Politik der Informationssicherheit

Espiral MS ist der Ansicht, dass Informationen eines der wichtigsten Güter sind, um unseren Kunden Produkte und Dienstleistungen anbieten zu können, und daher angemessen geschützt werden müssen. Aus diesem Grund hat Espiral MS das Informationssicherheitsmanagement in sein Managementsystem integriert, um klare Richtlinien und Sicherheitsmaßnahmen zu etablieren:

– die Gewährleistung der Vertraulichkeit1 , Integrität2 und Verfügbarkeit3 von Informationen,

– die Einhaltung der von der Organisation selbst festgelegten und mit ihren Kunden vereinbarten Sicherheitsanforderungen zu gewährleisten,

– die Einhaltung der geltenden Gesetze, Vorschriften und Normen zu gewährleisten,

– die Kontinuität der Organisation und ihrer Geschäftsabläufe zu gewährleisten.

Die Infrastruktur, die die Dienste unterstützt, sowie die Informationen und Anwendungen, die die von Espiral MS angebotenen Dienste verwalten, fallen in den Anwendungsbereich des Informationssicherheits-Managementsystems, das in das Managementsystem integriert ist, und daher sind die darin festgelegten Richtlinien, Ziele und Verfahren anwendbar.

Die Anwendung, die für das Asset Management und die Risikoanalyse verwendet wird, ermöglicht eine Risikobewertung nach Diensten. Zu diesem Zweck wurden die in das Managementsystem einbezogenen Dienste definiert und die mit jedem dieser Dienste verbundenen Informationswerte identifiziert.

Das interne Support-Personal von Espiral MS ist für die Einrichtung und Aufrechterhaltung der notwendigen Sicherheitsmaßnahmen für die korrekte Erbringung der Dienstleistungen verantwortlich. Jeder Sicherheitsvorfall in den Systemen, die den Service unterstützen, muss gemeldet und registriert werden.

Ziel

Das Ziel dieser Informationssicherheitspolitik ist es, klare Richtlinien und Sicherheitsmaßnahmen festzulegen, um die vertraulichen Informationen der Organisation zu schützen, die Verfügbarkeit und Zuverlässigkeit der Informationssysteme zu gewährleisten und die geltenden Sicherheitsvorschriften und -standards einzuhalten.

Die Sicherheitsrichtlinie ist für alle Mitarbeiter verbindlich. Er gilt auch für den gesamten Geltungsbereich, der im nachstehenden Rahmenwerk aufgeführt ist.

Verpflichtungen

Der Sicherheitsausschuss fördert die Umsetzung aller organisatorischen, verfahrenstechnischen, physischen und logischen Kontrollen, die erforderlich sind, um die Informationswerte von Espiral MS angemessen zu schützen, und zwar mit Hilfe dessen, was in dieser Richtlinie oder anderen Elementen der Aufsichtsbehörde angegeben ist (abgeleitete Richtlinien, Verfahren, Baselines, technische Anweisungen usw.), und kanalisiert diese in die verschiedenen Bereiche und Geschäftsprozesse.

Bei Espiral MS wird die Bedeutung der Informationssicherheit auf konkretere Weise manifestiert:

– Verpflichtung zur Vertraulichkeit: Das Unternehmen verpflichtet sich, die Vertraulichkeit von Informationen zu schützen und sicherzustellen, dass nur befugte Personen Zugang zu ihnen haben. Der Zugang zu Systemen und Daten sollte eingeschränkt werden und nur autorisierten Benutzern auf der Grundlage ihrer Rolle und der Notwendigkeit, etwas zu wissen, gewährt werden. Und es müssen angemessene Authentifizierungskontrollen implementiert werden.

– Verpflichtung zur Integrität der Informationen: Das Unternehmen verpflichtet sich, die Integrität der Informationen zu gewährleisten und jede unbefugte Änderung oder Veränderung zu verhindern.

– Verpflichtung zur Verfügbarkeit von Informationen: Das Unternehmen verpflichtet sich, die ständige Verfügbarkeit von Informationen für autorisierte Nutzer zu gewährleisten. Dies beinhaltet die Umsetzung von Maßnahmen zum Schutz vor Unterbrechungen und Ausfällen sowie die Implementierung geeigneter Business-Continuity-Pläne.

– Verpflichtung zu einer angemessenen Reaktion auf Sicherheitsvorfälle: Das Unternehmen hat einen Prozess für das Management von Sicherheitsvorfällen eingerichtet, der die Meldung, Untersuchung, Reaktion und Wiederherstellung nach Sicherheitsvorfällen umfasst. Das Unternehmen wird sich bemühen, Verbesserungen einzuführen, die dazu beitragen können, ähnliche Vorfälle in Zukunft zu verhindern.

– Verpflichtung zum Risikomanagement: Das Unternehmen hat sich verpflichtet, Risiken für die Informationssicherheit zu identifizieren, zu bewerten und zu managen.

– Verpflichtung zum Schutz der Privatsphäre: Das Unternehmen verpflichtet sich, die Privatsphäre der persönlichen Daten von Personen zu schützen, indem es die geltenden Datenschutzgesetze und -vorschriften einhält und, falls erforderlich, eine entsprechende Zustimmung einholt.

– Engagement für Bildung und Bewusstsein: Das Unternehmen engagiert sich für die Sensibilisierung und Schulung aller Mitarbeiter im Bereich der Informationssicherheit sowie für die Förderung guter Praktiken bei der Nutzung technologischer Ressourcen.

– Verpflichtung zur Überwachung und Einhaltung: Das Unternehmen verpflichtet sich, regelmäßige interne und externe Prüfungen durchzuführen, um die Einhaltung der Sicherheitsrichtlinien und -standards zu gewährleisten. Darüber hinaus verpflichtet sich das Unternehmen, rechtzeitig Maßnahmen zu ergreifen, wenn Sicherheitsverstöße festgestellt werden.

– Verpflichtung zur kontinuierlichen Verbesserung: Das Unternehmen hat sich verpflichtet, die Kontrollen der Informationssicherheit ständig zu überprüfen und zu verbessern und dabei den technologischen Fortschritt, neue Bedrohungen und die aus früheren Vorfällen gewonnenen Erkenntnisse zu berücksichtigen.

– Verpflichtung zur externen Zusammenarbeit: Das Unternehmen verpflichtet sich zur Zusammenarbeit mit externen Gremien und Einrichtungen, wie z.B. Regierungsbehörden und Organisationen zum Austausch von Bedrohungsdaten, um relevante Informationen auszutauschen und den Kampf gegen Cyberkriminalität zu unterstützen.

Wenn Sie unsere gesamte Sicherheitspolitik kennenlernen möchten, können Sie uns kontaktieren.