Die vorliegende Information Security Policy wird von der Geschäftsleitung in Kraft gesetzt und dokumentiert die grundsätzlichen Anforderungen an die Informationssicherheit bei der ITpoint Systems AG. Sie ist die Grundlage aller weiteren Anweisungen und Aktivitäten im Information Security Management und beweist den hohen Stellenwert von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in der Obhut der ITpoint Systems AG.
Die ITpoint Systems AG ist sich der Tatsache bewusst, dass absolute Sicherheit in einer flexibel genutzten IT-Infrastruktur nicht erreichbar ist. Diese Policy definiert deshalb ein anzustreben-des Sicherheits-Niveau unter Berücksichtigung von Faktoren wie Funktionalität, Kosten, Effizienz und gesetzlichen Bestimmungen. Insbesondere fühlt sich die ITpoint Systems AG der Sicherheit der Kundenwerte verpflichtet.
Dieses Dokument und die darin enthaltenen Regelungen sowie davon abgeleitete Dokumente sind für alle internen und externen Mitarbeitenden der ITpoint Systems AG verbindlich und müssen diesen zur Kenntnis gebracht werden. Die Geltungsbereiche erstrecken sich auf alle Services, Daten, Systeme, Komponenten und Dienstleistungen in der Verantwortung der ITpoint Systems AG.
Die Sicherheitsregelungen von Vereinbarungen mit Kunden, Partnern und Lieferanten sind auf die Information Security Policy abgestimmt.
Als Verstösse gelten Handlungen, die entweder tatsächlich oder potenziell Schaden angerichtet haben oder anrichten könnten. Unter Schaden werden finanzielle Einbussen, Beschädigung des guten Rufs und gesetzliche Übertretungen mit Straffolge verstanden. Dies bezieht sich auch auf die Nutzung von Unternehmens- und Kundeninformationen für illegale oder nicht dienstliche Zwecke.
Vorsätzliche oder grob fahrlässige Verstösse gegen diese Information Security Policy und dar-aus abgeleitete Regelungen können disziplinarische oder arbeitsrechtliche Konsequenzen haben – in schweren Fällen auch straf- oder zivilrechtliche Folgen.
Die Information Security Policy wird durch die Geschäftsleitung der ITpoint Systems AG verab-schiedet und in Kraft gesetzt. Sie wird regelässig, aber mindestens einmal pro Jahr, geprüft und ggf. nachgeführt.
Änderungen werden durch den Chief Information Security Officer am Management Review vorgeschlagen, diskutiert und durch die Geschäftsleitung genehmigt.
Ausnahmeregelungen werden durch den Chief Information Security Officer oder das Change Advisory Board vorgeschlagen und durch den CEO oder der Geschäftsleitung genehmigt.
ITpoint Systems AG verpflichtet sich folgende Anforderungen einzuhalten:
Informationen entscheiden über den Erfolg der ITpoint Systems AG und deren Kunden. Von grösster Wichtigkeit ist neben der Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeitende muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Dies ist nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber Kunden und Aufsichtsbehörden. Die ITpoint Systems AG will, dass Kunden, Mitarbeitende, Partner und Lieferanten verstehen, dass ITpoint Systems AG ein sicherer und vertrauenswürdiger Service Provider und Dienstleister ist.
Folgende Sicherheitsziele wurden von der ITpoint Systems AG Geschäftsleitung verabschiedet:
Um die Ziele zu erreichen, sind die nachfolgenden Rahmenbedingungen zu beachten und sicherzustellen.
Die Vorgaben über Sicherheitsziele und Massnahmen werden in regelmässigen Abständen, mindestens einmal pro Jahr, zur Kenntnis gebracht. Insbesondere wird sichergestellt, dass neue interne oder externe Mitarbeitende mit den Sicherheitsbestimmungen vertraut gemacht und auf ihre persönliche Verantwortung hingewiesen werden. ITpoint Systems AG bietet seinen Mitarbeitern IT Sicherheitstrainings an, um die Awareness zu fördern und Wissen aus dem Tagesgeschäft weiterzugeben. Zudem hat sich ein regelmässiger Security Newsletter etabliert, welcher über die firmeninterne Kommunikationsplattform zur Verfügung gestellt wird.
Es werden periodisch im Rahmen des Risikomanagementprozesses, Risikobewertungen vorgenommen. Das Risikomanagement System ist wesentlicher Bestandteil des Informations-Sicherheits-Management Systems und angelehnt an den Standard ISO27005. Es werden alle relevanten Bedrohungen nach ISO27005 auf Schadensausmass und Schadenshäufigkeit beurteilt. Zudem werden die ENISA Bedrohungen periodisch überprüft und neu bewertet.
Die Risikoanalyse dient zur detaillierten Feststellung des Risikos basierend auf der Konformität zu den festgelegten ITpoint Systems AG Sicherheitsstandards, sowie möglicher zusätzlicher Massnahmen, die bei erhöhtem Schutzbedarfs getroffen werden.
Die definierten Massnahmen im Information Sicherheit Management System (ISMS) decken die Standardbedrohungen und Schwachstellen als Teil der Basis-Sicherheit ab. Die Risikoakzeptanzkriterien werden durch die Geschäftsleitung definiert und jährlich überprüft.
Bei zu hohen Risiken werden Massnahmen zu deren Minderung (Mitigation) definiert. Die Massnahmen werden ins ITpoint Systems AG Continual Service Improvement (CSI) Register übertragen und abgearbeitet.
Die ITpoint Systems AG ergreift technische und organisatorische Sicherheitsmassnahmen zum Schutz und Erhalt aller unternehmenskritischen und für unsere Geschäftstätigkeit rele-vanten Systeme und Daten.
Die Geschäftsleitung der ITpoint Systems AG trägt die Gesamtverantwortung für die Sicherheit, trifft Entscheidungen in diesem Bereich und verabschiedet die Security Policy. Periodisch, aber mindestens einmal pro Jahr, findet ein Management Review statt. Der Security Manager und der Process Manager erstellen einen konsolidierten ISO20000/27001 Management Bericht, welcher durch die Geschäftsleitung signiert wird.
Der Bericht enthält mindestens die folgenden Aspekte im Bezug auf ISO27001:
Beschlossene Massnahmen werden im Protokoll dokumentiert.
Der CISO ist als Stabstelle zur Geschäftsleitung definiert. Er bildet die Schnittstelle vom Security & Compliance Team zur Geschäftsleitung.
Der Security & Compliance Manager ist mit der Sicherstellung des Schutzes von Informationswerten beauftragt und für die Umsetzung respektive Koordination von Sicherheits-Massnahmen verantwortlich.
Die Informationseigentümer stellen in ihrem Verantwortungsbereich sicher, dass
Jede Geschäftseinheit der ITpoint Systems AG ist für die Sicherheit ihrer Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und einen angemessenen Schutz der Informationen entsprechend ihrem Wert und Risikos für das betreffende Geschäfts- oder technische Umfeld verantwortlich.
In den Service Verträgen wird auf die Pflichten der Informationsnutzer bei den Anwendern hingewiesen, ebenso in Verträgen mit externen Mitarbeitenden.
Mit Partner oder Lieferanten wird, falls Informationen ausgetauscht werden, ein Non Disclosure Agreement (NDA) unterschrieben. Das ITpoint Systems AG NDA gilt gegenseitig und für die im NDA definierte Zusammenarbeit.
Der Krisenstab hat die Aufgabe, die Behandlung von geschäftskritischen Vorfällen (wie z.B. ein Major Incident), die zu Krisen eskaliert werden, zu steuern. Der Business Continuity Manager ist für die Entwicklung und kontinuierliche Verbesserung der Notfallvorsorge zuständig.
ITpoint Information Security Policy
Version: 2.0 | 19.03.2024