Informationssicherheitspolitik

Informationssicherheitspolitik

1. Zweck, Anwendungsbereich und Anwender

Zielsetzung dieser auf oberster Ebene angesiedelten Politik ist die Definition des Zwecks, der Ausrichtung, der Grundlagen und der grundsätzlichen Regeln für Informationssicherheits-Management.

Diese Politik wird auf das gesamte Informationssicherheits-Managementsystem (ISMS) angewendet, und wie im Dokument zum ISMS Anwendungsbereich definiert.

Anwender dieses Dokuments sind alle Mitarbeiter der AIDA ORGA Dortmund GmbH, sowie relevante externe Parteien.

2. Referenzdokumente

• ISO/IEC 27001 Norm, Abschnitte 5.2 und 5.3
• 03_Dokument_zum_ISMS_Anwendungsbereich.docx
• 05_Methodik_zur_Risikoeinschaetzung_und_Risikobehandlung.docx
• 06_Erklaerung_zur_Anwendbarkeit.docx
• 02.1_4.2_interessierte_Parteien.xlsx
• Rechtskataster 20xx.xlsx
• Prozessbeschreibungen im KVP-Manager
• 08_A.5.30_Richtlinie_zum_betrieblichen_Kontinuitaetsmanagement.docx
• 08_A.5.24_Verfahren_zum_Vorfallsmanagement.docx

3. Informationssicherheit: Grundbegriffe

Vertraulichkeit
– die Eigenschaft von Informationen, dass sie lediglich berechtigten Personen oder Systemen verfügbar gemacht werden

Integrität
– die Eigenschaft von Informationen, dass sie lediglich von berechtigten Personen oder Systemen auf genehmigte Weise abgeändert werden können

Verfügbarkeit
– die Eigenschaft von Informationen, dass sie lediglich berechtigten Personen zugänglich sind, wenn ein solcher Zugang notwendig ist

Informationssicherheit
- Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen

Informationssicherheits-Managementsystem
– jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst

4. Verwaltung der Informationssicherheit

4.1. Zielvorgaben und Messung

Die generellen Zielvorgaben des Informationssicherheits-Managementsystems sind die folgenden:
Zur Gewährleistung der Kundenzufriedenheit, optimalen Produkt- und Servicequalität sowie Sicherheit der Informationsverarbeitung kommt dem Umgang mit Risiken für unsere Infrastrukturen eine wesentliche Bedeutung zu. Da der Umgang mit existierenden Gefährdungen und unterschiedlichen Bedrohungsszenarien auf unsere Informationssysteme und Netze ein derartiges Risiko darstellen, besteht ein wesentlicher Teil unseres Kerngeschäftes darin, die permanente Vorsorge und das Treffen von geeigneten Maßnahmen zur weiteren Absicherung unserer Infrastrukturen. Die besondere Bedeutung der Informationssicherheit ist somit grundsätzlich in unseren zentralen Zielen verankert.

Weitere Ziele sind:

- Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Organisation
- Vollständige Dokumentation der Betriebsverfahren zur Sicherstellung der Verfügbarkeit
- Erfüllung der Kundenforderungen an die Vertraulichkeit seiner Daten
- Sensibilisierung aller Beschäftigten in Bezug auf das Thema Informationssicherheit

Diese Ziele stimmen mit den Geschäftszielen, der Strategie und den Geschäftsplänen der Organisation überein. Der ISB ist für die Überprüfung dieser generellen ISMS Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich.

Maßnahmenziele für einzelne Sicherheitsmaßnahmen oder Gruppen von Sicherheitsmaßnahmen werden von den Abteilungsleitern vorgeschlagen und vom ISB im Rahmen der Erklärung zur Anwendbarkeit genehmigt.

Alle diese Zielvorgaben müssen mindestens einmal jährlich überprüft werden.

Die AIDA ORGA Dortmund GmbH bewertet und misst die Erfüllung dieser Zielvorgaben. Der ISB ist verantwortlich für die Festlegung der Methode, mit der die Erfüllung dieser Zielvorgaben gemessen wird. Die Bewertung/Messung wird mindestens einmal jährlich durchgeführt und der ISB analysiert und evaluiert die Messresultate und berichtet anschließend an die Geschäftsführung in der Form von Input-Materialien für die Managementbewertung.

4.2. Anforderungen an Informationssicherheit

Diese Richtlinie und das gesamte ISMS müssen sowohl den rechtlichen und gesetzlichen Anforderungen, als auch den vertraglichen Verpflichtungen entsprechen, die für die Organisation auf dem Gebiet der Informationssicherheit, Datenschutz, Datengeheimnis und Geschäftskontinuität maßgeblich sind.

Eine detaillierte Auflistung aller vertraglichen und rechtlichen Anforderungen wird mit der Liste der rechtlichen, amtlichen und vertraglichen Verpflichtungen bereitgestellt.
Die entsprechend gültigen gesetzlichen Vorgaben sind im Rechtskataster erfasst und werden einmal jährlich, oder bei gravierenden Änderungen, verifiziert.

4.3. Maßnahmen zur Informationssicherheit

Der Prozess bei der Auswahl von Maßnahmen (Sicherheitsmaßnahmen) ist in der Methodik zur Risikoeinschätzung und Risikobehandlung definiert.

Die gewählten Maßnahmen und deren Implementierungs-Status sind in der Erklärung zur Anwendbarkeit aufgeführt.

4.4. Betriebliches Kontinuitätsmanagement

Betriebliches Kontinuitätsmanagement wird in der Richtlinie für betriebliches Kontinuitäts-management festgelegt.

4.5. Verantwortlichkeiten

Folgendes sind die grundsätzlichen Verantwortlichkeiten für das ISMS:

• Der ISB ist dafür verantwortlich, sicherzustellen dass das ISMS entsprechend dieser Richtlinie umgesetzt und instandgehalten wird und dass alle notwendigen Ressourcen verfügbar sind.
• Der ISB ist für die Koordination des Betriebs des ISMS verantwortlich, sowie für die Berichterstattung über dessen Leistungsfähigkeit.
• Die Geschäftsleitung muss das ISMS mindestens einmal jährlich überprüfen (bzw. immer im Falle von erheblichen Änderungen) und ein Protokoll dazu erstellen. Zweck dieser Überprüfung durch das Management ist der Nachweis der Angemessenheit, Eignung und Wirksamkeit des ISMS.
• Der ISB ist für die Umsetzung von Informationssicherheits-Training und Programmen zur Bewusstseinsbildung (Awareness) für Mitarbeiter zuständig.
• Der Schutz der Integrität, Verfügbarkeit und Vertraulichkeit der Werte unterliegt der Verantwortung des Eigentümers der jeweiligen Werte.
• Alle Sicherheitsvorfälle oder Schwachstellen müssen an den ISB gemeldet werden.
• Der ISB definiert, welche sich auf Informationssicherheit beziehenden Informationen mit welchen (sowohl internen als auch externen) interessierten Parteien kommuniziert werden, durch wen und wann.
• Der ISB ist für die Aufstellung und Implementierung des Plans für Training und Awareness verantwortlich, dem alle Personen unterliegen, die eine Rolle im Informationssicherheits-Management innehaben.

4.6. Politik-Kommunikation

Der ISB hat sicherzustellen, dass alle Mitarbeiter der AIDA ORGA Dortmund GmbH, sowie entsprechenden externen Parteien mit dieser Politik vertraut sind.

5. Unterstützung der ISMS Umsetzung

Hiermit erklärt die Geschäftsführung, dass die ISMS Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Politik genannten Zielvorgaben zu erfüllen.

6. Gültigkeit und Dokumenten-Handhabung

Dieses Dokument ist gültig ab 01.03.2022.

Der Eigentümer des Dokuments ist die Geschäftsleitung, die das Dokument mindestens einmal jährlich prüfen und gegebenenfalls aktualisieren muss.

Nehmen Sie Kontakt mit uns auf!

AnyDesk Fernwartung
 

Sie haben noch Fragen?

nfd-drtmndd

 

TÜV Siegel - ISO 9001
TÜV Siegel - ISO 27001
 

AIDA ORGA Dortmund GmbH -  Planetenfeldstr. 100a -  D 44379 Dortmund

Datenschutzhinweis

Wir nutzen Cookies auf unserer Webseite. Einige von ihnen sind notwendig, während uns andere helfen, die Website und Ihre Erfahrung zu verbessern.