Informationssicherheit
Die ETH Zürich geht mit Informationsbest?nden aus Forschung, Lehre und Management so um, dass ihre Verfügbarkeit, Vertraulichkeit und Integrit?t stets bedarfsgerecht gew?hrleistet sind.
Alle Mitarbeitenden halten sich an die:
- Benutzungsordnung für Informations- und Kommunikationstechnologie (BOT),
- Weisung Informationssicherheit an der ETH Zürich, wichtig vor allem in Bezug auf die Regelungen zur Klassifizierung von Informationsbest?nden, wie sie dort im Abschnitt 5 und insbesondere in den Anh?ngen dargelegt werden,
- IT-Richtlinien und IT-Grundschutzvorgaben, inkl. der Regelungen zur Nutzung externer Cloud-Dienste,
- Vorgaben und Weisungen des Chief Information Security Officer (CISO),
- Bestimmungen zur Datenbearbeitung, Aufbewahrung und L?schung von Informationsbest?nden.
Alle Mitarbeitenden sind in ihrem Aufgabenbereich für den sorgf?ltigen Umgang mit Informationsbest?nden, Applikationen und IT- Komponenten verantwortlich.
Pro Departement und Abteilung fungiert ein Information Security Officer (ISO) als fachliche Anlaufstelle für alle Fragen zur Informationssicherheit.
Zust?ndig für die ETH-Zürich-weite Koordination der Informationssicherheit ist der Chief Information Security Officer (CISO).
- Download vertical_align_bottom Benutzungsordnung für Informations- und Kommunikationstechnologie (RSETHZ 203.21, BOT)
- Download vertical_align_bottom Weisung ?Informationssicherheit an der ETH Zürich? (RSETHZ 203.25)
- Download vertical_align_bottom IT-Richtlinien und IT-Grundschutzvorgaben (RSETHZ 203.23)
- Download vertical_align_bottom Bundesgesetz über das ?ffentlichkeitsprinzip der Verwaltung (BG?)
- Beratung bei Cyberangriffen und Cyberbetrug
Bei Verdacht auf z.B. Phishing, Viren, Cyberbetrug, CEO-Fraud wenden Sie sich sofort an den Service Desk oder die für Sie zust?ndige IT-Service-Gruppe (ISG) Ihres Departements. Geben Sie Unbekannten niemals vertrauliche Informationen, keine Passw?rter, kein Geld oder Finanzdaten (auch nicht in Form von Onlinegeschenkkarten) und keinen Zugang zu sensitiven R?umlichkeiten. - E-Mail-Sicherheit
Prüfen Sie Absender von E-Mails und Links, z.B. indem Sie mit der Maus darüberfahren, bevor Sie Links anklicken. ?ffnen Sie keine Anh?nge von unbekannten Absender:innen. Nutzen Sie m?glichst PKI-Zertifikate für E-Mails (Beantragung im Self-service, Ihr zust?ndiger IT-Support hilft weiter). - Klassifizierung
Kennzeichnen Sie die Vertraulichkeit von Dokumenten, Datensammlungen etc. bereits bei deren Erstellung. Sie legen so fest, wie stark das jeweilige Dokument zu schützen ist. Bei Unklarheiten kontaktieren Sie den oder die ISO. Es gibt vier Klassifizierungsstufen: ?FFENTLICH, INTERN, VERTRAULICH und STRENG VERTRAULICH. Dokumente, die VERTRAULICH oder STRENG VERTRAULICH sind, müssen als solche gekennzeichnet werden. Weitere Informationen finden Sie in der Weisung Informationssicherheit. - Cloud-Dienste
Lagern Sie vertrauliche Daten der ETH Zürich (z.B. Forschungsdaten, die einer Geheimhaltung unterliegen, Finanzdaten, personenbezogene Mitarbeitenden- oder Studierendendaten, Gutachten etc.) nur in entsprechend geprüfte und dafür freigegebene Cloud-Dienste, oder nutzen Sie die ETH Zürich polybox. Weitere Informationen finden Sie in den IT-Richtlinien und
IT-Grundschutzvorgaben. - Daten auf mobilen Ger?ten
Smartphones, Notebooks, Tablets etc. k?nnen abgeh?rt werden oder verloren gehen und eignen sich nicht ohne Weiteres für die Speicherung vertraulicher Daten. Mobile Ger?te müssen mindestens mit einem Passwort oder einer PIN geschützt sein. Alle gesch?ftlichen Daten sollten nach aktuellem Stand der Technik sicher verschlüsselt werden. - Datensicherung
Stellen Sie sicher, dass die Betreiber Ihrer Datenspeicher die Daten regelm?ssig sichern und dass Sie die Daten aus dem Back-up wiederherstellen k?nnen. - Aktuelle Software
Sorgen Sie dafür, dass auf allen Ihren Systemen stets die aktuellen Betriebssystem- und Software-versionen installiert sind und alle Security Patches unmittelbar durch einen Neustart installiert werden. Lassen Sie auf Ihren Systemen ein stets aktuelles Virenschutzprogramm laufen. - Clear Desk und Clear Screen
Schützen Sie Ihre Daten vor Einsicht durch Unbefugte, indem Sie die Bildschirmsperre aktivieren, wenn Sie den Arbeitsplatz verlassen. Verwenden Sie abschliessbare Schr?nke für die Aufbewahrung von vertraulichen Unterlagen. - Passw?rter
Schützen Sie alle Ihre Benutzerkonten mit sicheren und unterschiedlichen Passw?rtern. ?ndern Sie Ihre Passw?rter, wenn sie von anderen eingesehen wurden oder Sie den Verdacht haben, dass sie gestohlen wurden. Geben Sie Passw?rter niemals preis, und speichern Sie diese ausschliesslich sicher verschlüsselt, z.B. in einem Passwort-Manager.