Informationssicherheit (ISMS)

Hier geht es zu unseren 6 wichtigen Punkten für unsere sichere Zusammenarbeit

Hier geht es zur Checkliste, wie Sie sensible Daten schützen können

 

ISMS-Policy

1. Ausgangslage und Geltungsbereich

Die GLAUX GROUP AG zertifiziert sich nach der ISO-Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderungen. Dabei umfasst der Geltungsbereich der Zertifizierung die gesamte Firma GLAUX GROUP AG mit allen ihren Mitarbeitenden, inkl. des Remote Standortes der 100%igen Tochter Printcom Output-Management GmbH.

 

2. Ziele der Informationssicherheit

Die GLAUX GROUP AG hat sich folgende strategische Ziele gesetzt:

  • Angemessener Schutz von Informationen in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität.
  • Erfüllung der gesetzlichen, vertraglichen und internen Vorgaben im Bereich
    Informationssicherheit.
  • ISO 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten
    Weiterentwicklung der Firma nutzen.

3. Das ISMS der GLAUX GROUP AG

Im Informationssicherheits-Managementsystem (ISMS) der GLAUX GROUP AG werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der GLAUX GROUP AG gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult. Die Anwendung der ISMS-Regelungen ist zwingend und verbindlich. Das ISMS basiert auf dem nach 9001:2015 zertifizierten QMS-System.

 

4. Kontinuierliche Verbesserung

Das ISMS der GLAUX GROUP AG wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.

 

5. Organisation und Verantwortlichkeiten

5.1. Geschäftsleitung

Die Geschäftsleitung ist das oberste operative Entscheidungsorgan der Firma und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO.

5.2. Interne Mitarbeitende / Generell

Alle Mitarbeitende der GLAUX GROUP  AG, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Ebenso sind sie verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen, ihre Mitarbeitenden anzuleiten und bedarfsgerecht zu schulen.

5.3. CISO (Chief Information Security Officer)

Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und den Betrieb und die kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.

5.4. Asset Owner

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.

5.5. Risk Owner

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und -behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.

5.6. Weitere Rollen

Die Rollen sind im Qualitätsmanagementsystem QMS definiert. Die wichtigsten Rollen in Zusammenhang mit dem ISMS sind:

Leiter:in IT

Der:die Leiter:in IT ist verantwortlich für die Umsetzung der Massnahmen und ggf. verschiedene Risiken durch ihr Fachwissen bewerten.

Projektleiter:in

Der:die Projektleiter:in ist verantwortlich für die Anwendung des ISMS in seinen:ihren Projekten.

Product Manager

Der Product Manager ist verantwortlich für die Anwendung des ISMS im Design und der Entwicklung von Produkten.

Mitarbeitende

Die Mitarbeitenden müssen das ISMS und die Massnahmen dazu umsetzen.

Lieferantenmanager:in

Der Lieferantenmanager:in ist verantwortlich, dass für Lieferanten zugängliche Werte des Unternehmens geschützt werden.

Account Manager

Der Account Manager setzt die Massnahmen des ISMS als Anwender um und sensibilisiert die Kunden im Bereich Informationssicherheit.

5.7. Externe Mitarbeitende / Mitarbeitende von Dritten:

Die Regelungen der GLAUX GROUP AG im Kontext Informationssicherheit gelten entsprechend auch für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten.

 

6. Kontrollen

Die GLAUX GROUP AG überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.

 

7. Sanktionen

Die GLAUX GROUP AG vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und -weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.

 

8. Begriffsdefinitionen

8.1. Informationssicherheit

Unter der Informationssicherheit werden alle Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.

  • Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.
  • Integrität: Sicherstellen der Unversehrtheit und Vollständigkeit von
    Informationen und deren Verarbeitungsmethoden.
  • Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu
    Informationen und den zugehörigen Werten für berechtigte Benutzer:innen.

8.2. Informationssicherheits-Managementsystem (ISMS)

Unter einem ISMS wird verstanden:

  • Sämtliche Regeln, Verfahren und Prozesse innerhalb des
    Anwendungsbereichs, welche die Informationssicherheit definieren, steuern,
    durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
  • Die Dokumentation erfolgt mittels ISMS Framework, den Controls der SOA
    (Anwendbarkeitserklärung) und mit entsprechenden Policys,
    Prozessübersichten und weiteren Nachweisdokumenten.

8.3. CISO (Chief Information Security Officer)

Der CISO ist verantwortlich für die Informationssicherheit in seinem zugewiesenen Geltungsbereich.

6 wichtige Punkte für unsere sichere Zusammenarbeit

Die Sicherheit aller Daten steht bei uns ganz oben auf der Prioritätenliste. Wie die in den letzten Monaten passierten Vorfälle zeigen, braucht es Massnahmen von allen, um sicher in der heutigen Geschäftswelt unterwegs zu sein. 

Hier sind 6 wichtige Punkte, die Sie in der Zusammenarbeit mit uns beachten sollten, um die Sicherheit von uns allen zu gewährleisten:

security-password-lock (1)

Passwortsicherheit

Verwenden Sie starke Passwörter und ändern Sie sie regelmässig. Nutzen Sie eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Schreiben Sie diese nirgends auf und verwenden Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung.

laptop-refresh (2)

Softwareaktualisierungen

Halten Sie Ihr Betriebssystem, Ihre Anwendungen und Antivirensoftware auf dem neuesten Stand, um Sicherheitslücken zu schliessen. Ihre IT hilft Ihnen im konkreten Fall weiter.

email-death-treathened (1)

Phishing-E-Mails

Seien Sie vorsichtig bei E-Mails von unbekannten Absendern oder verdächtigen Links und Anhängen. Phishing-E-Mails sind eine häufige Methode für Cyberangriffe. Melden Sie Vorfälle sofort Ihrer IT.

file-security-shield (1)

Daten schützen

Stellen Sie sicher, dass sie den Datenschutz jederzeit richtig umsetzen. Übermitteln Sie nie sensible Daten an Dritte. Auch nicht an uns! 

office-book-shelf (1)

Sicherheitsschulungen

Schulen Sie sich und Ihre Mitarbeitenden regelmässig zu Informationssicherheit und Cybersecurity, um für den Umgang mit Daten und potenzielle Bedrohungen bereit zu sein.

megaphone-1 (1)

Notfallplanung

Entwickeln Sie einen Notfallplan für den Fall von Sicherheitsvorfällen und führen Sie regelmässige Notfallübungen durch.