Die vorliegende Information Security Policy wird von der Geschäftsleitung in Kraft gesetzt und dokumentiert die grundsätzlichen Anforderungen an die Informationssicherheit bei der ITpoint Systems AG. Sie ist die Grundlage aller weiteren Anweisungen und Aktivitäten im Information Security Management und beweist den hohen Stellenwert von Vertraulichkeit, Verfügbarkeit und Integrität von Informationen in der Obhut der ITpoint Systems AG.
Die ITpoint Systems AG ist sich der Tatsache bewusst, dass absolute Sicherheit in einer flexibel genutzten IT-Infrastruktur nicht erreichbar ist. Diese Policy definiert deshalb ein anzustrebendes Sicherheits-Niveau unter Berücksichtigung von Faktoren wie Funktionalität, Kosten, Effizienz und gesetzlichen Bestimmungen. Insbesondere fühlt sich die ITpoint Systems AG der Sicherheit der Kundenwerte verpflichtet.
Dieses Dokument und die darin enthaltenen Regelungen sowie davon abgeleitete Dokumente sind für alle internen und externen Mitarbeitenden der ITpoint Systems AG verbindlich und müssen diesen zur Kenntnis gebracht werden. Die Geltungsbereiche erstrecken sich auf alle Services, Daten, Systeme, Komponenten und Dienstleistungen in der Verantwortung der ITpoint Systems AG. Die Sicherheitsregelungen von Vereinbarungen mit Kunden, Partnern und Lieferanten sind auf die Information Security Policy abgestimmt.
Mit seiner Unterschrift und Durchführung des ITpoint Systems AG Information Security Compliance Test erkennt der Mitarbeitende an, dass er die Security Policy sowie die weiteren Anforderungen (s. Kapitel 1.5) zur Kenntnis genommen und verstanden hat.
Als Verstösse gelten Handlungen, die entweder tatsächlich oder potenziell Schaden angerichtet haben oder anrichten könnten. Unter Schaden werden finanzielle Einbussen, Beschädigung des guten Rufs und gesetzliche Übertretungen mit Straffolge verstanden. Dies bezieht sich auch auf die Nutzung von Unternehmens- und Kundeninformationen für illegale oder nicht dienstliche Zwecke.
Vorsätzliche oder grob fahrlässige Verstösse gegen diese Information Security Policy und daraus abgeleitete Regelungen können disziplinarische oder arbeitsrechtliche Konsequenzen haben – in schweren Fällen auch straf- oder zivilrechtliche Folgen.
Verwarnungen werden durch den Security Manager oder dem direkten Vorgesetzten ausgesprochen und werden in der Personalakte vermerkt. Bei Missachtung vertraglicher Vereinbarungen in Bezug auf Sicherheit können bereitgestellte Services und Dienste eingeschränkt oder eingestellt werden.
Angestellte in Führungsfunktionen sind dafür besorgt, dass Sicherheitsvorgaben eingehalten werden und melden Verstösse dem HR und dem Security & Compliance Team. Dies wird des Weiteren unterstützt: durch Überprüfung der Ergebnisse interner Audits, durch Ergebnisse, die von Überwachungs- und Messinstrumenten geliefert werden und durch die Bewertung der erzielten Ergebnisse anhand von Sicherheitszielen und Leistungsindikatoren (KPIs). Darüber hinaus müssen die Verantwortlichen festlegen, wie eventuelle festgestellte Nichtkonformitäten behandelt werden sollen.
Die Information Security Policy wird durch die Geschäftsleitung der ITpoint Systems AG verabschiedet und in Kraft gesetzt. Sie wird regelässig, aber mindestens einmal pro Jahr, geprüft und ggf. nachgeführt. Änderungen werden durch den Chief Information Security Officer am Management Review vorgeschlagen, diskutiert und durch die Geschäftsleitung genehmigt. Ausnahmeregelungen werden durch den Chief Information Security Officer oder das Change Advisory Board vorgeschlagen und durch den CEO oder die Geschäftsleitung genehmigt.
ITpoint Systems AG verpflichtet sich folgende Anforderungen einzuhalten:
Informationen entscheiden über den Erfolg der ITpoint Systems AG und deren Kunden. Von grösster Wichtigkeit ist neben der Verfügbarkeit auch die Vertraulichkeit von Informationen. Jeder Mitarbeitende muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln. Dies ist nicht nur gesetzlich vorgeschrieben, sondern auch Teil der Verpflichtungen gegenüber Kunden und Aufsichtsbehörden. Die ITpoint Systems AG will, dass Kunden, Mitarbeitende, Partner und Lieferanten verstehen, dass ITpoint Systems AG ein sicherer und vertrauenswürdiger Service Provider und Dienstleister ist. Folgende Sicherheitsziele wurden von der ITpoint Systems AG Geschäftsleitung verabschiedet:
Um die Ziele zu erreichen, sind die nachfolgenden Rahmenbedingungen zu beachten und sicherzustellen.
Die Vorgaben über Sicherheitsziele und Massnahmen werden in regelmässigen Abständen, mindestens einmal pro Jahr, zur Kenntnis gebracht. Insbesondere wird sichergestellt, dass neue interne oder externe Mitarbeitende mit den Sicherheitsbestimmungen vertraut gemacht und auf ihre persönliche Verantwortung hingewiesen werden. ITpoint Systems AG bietet seinen Mitarbeitern IT Sicherheitstrainings an, um die Awareness zu fördern und Wissen aus dem Tagesgeschäft weiterzugeben. Zudem hat sich ein regelmässiger Security Newsletter etabliert, welcher über die firmeninterne Kommunikationsplattform zur Verfügung gestellt wird.
Es werden periodisch im Rahmen des Risikomanagementprozesses, Risikobewertungen vorgenommen. Das Risikomanagement System ist wesentlicher Bestandteil des Informations-Sicherheits-Management Systems und angelehnt an den Standard ISO27005. Es werden alle relevanten Bedrohungen nach ISO27005 auf Schadensausmass und Schadenshäufigkeit beurteilt. Zudem werden die ENISA Top 15 Bedrohungen periodisch überprüft und neu bewertet.
Die Risikoanalyse dient zur detaillierten Feststellung des Risikos basierend auf der Konformität zu den festgelegten ITpoint Systems AG Sicherheitsstandards, sowie möglicher zusätzlicher Massnahmen, die bei erhöhtem Schutzbedarfs getroffen werden. Die Kriterien des Schutzbedarfes sind wie folgt festgelegt:
Vertraulichkeit
Die Assets von ITpoint Systems AG werden nach Vertraulichkeitsstufen gemäss ITpoint Systems AG Security Policy kategorisiert
Integrität
Verfügbarkeit (Availability)
Grundsätzlich sind die Anforderungen zur Durchführung einer RA wie folgt festgelegt. Level gleich oder grösser als:
Die definierten Massnahmen im Informationssicherheit Management System decken die Standardbedrohungen und Schwachstellen als Teil der Basis-Sicherheit ab:
Die Risikoakzeptanzkriterien werden durch die Geschäftsleitung definiert und jährlich überprüft. Bei zu hohen Risiken werden Massnahmen zu deren Minderung definiert. Die Massnahmen werden ins ITpoint Systems AG CSI Register übertragen und abgearbeitet.
Die ITpoint Systems AG ergreift technische und organisatorische Sicherheitsmassnahmen zum Schutz und Erhalt aller unternehmenskritischen und für unsere Geschäftstätigkeit relevanten Systeme und Daten.
Technische Massnahmen:
Organisatorische Massnahmen:
Die Geschäftsleitung der ITpoint Systems AG trägt die Gesamtverantwortung für die Sicherheit, trifft Entscheidungen in diesem Bereich und verabschiedet die Security Policy. Periodisch, aber mindestens einmal pro Jahr, findet ein Management Review statt. Der Security Manager und der Process Manager erstellen einen konsolidierten ISO20000/27001 Management Bericht, welcher durch die Geschäftsleitung elektronisch signiert wird.
Der Bericht enthält mindestens die folgenden Aspekte im Bezug auf ISO27001:
Beschlossene Massnahmen werden im Protokoll dokumentiert.
Der CISO ist als Stabstelle zur Geschäftsleitung definiert. Er bildet die Schnittstelle vom Security & Compliance Team zur Geschäftsleitung. Der Chief Information Security Officer ist zuständig für:
Der Security & Compliance Manager ist mit der Sicherstellung des Schutzes von Informationswerten beauftragt und für die Umsetzung respektive Koordination von Sicherheits-Massnahmen verantwortlich.
Die Informationseigentümer stellen in ihrem Verantwortungsbereich sicher, dass
Jede Geschäftseinheit der ITpoint Systems AG ist für die Sicherheit ihrer Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit und einen angemessenen Schutz der Informationen entsprechend ihrem Wert und Risikos für das betreffende Geschäfts- oder technische Umfeld verantwortlich. Nutzer melden Verletzungen der Security Policy dem ServiceDesk, dieser zieht den Vorgesetzen bzw. den Security Manager hinzu. In den Service Verträgen wird auf die Pflichten der Informationsnutzer bei den Anwendern hingewiesen, ebenso in Verträgen mit externen Mitarbeitenden.
Mit Partner oder Lieferanten wird, falls Informationen ausgetauscht werden, ein Non Disclosure Agreement (NDA) unterschrieben. Das ITpoint Systems AG NDA gilt gegenseitig und für die im NDA definierte Zusammenarbeit. Sollten Mitarbeiter von Partner Zugriff auf ITpoint Systems AG Systeme bzw. einen ITpoint Systems AG Account benötigen, werden diese gleich behandelt wie interne Mitarbeiter. Sie müssen die Policies und Weisungen durchlesen und den Security Test absolvieren. Besucher müssen sich beim Zutritt zu einem ITpoint Systems AG Büro auf einer Besucherliste ein-tragen.
Der KrisenstabDer Krisenstab hat die Aufgabe, die Behandlung von geschäftskritischen Vorfällen (wie z.B. ein Major Incident), die zu Krisen eskaliert werden, zu steuern. Der Business Continuity Manager ist für die Entwicklung und kontinuierliche Verbesserung der Notfallvorsorge zuständig. Der Krisenstab setzt sich bei einem Major Incident mindestens aus dem Major Incident Manager und dem Communication Manager zusammen. Bei Bedarf werden GL Mitglieder und Team-Leiter hinzugezogen. Bei umweltbedingten Krisen (Pandemie, Umweltkatastrophe etc.) wird der Krisenstab nach Bedarf zusammengestellt (siehe z.B. Pandemieplan).
Diese Policy tritt mit Datum der Unterschrift in Kraft und wird elektronisch unterschrieben. Sie wird allen Parteien über unsere Webseite www.itpoint.ch sowie www.oria.ch verfügbar gemacht.
ITpoint Information Security Policy
Version: 1.5 | 03.06.2022