Allgemeine Informationssicherheitspolitik
- Vertraulichkeit, Integrität und Verfügbarkeit: Die Organisation verpflichtet sich, die Vertraulichkeit, Integrität und Verfügbarkeit der in ihren Systemen verarbeiteten und gespeicherten Informationen zu schützen, unabhängig davon, ob sie Eigentum der Organisation, unserer Mitarbeiter, Partner, Kunden oder Lieferanten sind.
- Managementsystem für Informationssicherheit (ISMS): Die Organisation hat ein Managementsystem für Informationssicherheit (ISMS) eingeführt, das den Normen der ISO 27001 entspricht und unser Engagement für solide Praktiken der Informationssicherheit unter Beweis stellt.
- Strategische Ausrichtung: Die Leitung der Organisation stellt sicher, dass die Grundsätze und Ziele der Informationssicherheit mit der strategischen Ausrichtung der Organisation übereinstimmen.
- Integration in die Abläufe: Die Integration der ISMS-Anforderungen in die organisatorischen Abläufe wird aktiv gesteuert, um die Informationssicherheit zu stärken.
- Rollen und Verantwortlichkeiten: Es werden spezifische Rollen und Zuständigkeiten zugewiesen, um eine wirksame Aufsicht und Ausführung des ISMS zu gewährleisten.
- Verfügbarkeit von Ressourcen: Die für das ISMS benötigten Ressourcen werden nach Prioritäten geordnet und leicht verfügbar gemacht, um die fortlaufende Wirksamkeit des Systems zu unterstützen.
- Kontinuierliche Verbesserung: Die Leitung der Organisation fördert eine Kultur der kontinuierlichen Verbesserung des ISMS und unterstützt die Anpassungsfähigkeit an neue Herausforderungen und technologische Fortschritte.
Hauptziele des ISMS
- Sicherstellung der Einhaltung: Die Organisation verpflichtet sich, die Einhaltung der einschlägigen Vorschriften zur Informationssicherheit zu gewährleisten und die Erwartungen der interessierten Kreise zu erfüllen.
- Cyber-Resilienz und Kontinuität: Die Aufrechterhaltung der Cyber-Resilienz und die Gewährleistung der Prozesskontinuität sind wichtige Ziele, die unser Engagement für einen ununterbrochenen Geschäftsbetrieb widerspiegeln.
- Risikomanagement: Die Organisation identifiziert Informationssicherheitsrisiken und führt Maßnahmen ein, um sie auf ein akzeptables Niveau zu reduzieren.
Grundlegende Prinzipien
- Integral für jede Aktivität: Die Informationssicherheit ist integraler Bestandteil jedes Verfahrens, Prozesses oder jeder Aktivität innerhalb der Organisation und spiegelt unseren ganzheitlichen Ansatz zum Schutz von Informationswerten wider.
- Mitarbeiterbeteiligung: Alle Mitarbeiter der Organisation behandeln die Informationssicherheit aktiv als einen wesentlichen Teil ihrer täglichen Arbeit und tragen so zu einer kollektiven Verantwortung für den Informationsschutz bei.
- Engagement für kontinuierliche Verbesserung: Die Organisation hat sich der kontinuierlichen Verbesserung der Eignung, Angemessenheit und Wirksamkeit des ISMS verschrieben und passt sich an die sich entwickelnde Sicherheitslandschaft an.
Bewertung und Überarbeitung der Richtlinien
- Regelmäßige Bewertung: Die Informationssicherheitspolitik wird regelmäßig bewertet, überarbeitet und aktualisiert, und zwar jedes Jahr oder bei Bedarf auch häufiger, um ihre Relevanz als Reaktion auf sich ändernde Bedingungen zu gewährleisten.