Direkt zum Inhalt

Health-ISAC Verhaltenskodex

Um den wertvollen Informationsaustausch als Teil der für unsere gegenseitige Verteidigung notwendigen Zusammenarbeit zu schützen und zu fördern, hat Health-ISAC, Inc. (Health-ISAC) diesen Verhaltenskodex erstellt, um die Erwartungen an alle Health-ISAC-Mitglieder, Mitarbeiter, leitenden Angestellten, Direktoren, Lieferanten, Auftragnehmer, Freiwilligen, Veranstaltungsteilnehmer und deren Gäste (zusammen „Teilnehmer“) klarzustellen. Teilnehmer haben die einzigartige Gelegenheit, an Arbeitsgruppen, Workshops, Gipfeltreffen, Meetings, Aktivitäten, Programmen und Veranstaltungen von Health-ISAC (zusammen „Veranstaltungen“) teilzunehmen und Informationen über den sicheren Chat-Kanal, HTIP und andere Diskussionsforen auszutauschen. Um eine Umgebung aufrechtzuerhalten, in der alle Teilnehmer frei Informationen austauschen können, und um die Vertraulichkeit der über Health-ISAC (über alle Medien) erhaltenen Informationen zu gewährleisten, hat Health-ISAC diesen Verhaltenskodex erstellt.

Alle Teilnehmer erkennen die folgenden Grundsätze an und verpflichten sich, diese einzuhalten:

1. Einhaltung des Ampelprotokolls.
  1. Alle von einem Teilnehmer offengelegten oder anderweitig zur Berichterstattung, Weitergabe oder Analyse übermittelten Informationen, einschließlich aller von einem Teilnehmer oder Health-ISAC im Zusammenhang mit den von Health-ISAC bereitgestellten Programmen und Diensten verarbeiteten, weitergegebenen, gespeicherten, archivierten oder offengelegten Informationen (kollektiv als „Freigegebene Informationen“ bezeichnet) werden zum Zeitpunkt der ersten Offenlegung durch die offenlegende Partei (Teilnehmer oder Health-ISAC) klassifiziert und danach von anderen Teilnehmern und Health-ISAC streng gemäß ihrer Klassifizierung gemäß dem Health-ISAC Traffic Light Protocol („TLP“) empfangen und behandelt. Das TLP kann unter folgender Adresse eingesehen und heruntergeladen werden: https://www.heath-isac.org/landing-page/tlp/. Alle übermittelten freigegebenen Informationen ohne eine spezifische TLP-Bezeichnung gelten als TLP AMBER.
  2. Alle von einem Teilnehmer offengelegten freigegebenen Informationen können von Health-ISAC in anonymer und/oder aggregierter Form zum Nutzen von Health-ISAC und seinen Mitgliedern gemäß der ursprünglich festgelegten TLP-Klassifizierung verwendet werden. Eine Zuordnung zu einem bestimmten Teilnehmer erfolgt nur, wenn dies vom offenlegenden Teilnehmer ausdrücklich genehmigt wurde.
  3. Jeder Teilnehmer, der freigegebene Informationen erhält, darf diese nur für seine eigenen internen Sicherheitszwecke verwenden und ist dafür verantwortlich, dass die freigegebenen Informationen nur an seine Mitarbeiter weitergegeben werden, die diese unbedingt kennen müssen, und zwar streng in Übereinstimmung mit dem Ampelprotokoll („Empfänger“). Für den Fall, dass ein Teilnehmer einen Managed Security Service Provider (MSSP) oder andere Anbieter oder vertraglich gebundene Supportmitarbeiter („Auftragnehmer“) beauftragt hat, die im Namen eines Teilnehmers freigegebene Informationen erhalten, erkennt der Teilnehmer an, dass er dafür verantwortlich ist, dass seine Auftragnehmer das TLP verstehen und einhalten und dass freigegebene Informationen unter keinen Umständen an die Auftragnehmer weitergegeben oder von diesen zu ihrem eigenen Vorteil oder zum Vorteil anderer Kunden verwendet werden. Die Teilnehmer müssen sicherstellen, dass alle ihre Empfänger und Auftragnehmer das TLP-Klassifizierungssystem kennen und verstehen und eine Kopie des TLP erhalten haben.
  4. Die Teilnehmer müssen angemessene physische und Cyber-Maßnahmen, Richtlinien und Verfahren bereitstellen und aufrechterhalten, um (i) die Sicherheit und Vertraulichkeit der freigegebenen Informationen sowie deren ordnungsgemäße Handhabung gemäß ihrer TLP-Klassifizierung zu gewährleisten, (ii) sie vor allen erwarteten Bedrohungen oder Schwachstellen der Sicherheit oder Integrität dieser freigegebenen Informationen zu schützen, (iii) sie vor unbefugtem Zugriff auf diese freigegebenen Informationen oder deren Verwendung zu schützen, die ihre TLP-Klassifizierung verletzt, und (iv) soweit möglich die vollständige, sichere und dauerhafte Löschung dieser freigegebenen Informationen sicherzustellen, mit Ausnahme der gemäß Abschnitt 5 (b) freigegebenen Teilnehmerinformationen, wie vom Teilnehmer angewiesen oder durch geltendes Recht vorgeschrieben.
  5. Der Teilnehmer muss Health-ISAC und den offenlegenden Teilnehmer (gemeinsam als „offenlegende Partei“ bezeichnet) unverzüglich benachrichtigen, wenn tatsächlich oder begründet vermutet wird (a) ein unbefugter oder unrechtmäßiger Zugriff auf oder die Offenlegung oder Verbreitung von freigegebenen Informationen unter Verletzung ihrer TLP-Klassifizierung oder (b) ein unbefugter Zugriff auf Einrichtungen, Hardware, Computernetzwerke oder Systeme, die freigegebene Informationen enthalten (gemeinsam als „Sicherheitsvorfälle“ bezeichnet). Zusätzlich zu der oben genannten Benachrichtigung muss der Teilnehmer im Falle eines Sicherheitsvorfalls unverzüglich alle erforderlichen Schritte unternehmen, um die durch den Sicherheitsvorfall verursachten Schäden zu mindern.
  6. Die Health-ISAC-Mitgliederliste, ob in einem Mitgliederverzeichnis oder anderweitig zusammengestellt, ist vertrauliche und geschützte Information von Health-ISAC und muss jederzeit als TLP AMBER behandelt werden. Eine Offenlegung der Mitgliedschaft einer Organisation bei Health-ISAC ist ohne vorherige schriftliche Zustimmung von Health-ISAC und dem jeweiligen Mitglied nicht gestattet.
  7. Der Teilnehmer muss die TLP-Klassifizierungen und diesen Abschnitt 1 jederzeit einhalten und erkennt an, dass ein Nichtbehandeln der weitergegebenen Informationen gemäß den TLP-Klassifizierungen oder diesem Abschnitt 1 zur sofortigen Aussetzung, Kündigung oder Aufhebung der Teilnahmeberechtigung des Teilnehmers bei einer Veranstaltung und zu einer Aufforderung zum sofortigen Verlassen der Veranstaltung führen kann.
2. Ehrliches und ethisches Verhalten.

Offener Dialog und der Austausch von Informationen und Antworten sind für das Geschäft von Health-ISAC und den Erfolg unserer Teilnehmer von entscheidender Bedeutung. Die Teilnehmer sollten sich bemühen, sowohl im internen als auch im externen Umgang ehrlich, ethisch und fair zu handeln, einschließlich der Interaktion mit anderen Teilnehmern, Heath-ISAC und seinen Mitarbeitern sowie allen anderen Drittparteien, mit denen Teilnehmer oder Health-ISAC möglicherweise Geschäfte tätigen. Aussagen und Informationen, die unter den Teilnehmern ausgetauscht werden, dürfen nicht gegen Kartellgesetze verstoßen und dürfen nicht abwertend, unwahr, irreführend, täuschend oder betrügerisch sein. Die Teilnehmer dürfen niemanden durch Manipulation, Verschleierung, Missbrauch vertraulicher Informationen, falsche Darstellung wesentlicher Tatsachen oder andere unfaire Geschäftspraktiken ausnutzen.

3. Kartellrecht.

Health-ISAC-Veranstaltungen bringen naturgemäß Wettbewerber zusammen. Bei allen Health-ISAC-Veranstaltungen wird von den Teilnehmern erwartet, dass sie die geltenden Kartell- und Wettbewerbsgesetze einhalten und Diskussionen über sensible Themen vermeiden, die kartellrechtliche Bedenken hervorrufen können, wie z. B. Diskussionen über Preise (einschließlich Preiselemente wie Zulagen und Kreditbedingungen). Diskussionen finden sowohl mündlich als auch schriftlich statt, einschließlich Beiträgen in sozialen Medien oder Chatrooms. Teilnehmer an Health-ISAC-Veranstaltungen sollten sich bewusst sein, wie wichtig es ist, nicht nur rechtswidrige Aktivitäten, sondern auch den Anschein rechtswidriger Aktivitäten zu vermeiden.

4. Geistiges Eigentum
  1. Den Teilnehmern ist es nicht gestattet, geistiges Eigentum von Health-ISAC oder anderen Teilnehmern zu verwenden, offenzulegen, zu übermitteln, zu speichern, freizugeben oder die Freigabe zu veranlassen, außer im Zusammenhang mit einer Health-ISAC-Veranstaltung und in strikter Übereinstimmung mit dem TLP.
  2. In Übereinstimmung mit dem Digital Millennium Copyright Act („DMCA“) und anderen geltenden Gesetzen hat Health-ISAC eine Richtlinie eingeführt, die die Mitgliedschaft oder Teilnahme an Health-ISAC-Veranstaltungen unter entsprechenden Umständen von Teilnehmern beendet, die die geistigen Eigentumsrechte anderer verletzen. Bekannte oder vermutete Verletzungen der geistigen Eigentumsrechte können hier gemeldet werden:
    ACHTUNG: DMCA/IPR-Verletzung
    Gesundheit-ISAC, Inc.
    12249 Science Drive, Suite 370
    Orlando, Florida 32826
    oder per E-Mail an: support@h-isac.org
    mit der Betreffzeile „DMCA/IPR-Verletzung“
5. Verbotene Handlungen bei Health-ISAC-Veranstaltungen

Health-ISAC ist bestrebt, allen Teilnehmern aller Health-ISAC-Veranstaltungen eine sichere, produktive und einladende Umgebung zu bieten, unabhängig davon, ob sie virtuell oder persönlich teilnehmen. Health-ISAC ist bestrebt, allen Teilnehmern ein belästigungsfreies Veranstaltungserlebnis zu bieten, unabhängig von Geschlecht, Geschlechtsidentität und -ausdruck, Alter, sexueller Orientierung, Behinderung, körperlichem Erscheinungsbild, Körpergröße, Rasse, ethnischer Zugehörigkeit, Religion oder Technologieauswahl. Wir tolerieren keine Belästigung in irgendeiner Form. Veranstaltungsteilnehmer, die gegen diese Richtlinie verstoßen, können nach Ermessen von Health-ISAC ohne Rückerstattung von der Veranstaltung und zukünftigen Veranstaltungen ausgeschlossen werden. Teilnehmer dürfen während oder im Zusammenhang mit einer Health-ISAC-Veranstaltung nicht an den folgenden Aktionen teilnehmen:

a. KONTOFREIGABE
Weitergabe oder Austausch von Health-ISAC-Kontoanmeldeinformationen an Personen oder Unternehmen, die nicht der Kontoinhaber sind.

b. KEIN MARKETING
Vermarktung von Produkten oder Dienstleistungen und/oder Werbung jeglicher Art außerhalb offiziell genehmigter Sponsoringaktivitäten. Präsentationen, Postings und Nachrichten dürfen keine Werbematerialien, Sonderangebote, Stellenangebote, Produktankündigungen oder Werbung für Dienstleistungen enthalten. Health-ISAC behält sich das Recht vor, solche Nachrichten zu entfernen und die Quellen dieser Werbung ggf. zu sperren.

c. Verwendung belästigender oder diffamierender Kommentare oder unangemessener oder beleidigender Sprache
Förderung oder Teilnahme an obszöner, vulgärer oder beruflich unangemessener Sprache oder Verhaltensweise. Belästigung oder Diffamierung einer Person oder Förderung, Weitergabe oder Anzeige von Materialien oder Symbolen, die rassischen/ethnischen Hass enthalten oder darauf anspielen oder Inhalte sexueller, pornografischer oder gewalttätiger Natur beinhalten oder sich auf die sexuelle Orientierung oder Behinderung einer anderen Person beziehen. Dies umfasst verbale Beleidigungen von Teilnehmern, Rednern, Freiwilligen, Ausstellern, Health-ISAC-Mitarbeitern, Dienstleistern oder anderen Tagungsgästen. Beispiele für verbale Beleidigungen umfassen, sind jedoch nicht beschränkt auf, verbale Kommentare in Bezug auf Geschlecht, sexuelle Orientierung, Behinderung, körperliche Erscheinung, Körpergröße, Rasse, Religion, nationale Herkunft, unangemessene Verwendung von Nacktheit und/oder sexuellen Bildern in öffentlichen Räumen oder bei Präsentationen oder Bedrohung oder Verfolgung von Teilnehmern, Rednern, Freiwilligen, Ausstellern, Health-ISAC-Mitarbeitern, Dienstleistern oder anderen Tagungsgästen. Diese Richtlinie gilt gleichermaßen für Online-Aktivitäten und Verweise in klarer und maskierter Sprache und/oder Links zu Websites, die eine solche Sprache oder Bilder derselben enthalten.

d. Bedrohungen und Störungen
Androhung von körperlicher Gewalt gegen andere oder Anstiftung anderer dazu, entweder mit klarer oder verdeckter Sprache, einschließlich Online-Aktivitäten und Verweisen oder Links zu Websites, die solche Sprache oder Bilder enthalten. Störung von Präsentationen während Sitzungen, in der Ausstellungshalle, online oder bei anderen von Health-ISAC organisierten Veranstaltungen. Alle Teilnehmer müssen den Anweisungen des Moderators und des Veranstaltungspersonals von Health-ISAC Folge leisten.

e. Online-Veröffentlichung von Schadprogrammen
(i) Posten von Schadprogrammen, unabhängig davon, ob dies mit der Absicht geschieht, die Vertraulichkeit, Integrität oder Verfügbarkeit von Health-ISAC, eines Teilnehmers oder einer Person oder der Informationen dieser Personen zu gefährden oder nicht; oder (ii) wiederholte Nichteinhaltung eines Health-ISAC-Freigabeprotokolls.

f. Weitergabe personenbezogener Daten
Unbefugte Veröffentlichung oder Verbreitung der Veröffentlichung personenbezogener Daten eines Teilnehmers. Dies umfasst Sprache und/oder Links zu Websites, die solche Sprache, Bilder oder Inhalte enthalten.

g. Drogen
Direkte oder indirekte Bezugnahme auf den persönlichen Verkauf, die Verteilung oder den Konsum illegaler Drogen oder Betäubungsmittel.

h. MINDERJÄHRIGE
Ohne ausdrückliche Genehmigung die Teilnahme an Foren, Konferenzen oder anderen Angeboten durch Personen unter 18 Jahren zu ermöglichen oder zu ermöglichen.

i. ANDERE ILLEGALE AKTIVITÄTEN
Beteiligung an anderen rechtswidrigen Aktivitäten, die oben nicht ausdrücklich beschrieben sind und die nach alleinigem Ermessen von Health-ISAC als schädlich für das Unternehmen selbst, die Mitgliedschaft in einem anderen ISAC oder eine kritische Infrastruktur erachtet werden.

j. KLEIDUNG
Die richtige Kleidung ist Business Casual. Von den Veranstaltungsmoderatoren wird erwartet, dass sie angemessene Kleidung tragen, darunter Business Casual (Hemd mit Kragen, Hose und Kleid), und sich respektvoll kleiden.

k. FOTOGRAFIE
Den Teilnehmern ist es nicht gestattet, Präsentationen, Frage-und-Antwort-Runden oder andere Chatroom-Aktivitäten während der Veranstaltung zu fotografieren, zu kopieren oder Screenshots davon zu machen.

6. Meldung von Verstößen

Wenn ein Teilnehmer belästigt wird oder Zeuge von Vorfällen inakzeptablen Verhaltens wird, sollte er einen Mitarbeiter von Health-ISAC oder die Personalabteilung von Health-ISAC unter folgender Adresse informieren: HR@h-isac.org damit wir umgehend geeignete Maßnahmen ergreifen können. Andernfalls sollten Verstöße gegen diesen Verhaltenskodex gemeldet werden an support@h-isac.org. Damit Verstöße zeitnah bearbeitet werden können, sollte jeder Bericht folgende Angaben enthalten:

  1. Datum und Uhrzeit des Ereignisses
  2. Alle Beteiligten
  3. Die bekannte oder vermutete Straftat
  4. Kontaktinformationen zur Bearbeitung und für weitere Fragen (anonyme Meldungen werden weiterhin untersucht).
7. Abhilfe

Health-ISAC betrachtet einen Verstoß gegen diesen Verhaltenskodex als schwerwiegende Angelegenheit. Jeder Verstoß kann gegen jedes Mitglied disziplinarische Maßnahmen nach sich ziehen. Vorfälle werden von Fall zu Fall bewertet und können zum sofortigen Ausschluss von der Veranstaltung ohne Warnung oder Rückerstattung, zur Suspendierung oder dauerhaften Sperre von allen Health-ISAC-Veranstaltungen, zur Kündigung der Mitgliedschaft, zur Meldung an die Unternehmensleitung des Arbeitgebers des Täters und/oder zur Weiterleitung an die Strafverfolgungsbehörden führen. Für den Fall, dass sich das unangemessene Verhalten bei einer persönlichen Veranstaltung zeigt, sind die Mitarbeiter von Health-ISAC vor Ort bereit, jedem Teilnehmer dabei zu helfen, Kontakt zum Hotelsicherheitsdienst oder den örtlichen Strafverfolgungsbehörden aufzunehmen. Health-ISAC behält sich das Recht vor, die Teilnahme jedes Teilnehmers oder anderer Veranstaltungsteilnehmer einzuschränken, der diesen Verhaltenskodex nicht vollständig einhält und befolgt.

8. Pflichten des Mitglieds

Die Mitglieder müssen sicherstellen, dass alle zugelassenen Mitarbeiter, Agenten und Vertreter, die in ihrem Namen handeln, über diesen Verhaltenskodex und etwaige Aktualisierungen informiert sind und die Möglichkeit hatten, diese zu überprüfen.

9. Vertrauen auf geteilte Informationen

Die Teilnehmer stimmen zu, dass die entscheidende Funktion von Health-ISAC darin besteht, Informationen und Erkenntnisse über Cyber- und physische Bedrohungen für den Gesundheitssektor auszutauschen, um eine immer wirksamere Abschreckung und Bewältigung von Bedrohungen zu fördern, und stimmen zu, dass Health-ISAC keine Verantwortung für etwaige Folgen übernimmt, die sich aus der Anwendung der zwischen Teilnehmern, verbundenen Unternehmen und/oder Veranstaltungsbesuchern ausgetauschten Informationen ergeben.

10. Modification

Dieser Verhaltenskodex kann von Health-ISAC jederzeit geändert werden. Solche Änderungen werden auf der Website veröffentlicht und Health-ISAC wird die Health-ISAC-Mitglieder über alle wesentlichen Änderungen informieren.

Letzte Aktualisierung: Februar 2025