Information Security Policy für unsere Kunden

1. Einleitung

1.1. Zweck

Die vorliegende Information Security Policy wird von der Geschäftsleitung in Kraft gesetzt und dokumentiert die grundsätzlichen Anforderungen an die Informationssicherheit bei der ITpoint Systems AG. Sie ist die Grundlage aller weiteren Anweisungen und Aktivitäten im Information Security Management und beweist den hohen Stellenwert von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in der Obhut der ITpoint Systems AG.

Die ITpoint Systems AG ist sich der Tatsache bewusst, dass absolute Sicherheit in einer flexibel genutzten IT-Infrastruktur nicht erreichbar ist. Diese Policy definiert deshalb ein anzustrebendes Sicherheits-Niveau unter Berücksichtigung von Faktoren wie Funktionalität, Kosten, Effizienz und gesetzlichen Bestimmungen. Insbesondere fühlt sich die ITpoint Systems AG der Sicherheit der Kundenwerte verpflichtet.

1.2. Gültigkeitsbereich

Dieses Dokument und die darin enthaltenen Regelungen sowie davon abgeleitete Dokumente sind für alle internen und externen Mitarbeitenden der ITpoint Systems AG verbindlich und müssen diesen zur Kenntnis gebracht werden. Die Geltungsbereiche erstrecken sich auf alle Services, Daten, Systeme, Komponenten und Dienstleistungen in der Verantwortung der ITpoint Systems AG.

Die Sicherheitsregelungen von Vereinbarungen mit Kunden, Partnern und Lieferanten sind auf diese Information Security Policy abgestimmt.

1.3. Verstösse

Als Verstösse gelten Handlungen, die entweder tatsächlich oder potenziell Schaden angerichtet haben oder anrichten könnten. Unter Schaden werden finanzielle Einbussen, Beschädigung des guten Rufs und gesetzliche Übertretungen mit Straffolge verstanden. Dies bezieht sich auch auf die Nutzung von Unternehmens- und Kundeninformationen für illegale oder nicht dienstliche Zwecke.

Vorsätzliche oder grob fahrlässige Verstösse gegen diese Information Security Policy und daraus abgeleitete Regelungen können disziplinarische oder arbeitsrechtliche Konsequenzen haben – in schweren Fällen auch straf- oder zivilrechtliche Folgen.

1.4. Genehmigung und Änderung 

Die Information Security Policy wird durch die Geschäftsleitung der ITpoint Systems AG verabschiedet und in Kraft gesetzt. Sie wird regelässig, aber mindestens einmal pro Jahr, geprüft und ggf. nachgeführt.

Änderungen werden durch den Chief Information Security Officer am Management Review vorgeschlagen, diskutiert und durch die Geschäftsleitung genehmigt.

Ausnahmeregelungen werden durch den Chief Information Security Officer oder das Change Advisory Board vorgeschlagen und durch den CEO oder der Geschäftsleitung genehmigt.

1.5. Gesetzliche, vertragliche und interne Anforderungen

ITpoint Systems AG verpflichtet sich alle gesetzlichen und vertraglichen Anforderungen einzuhalten.

2. Sicherheitsziele

Informationen entscheiden über den Erfolg der ITpoint Systems AG und deren Kunden. Von grösster Wichtigkeit ist neben der Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeitende muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Dies ist nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber Kunden und Aufsichtsbehörden. Die ITpoint Systems AG will, dass Kunden, Mitarbeitende, Partner und Lieferanten verstehen, dass ITpoint Systems AG ein sicherer und vertrauenswürdiger Service Provider und Dienstleister ist.

Folgende Sicherheitsziele wurden von der ITpoint Systems AG Geschäftsleitung verabschiedet:

  • Schutz von Assets und speziell von Informationen nach den Kriterien:
    • Vertraulichkeit / Confidentiality
    • Integrität / Integrity
    • Verfügbarkeit / Availability
  • Die Vereinbarungen mit den Kunden in Bezug auf Qualität und Sicherheit werden bei allen von ITpoint Systems AG Systems angebotenen Produkten und Dienstleistungen permanent eingehalten. Das Sicherheitsniveau unserer Produkte und Dienstleistungen ist marktgerecht.
  • Alle Mitarbeitenden nehmen ihre Eigenverantwortung in Bezug auf die Sicherheitsbelange wahr. Die Mitarbeitenden sind durch angemessene Massnahmen dazu in die Lage versetzt.
  • Vertragspartner der ITpoint Systems AG (Kunden, Partner, Dienstleistungsunternehmen, externe Berater, Lieferanten usw.) halten die relevanten Sicherheitsanforderungen ein. Es wird mindestens ein gegenseitiges Non Disclosure Agreement (NDA) unterschrieben.
  • Gesetzliche Vorschriften werden eingehalten.

3. Umsetzung

Um die Ziele zu erreichen, sind die nachfolgenden Rahmenbedingungen zu beachten und sicherzustellen.

3.1. Sicherheitsbewusstsein (Awareness)

Die Vorgaben über Sicherheitsziele und Massnahmen werden in regelmässigen Abständen, mindestens einmal pro Jahr, zur Kenntnis gebracht. Insbesondere wird sichergestellt, dass neue interne oder externe Mitarbeitende mit den Sicherheitsbestimmungen vertraut gemacht und auf ihre persönliche Verantwortung hingewiesen werden. ITpoint Systems AG bietet seinen Mitarbeitern IT Sicherheitstrainings an, um die Awareness zu fördern und Wissen aus dem Tagesgeschäft weiterzugeben. Zudem hat sich ein regelmässiger Security Newsletter etabliert, welcher über die firmeninterne Kommunikationsplattform zur Verfügung gestellt wird.

3.2. Risikomanagement

Es werden periodisch im Rahmen des Risikomanagementprozesses, Risikobewertungen vorgenommen. Das Risikomanagement System ist wesentlicher Bestandteil des Informations-Sicherheits-Management Systems und angelehnt an den Standard ISO27005. Es werden alle relevanten Bedrohungen nach ISO27005 auf Schadensausmass und Schadenshäufigkeit beurteilt. Zudem werden die ENISA Bedrohungen periodisch überprüft und neu bewertet.

Die Risikoanalyse dient zur detaillierten Feststellung des Risikos basierend auf der Konformität zu den festgelegten ITpoint Systems AG Sicherheitsstandards, sowie möglicher zusätzlicher
Massnahmen, die bei erhöhtem Schutzbedarfs getroffen werden.

Die definierten Massnahmen im Information Sicherheit Management System (ISMS) decken die Standardbedrohungen und Schwachstellen als Teil der Basis-Sicherheit ab.

Die Risikoakzeptanzkriterien werden durch die Geschäftsleitung definiert und jährlich überprüft. Bei zu hohen Risiken werden Massnahmen zu deren Minderung (Mitigation) definiert.

3.3. Sicherheitsmassnahmen

Die ITpoint Systems AG ergreift technische und organisatorische Sicherheitsmassnahmen zum Schutz und Erhalt aller unternehmenskritischen und für unsere Geschäftstätigkeit relevanten Systeme und Daten.

4. Sicherheitsorganisation

4.1. Geschäftsleitung

Die Geschäftsleitung der ITpoint Systems AG trägt die Gesamtverantwortung für die Sicherheit, trifft Entscheidungen in diesem Bereich und verabschiedet die Security Policy. Periodisch, aber mindestens einmal pro Jahr, findet ein Management Review statt. Der Security Manager und der Process Manager erstellen einen konsolidierten ISO20000/27001 Management Bericht, welcher durch die Geschäftsleitung signiert wird.

Der Bericht enthält mindestens die folgenden Aspekte im Bezug auf ISO27001:

  • Allgemeiner Zustand des Sicherheitsmanagementsystems
  • Durchgeführte Audits
  • Entwicklung des Sicherheitsstatus
  • Definition und Erreichung der Sicherheitsziele
  • Risikolage und Status besonderer Risiken

Beschlossene Massnahmen werden im Protokoll dokumentiert.

4.2. CISO

Der CISO ist als Stabstelle zur Geschäftsleitung definiert. Er bildet die Schnittstelle vom Security & Compliance Team zur Geschäftsleitung.

4.3. Information Security & Compliance Manager

Der Security & Compliance Manager ist mit der Sicherstellung des Schutzes von Informationswerten beauftragt und für die Umsetzung respektive Koordination von Sicherheits-Massnahmen verantwortlich.

4.4. Informationseigentümer

Die Informationseigentümer stellen in ihrem Verantwortungsbereich sicher, dass

  • die Informationen und Systeme nach geschäftlicher Relevanz klassifiziert sind
  • die Sicherheitsziele eingehalten werden

4.5. Informationsnutzer

Jede Geschäftseinheit der ITpoint Systems AG ist für die Sicherheit ihrer Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und einen angemessenen Schutz der Informationen entsprechend ihrem Wert und Risikos für das betreffende Geschäfts- oder technische Umfeld verantwortlich.

In den Service Verträgen wird auf die Pflichten der Informationsnutzer bei den Anwendern hingewiesen, ebenso in Verträgen mit externen Mitarbeitenden.

4.6. Partner, Lieferanten, Besucher

Mit Partner oder Lieferanten wird, falls Informationen ausgetauscht werden, ein Non Disclosure Agreement (NDA) unterschrieben. Das ITpoint Systems AG NDA gilt gegenseitig und für die im NDA definierte Zusammenarbeit.

4.7. Krisenstab und Notfallmanagement

Für das Krisenmanagement wird ein eigener Prozess angestossen und regelmässig mittels
Krisenstabsübungen überprüft.

Der Krisenstab hat die Aufgabe, die Behandlung von geschäftskritischen Vorfällen (wie z.B. ein Major Incident), die zu Krisen eskaliert werden, zu steuern.

ITpoint Information Security Policy
Version: 2.1 | 16.12.2024