Inhaltsverzeichnis
2. Unternehmen und Geschäftsstrategie 2
4. Anforderungen an das ISMS 3
Einleitung
Die Informationssicherheitsleitlinie stellt die oberste Instanz des Informationssicherheitsmanagementsystems dar. Es gibt somit die „linke und rechte Grenze“ der Informationssicherheit vor. Auch dient sie zur Orientierung für sämtliche Interessierte Parteien des Unternehmens. Ziel ist es daher einen möglichst allumfassenden Überblick über die Leitgedanken des Unternehmens hinsichtlich der Informationssicherheit zu geben. Sie dient dem Zweck der Verankerung des ISMS im Unternehmen.
Unternehmen und Geschäftsstrategie
Die König Lackierfachbetrieb GmbH ist ein Familienunternehmen in zweiter Generation, welches im Jahr 1978 von Herrn Hans-Roger König gegründet wurde. Schon in den ersten Jahren hat Herr König Senior durch kleine eigene Innovationen sich einen Markt erschlossen, den er ständig weiter ausbaute. So wurde aus einem Einzelunternehmen ein mittelständisches Unternehmen, welches heute über 70 Mitarbeiter zählt.
Unser Unternehmen gliedert sich in folgende Fachbereiche:
Automotiv manuelle Kleinserien (spezialisiert auf Aluminium, Druckgussaluminium und Kunststoffe)
PKW-Lackierung
Industrielackierung mit Sandstrahlarbeiten
Line X Beschichtung
Forschung und Entwicklung für innovative Oberflächen.
Der Wettbewerb verlangt neben der Erbringung hochwertiger Dienstleistungen auch den Nachweis von Qualität und Sicherheit interner Prozesse.
Das Vertrauen unserer Kunden und unser Geschäftserfolg beruhen auf:
Der Einhaltung gesetzlicher Vorgaben (Datenschutz, Compliance),
Dem Schutz der Betriebsgeheimnisse unserer Kunden und einem vertraulichen Umgang mit deren Daten und
Der Erwartung, dass wir Projekte und Dienstleistungen sicher und pünktlich abwickeln.
Vor diesem Hintergrund ist der Geschäftserfolg unseres Unternehmens davon abhängig, dass wir bestehende Risiken für die genannten Ziele erkennen, durch geeignete Maßnahmen vermeiden und verbleibende Risiken geeignet behandeln.
Zu den Risiken zählen:
Die unvollständige bzw. nicht korrekte Einhaltung rechtlicher Vorgaben,
Die wissentliche oder unwissentliche unbefugte Weitergabe von Betriebsgeheimnissen oder schutzbedürftiger Informationen und
Die Verletzung von Vorgaben unserer Kunden aufgrund Datenverlustes, Systemausfall oder mangelhafter Zutrittskontrollen und Verbotsregelungen.
Aufgrund der Sicherheitsanforderungen unserer Kunden muss Informationssicherheit ein integraler Bestandteil unserer Unternehmenskultur sein. Jeder Mitarbeiter muss sich der Notwendigkeit der Informationssicherheit bewusst sein und die grundsätzlichen Auswirkungen von Risiken auf den Geschäftserfolg kennen.
Anwendungsbereich
Die vorliegende Informationssicherheitsleitlinie berücksichtigt dieses Erfordernis im Hinblick auf die Sicherheit der Informationsverarbeitung innerhalb unseres Unternehmens.
Sie gilt für:
Firma: König Lackierfachbetrieb GmbH
Adresse: Zunftstrasse 4, 06847 Dessau
Geschäftsführer: Roger König, Konstanze Sackewitz
Datenschutzbeauftragter: Frau Kanis
IS-Beauftragter: Ute Geißler
Anzahl Mitarbeiter/-innen: 70
Standorte: Zunftstrasse 4 – Produktionsstätte A
Anforderungen an das ISMS
Um den Anforderungen unserer Kunden gerecht zu werden, wurden folgende Stufen festgelegt:
Schutzbedarf: hoher Schutzbedarf
Zusatzanforderung: keine
Assessment Level: 2
Weitere Anforderungen, die durch die Einführung des Informationssicherheitsmanagementsystems umgesetzt wurden, sind:
Konformität zur TISAX® in ihrer aktuell gültigen Fassung,
Regelung aller für das Unternehmen sonstiger wichtigen Themen zur Informationssicherheit,
Umsetzbarkeit der Regelungen im Arbeitsalltag,
Fortlaufenden Optimierung und
Wirksamkeit des ISMS.
Sicherheitsziele
IT-Systeme, Anwendungen und Daten werden in technischen, technikabhängigen, kaufmännischen Bereichen und der Personalabteilung so gesichert, dass die Verfügbarkeit auf einem Niveau gewährleistet ist, dass ggf. auftretende Ausfallzeiten toleriert werden können. Zur Wahrung der Integrität sind Daten und Systeme so zu schützen, dass unautorisierte Änderungen und Manipulationen nahezu ausgeschlossen, sowie Fehlfunktionen auf ein Minimum begrenzt werden können.
Die getroffenen Sicherheitsmaßnahmen müssen in einem vertretbaren wirtschaftlichen Verhältnis zum Wert der zu schützenden IT-Systeme und Informationen stehen. Die Auswirkungen von Schadensfällen sind durch angemessene Maßnahmen auf ein vertretbares Maß zu reduzieren. Die Maßnahmen berücksichtigen sowohl präventive als auch detektive Ansätze. Wir definieren unsere Sicherheitsziele wie folgt:
Vertraulichkeit
Unter Vertraulichkeit verstehen wir den Schutz vor unbefugter Kenntnisnahme oder Preisgabe von Informationen. Dieses Ziel erreichen wir durch die Schulung und Sensibilisierung aller Mitarbeiter. Daten und Informationen werden ausschließlich einem eingeschränktem berechtigten Nutzerkreis zur Verfügung gestellt.
Unsere Kunden können sich sicher sein, dass die zur Verfügung gestellten Informationen vertraulich behandelt werden.
Unsere Mitarbeiter werden entsprechend geschult, um ein Bewusstsein für die vertraulichen Informationen zu erhalten.
Die IT-Infrastruktur befindet sich auf dem Stand der Technik und wird durch Firewall, Sicherheitssoftwares und abgesicherte Datenträger zusätzliche geschützt.
Integrität
Integrität bezeichnet einen Zustand, in dem Daten und Anwendungen unverändert und somit frei von unautorisierten Manipulationen zur Verfügung stehen. Dies bedeutet, dass Daten inhaltlich richtig vorliegen und dass Systeme sowie Anwendungen korrekt funktionieren.
Unsere Systeme sind ausreichend abgesichert, um die Integrität von Kunden- und firmeneigenen Daten sicherzustellen. Alle Arten von Veränderungen an Daten werden durch unsere Systeme erfasst und können nachverfolgt werden.
Verfügbarkeit
Verfügbarkeit bedeutet, dass Systeme, Anwendungen, Daten, Informationen und Prozesse einem berechtigten Personenkreis zum geforderten Zeitpunkt zur Verfügung stehen.
Durch eine geeignete und strukturierte Verteilung von Informationen in unserem firmeneigenen Netzwerk, gewähren wir unseren Mitarbeitern die Einsicht zu arbeitsrelevanten Anwendungen, Daten, Informationen und Prozessen, die für die Ausführung der für den Mitarbeiter relevante Arbeiten nötig ist.
Unseren Kunden steht im Rahmen unserer Kernarbeitszeiten, ein kompetenter Mitarbeiter zur Verfügung.
Regelungen
Zur Erreichung der Sicherheitsziele verpflichtet sich die Geschäftsführung ein Informationssicherheitsmanagementsystem einzuführen, zu betreiben und ständig zu verbessern.
Mit dem Betrieb eines Informationssicherheitsmanagementsystems (ISMS) wollen wir mögliche Risiken erkennen und minimieren. Für die Umsetzung der Ziele und Prinzipien des ISMS ist die Geschäftsführung verantwortlich.
Für Steuerung und Betrieb des ISMS wurde ein Informationssicherheitsbeauftragter (ISB) bestellt. Dieser ist dafür verantwortlich, einheitliche Vorgaben für den Sicherheitsprozess zu erstellen, für ausreichende Sensibilisierung aller Mitarbeiter zu sorgen sowie die Einhaltung aller Sicherheitsrichtlinien angemessen zu überprüfen. Der ISB berichtet in seiner Funktion direkt der Geschäftsführung.
Der ISB ist so früh wie möglich in alle relevanten Projekte einzubeziehen. Hierdurch werden Themen der Informationssicherheit und Sicherheitsaspekte schon in der Planungsphase berücksichtigt. Bei Projekten, die personenbezogene Daten betreffen, gilt gleiches für den Datenschutzbeauftragten.
Die Geschäftsführung behält sich vor, bei Nichtbeachtung der Informationssicherheitsrichtlinien arbeitsrechtliche Schritte einzuleiten.
Die Geschäftsführung wird die Sicherheitsorganisation und den Sicherheitsprozess aktiv unterstützen. Als Grundlage dient der Standard des VDA ISA Kataloges. Diese umfasst die Durchführung von regelmäßigen internen Audits, eine geeignete Steuerung der Dokumentation und Aufzeichnungen, eine Management-Bewertung sowie einen kontinuierlichen Verbesserungsprozess
Verteilung an Externe
Die Informationssicherheitsleitlinie kann zur Informationszwecken an alle interessierten Parteien (Kunden, Lieferanten, Dienstleister etc.) des Unternehmens verteilt werden. Mitarbeiter und externe Geschäftspartner werden über für sie relevante Änderungen informiert.
Diese Leitlinie ist online auf unserer Webseite hochgeladen.