Zweck der Politik

Diese Informationssicherheitspolitik legt die Grundsätze, Ziele und Verantwortlichkeiten fest, um die Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen, Systeme und Dienstleistungen des Unternehmens zu gewährleisten. Sie dient als übergeordneter Rahmen für das Informationssicherheits-Managementsystem (ISMS) und erfüllt die Anforderungen der ISO/IEC 27001:2022.

Geltungsbereich

Diese Politik gilt für:

  • alle Mitarbeitenden, Führungskräfte und Geschäftsleitungsmitglieder,
  • alle externen Dienstleister, Auftragnehmer und Partner mit Zugriff auf Unternehmensinformationen,
  • sämtliche Unternehmensstandorte, IT-Systeme, Anwendungen, Netzwerke und physischen Informationsspeicher,
  • alle Informationen, unabhängig von Form oder Medium (digital, papierbasiert, verbal).

Grundsätze der Informationssicherheit

  1. Vertraulichkeit – Schutz von Informationen vor unbefugtem Zugriff.
  2. Integrität – Sicherstellung, dass Informationen korrekt, vollständig und unverändert sind.
  3. Verfügbarkeit – Sicherstellung, dass autorisierte Benutzer rechtzeitig auf Informationen zugreifen können.
  4. Gesetzes- und Vertragskonformität – Einhaltung aller relevanten Gesetze, Normen und vertraglichen Verpflichtungen.
  5. Risikobasierter Ansatz – Identifizierung, Bewertung und Behandlung von Risiken basierend auf deren Auswirkung auf das Unternehmen.
  6. Kontinuierliche Verbesserung – Laufende Optimierung des ISMS, um auf neue Bedrohungen, Technologien und Geschäftsanforderungen zu reagieren.

Ziele der Informationssicherheit

  • Schutz der Unternehmenswerte, einschließlich Informationen, IT-Systeme, Infrastruktur und Reputation.
  • Sicherstellung der Einhaltung rechtlicher, regulatorischer und vertraglicher Anforderungen.
  • Gewährleistung eines angemessenen Sicherheitsniveaus für alle Geschäftsprozesse.
  • Förderung einer unternehmensweiten Sicherheitskultur und Sensibilisierung aller Mitarbeitenden.

Verantwortlichkeiten

  • Geschäftsführung: Genehmigung der Politik, Bereitstellung von Ressourcen, Überwachung der Umsetzung.
  • Informationssicherheitsbeauftragter (ISB): Steuerung, Überwachung und kontinuierliche Verbesserung des ISMS.
  • Führungskräfte: Umsetzung der Politik in ihren Verantwortungsbereichen, Überwachung der Einhaltung.
  • Mitarbeitende: Einhaltung der festgelegten Sicherheitsrichtlinien und Melden von Sicherheitsvorfällen.

Umsetzung und Verpflichtung

  • Einrichtung, Betrieb und kontinuierliche Verbesserung eines ISO/IEC 27001-konformen ISMS.
  • Durchführung regelmäßiger Risikoanalysen und Sicherheitsbewertungen.
  • Umsetzung von technischen, organisatorischen und physischen Schutzmaßnahmen.
  • Durchführung regelmäßiger Schulungen und Sensibilisierungsmaßnahmen.
  • Etablierung eines Prozesses zur Meldung, Untersuchung und Behebung von Sicherheitsvorfällen.
  • Integration der Anforderungen aus dem ISMS in die Geschäftsprozesse.
  • Einhaltung zutreffender Anforderungen mit Bezug zur Informationssicherheit.
  • Kommunikation der Informationssicherheitspolitik an alle interessierten Parteien (über 

Überprüfung

  • Die Informationssicherheitspolitik wird mindestens einmal jährlich oder bei wesentlichen Änderungen der Geschäfts- oder Bedrohungslage überprüft.
  • Anpassungen werden dokumentiert und allen betroffenen Parteien kommuniziert.

Inkrafttreten

Diese Informationssicherheitspolitik tritt am 01.10.2025 in Kraft und ersetzt alle vorherigen Fassungen.