehandelten Bedingungen sowie der unterzeichneten Abkommen und Verträge. KPMG International bietet ihren Kunden keine Dienstleistungen an. Keine Mitgliedsfirma ist dazu berechtigt, für KPMG International oder die anderen Mitgliedsfirmen gegenüber Dritten Verpflichtungen einzugehen. KPMG International ist nicht dazu berechtigt, für eine Mitgliedsfirma Verpflichtungen einzugehen.

Stand März 2019