Motivation und Verpflichtung
Wir sehen die Informationssicherheit als wesentliche Voraussetzung für unseren Geschäftserfolg. Dies bezieht sich auf den Schutz der eigenen Daten und Informationen, als auch auf den Schutz der Daten und Informationen unserer Mitarbeiter und Geschäftspartner.
Um dies sicherzustellen, betreiben wir ein Informationssicherheits-Managementsystem nach ISO 27001. Wir verpflichten uns die resultierenden Anforderungen umzusetzen, das System kontinuierlich weiterzuentwickeln und die notwendigen Ressourcen bereitzustellen.
Durch die Integration aller Geschäftsprozesse ist sichergestellt, dass die Informationssicherheit ein integraler und ausgewogener Bestandteil unserer Geschäftsstrategie ist.
Strategische Ziele des Informationssicherheits-Managements
Informationssicherheit ist vorhanden, wenn zu jeder Zeit die
- Vertraulichkeit
- die Integrität
- und die Verfügbarkeit
der im Unternehmen vorhandenen Daten und Information gewährleistet werden kann. Ziel unserer Maßnahmen ist, dies sicherzustellen.
Auf unsere Geschäftstätigkeit bezogen leiten wir hieraus folgende strategischen Ziele für die Informationssicherheit ab:
- Hohe Verfügbarkeit von Informationen, IT-Systeme und Netzwerke, sodass die Ausfallzeiten ein tolerierbares Maß nicht überschreiten und negativen Einfluss auf unseren Geschäftsbetrieb und Umsetzung unserer Kundenprojekte haben.
- Zur Sicherstellung der Integrität und Vertraulichkeit von Daten und Informationen, sind ausreichend Maßnahmen ergriffen, sodass wir die Anforderungen unserer Kunden und Geschäftspartner erfüllen, unsere Mitarbeiter- und Geschäftsdaten ausreichend schützen und die geltenden gesetzlichen Verpflichtungen einhalten.
- Der Zugriff auf Daten und Informationen soll durch ein entsprechende Zugriffs- und Zutrittskonzepte so begrenzt sein, dass nur die Person Informationen erlangt, die diese für ihre Arbeit benötigt.
- Datenskandale schädigen nachhaltig das Bild eines Unternehmens in der Öffentlichkeit. Durch Maßnahmen zur Informationssicherheit soll sichergestellt werden, dass unser Unternehmen nicht in solche Vorfälle verwickelt ist.
- Wir erkennen, dass Bedrohungen für die Informationssicherheit durch Phishing-Angriffe, Ransomware, Social Engineering, Denial-of-Service-Attacken und Datenlecks ständig steigen und überprüfen deswegen fortlaufend unsere aktuellen Schutzmaßnahmen und verbessern das Informationssicherheitsmanagementsystem.
- Nutzen und Kosten müssen in einem wirtschaftlichen Verhältnis stehen. Durch ein angepasstes Risikomanagement soll sichergestellt werden, dass hier im Hinblick auf die Informationssicherheit ein angemessenes Verhältnis gefunden wird. Dabei berücksichtigen wir selbstverständlich auch die durch Informationssicherheitsvorfälle potenziell anfallenden Kosten.
Maßnahmen zur Informationssicherheit
Informationssicherheit wollen wir sicherstellen durch:
- Einhaltung relevanter Gesetze und Vorschriften
- Umsetzung eines angepassten Risikomanagements
- Aufbau und Aufrechterhaltung der notwendigen Kompetenzen bei Mitarbeitern
- angepasste Berechtigungskonzepte für Daten und IT-Systeme
- Absicherung unserer Netzwerke und Übertragungswege
- Verschlüsselung von Daten- und Datenübertragung wo notwendig
- durchgängige und verlässliche Datensicherung
- strukturierten und sicheren IT-Betrieb
- ausreichender Schutz unserer Räumlichkeiten
- angepasstes Dienstleister- und Lieferantenmanagement
- regelmäßige Überprüfung und Verbesserung unseres Informationssicherheitsmanagementsystems
Jeder trägt zur Informationssicherheit bei!
Informationssicherheit ist nicht statisch, sondern muss gelebt werden. Neben den umgesetzten Maßnahmen kann jeder einzelne durch sein Verhalten dazu beitragen, die Sicherheit zu erhöhen.
Neben einem achtsamen Umgang mit Daten und Informationen, bieten die Regeln und Abläufe, die im Rahmen des Informationssicherheits-Managements erarbeitet wurden, eine Hilfestellung hierfür. Jeder muss die für ihn geltenden Regelungen und Abläufe kennen und diese einhalten. So schaffen wir gemeinsam die notwendige Sicherheit für Daten und Informationen.