Informations­sicherheits­management­system

Download ISO 27001 Certificate

Grund­regeln

Informationssicherheit betrifft NICHT nur das ISboard.
JEDER muss seine Haltung gegenüber verfügbaren, integren und vertraulichen Informationen im Arbeitsalltag und im Privatleben überdenken, um ein sicheres und zuverlässiges Umfeld für alle Menschen und alle Informationen zu schaffen.

Wir von control IT sorgen dafür, dass alle Informationen und Assets in hohem Maße geschützt sind.

Diese Graphik stellt unsere Politik auf Grundlage der Informationssicherheitsrichtlinie dar. Erstellt von Alesya B. und Mayleen K. Mai ’22 mit der Aufmerksamkeit und Unterstützung des ISexecutive. Angepasst im November ’22.

Scope

Entwicklung und Betrieb der Portfoliomanagementsoftware bison.box als SaaS in der Microsoft Azure Cloud
  • Regel #1

    Hauptziel

    Wir wollen ein positives Mindset und ein übliches Verhalten gegenüber der Informationssicherheit bei allen Stakeholdern in jedem Kontext unseres Geschäfts schaffen.

  • Regel #4

    IT Sicherheit

    Wir nutzen technische Maßnahmen zur Verwaltung der Zugangskontrolle, Kryptographie, physischen Sicherheit und einem sicheren Arbeitsumfeld.

  • Regel #7

    Arbeitsumfeld

    Wir sorgen für ein sicheres Arbeitsumfeld für unsere Mitarbeitende und alle Personen, die für uns arbeiten, indem wir eine Clean Desk Policy, ein Mobile Device Management, begrenzte Kommunikationskanäle, ein ordentliches Projektmanagementkonzept und eine wiederkehrende Lieferantensteuerung einführen.

  • Regel #2

    Compliance & Handhabung von Informations­sicherheits­vorfällen

    Wir haben ein System zur Behandlung aller Datenschutz- und Informationssicherheitsvorfälle in der Geschäftstätigkeit eingeführt. Wir ergreifen alle notwendigen Maßnahmen, um diese Art von Vorfällen zu bewältigen und zu vermeiden. Die Einhaltung von Vorschriften ist für uns sehr wichtig. Wir betrachten sie nicht nur als „Befolgen der Regeln“, sondern als wichtigen Teil unserer Zusammenarbeit mit allen Beteiligten rund um unser Geschäft.

  • Regel #5

    Dokumentations­management­system

    Wir klassifizieren unsere wichtigen, vertraulichen und geschäftskritischen Dokumente und verwalten sie ordnungsgemäß mit Hilfe des Dokumentationsmanagements und eines Klassifizierungskonzepts (öffentlich, intern, vertraulich, geheim), um ein schützenswertes Umfeld für alle Dokumente und Daten zu schaffen.

  • Regel #9

    Engagiertes Team

    Bei control IT wird ein lokales ISteam eingerichtet, das relevante Rollen wie den ISservice (führender verantwortlicher Bereichsbeauftragter), ISproduct (Verantwortlicher für alle produktbezogenen Themen) und IStechnology (Verantwortlicher für alle IT-bezogenen Themen) als lokale Sicherheitsbeauftragte für das ISMS umfasst.

  • Regel #3

    Personalsicherheit

    Wir schützen die Integrität, Vertraulichkeit und Verfügbarkeit
    aller Informationen unserer Mitarbeitenden und Bewerbern durch die Einführung von Richtlinien zu Bewusstsein, Maßregelung und Kompetenzen.

  • Regel #6

    Messung

    Wir verwenden eine nachhaltige Messung aller Erfolge, indem wir eine Reihe relevanter und aussagekräftiger KPIs verwenden, um ein wünschenswertes, auf Fakten und Tatsachen basierendes ISMS zu erreichen.

  • Regel #8

    Risikomanagement

    Wir verwenden und leben ein asset-basiertes Risikomanagement, um alle Risiken so weit wie möglich zu reduzieren und zu steuern und alle Assets und Prozesse mit dem Ziel einer stabilen und zuverlässigen Business-kontinuität zu schützen.

  • Regel #10

    Geschäftskontinuität

    Wir verwenden und leben ein Business Continuity Management System (BCMS) nach der Norm ISO 22301. Neben unserem umfassenden Risikomanagement sieht unser BCMS verschiedene Maßnahmen vor, wie z. B. eine Analyse der Auswirkungen auf den Geschäftsbetrieb, Pläne zur Aufrechterhaltung des Geschäftsbetriebs, Pläne zur Wiederherstellung im Katastrophenfall und Notfallpläne (Übungen) zum Schutz unserer (zeit-)kritischen Geschäftsprozesse.

  • Regel #1

    Hauptziel

    Wir wollen ein positives Mindset und ein übliches Verhalten gegenüber der Informationssicherheit bei allen Stakeholdern in jedem Kontext unseres Geschäfts schaffen.

  • Regel #2

    Compliance & Handhabung von Informations­sicherheits­vorfällen

    Wir haben ein System zur Behandlung aller Datenschutz- und Informationssicherheitsvorfälle in der Geschäftstätigkeit eingeführt. Wir ergreifen alle notwendigen Maßnahmen, um diese Art von Vorfällen zu bewältigen und zu vermeiden. Die Einhaltung von Vorschriften ist für uns sehr wichtig. Wir betrachten sie nicht nur als „Befolgen der Regeln“, sondern als wichtigen Teil unserer Zusammenarbeit mit allen Beteiligten rund um unser Geschäft.

  • Regel #3

    Personalsicherheit

    Wir schützen die Integrität, Vertraulichkeit und Verfügbarkeit
    aller Informationen unserer Mitarbeitenden und Bewerbern durch die Einführung von Richtlinien zu Bewusstsein, Maßregelung und Kompetenzen.

  • Regel #4

    IT Sicherheit

    Wir nutzen technische Maßnahmen zur Verwaltung der Zugangskontrolle, Kryptographie, physischen Sicherheit und einem sicheren Arbeitsumfeld.

  • Regel #5

    Dokumentations­management­system

    Wir klassifizieren unsere wichtigen, vertraulichen und geschäftskritischen Dokumente und verwalten sie ordnungsgemäß mit Hilfe des Dokumentationsmanagements und eines Klassifizierungskonzepts (öffentlich, intern, vertraulich, geheim), um ein schützenswertes Umfeld für alle Dokumente und Daten zu schaffen.

  • Regel #6

    Messung

    Wir verwenden eine nachhaltige Messung aller Erfolge, indem wir eine Reihe relevanter und aussagekräftiger KPIs verwenden, um ein wünschenswertes, auf Fakten und Tatsachen basierendes ISMS zu erreichen.

  • Regel #7

    Arbeitsumfeld

    Wir sorgen für ein sicheres Arbeitsumfeld für unsere Mitarbeitende und alle Personen, die für uns arbeiten, indem wir eine Clean Desk Policy, ein Mobile Device Management, begrenzte Kommunikationskanäle, ein ordentliches Projektmanagementkonzept und eine wiederkehrende Lieferantensteuerung einführen.

  • Regel #8

    Risikomanagement

    Wir verwenden und leben ein asset-basiertes Risikomanagement, um alle Risiken so weit wie möglich zu reduzieren und zu steuern und alle Assets und Prozesse mit dem Ziel einer stabilen und zuverlässigen Business-kontinuität zu schützen.

  • Regel #9

    Engagiertes Team

    Bei control IT wird ein lokales ISteam eingerichtet, das relevante Rollen wie den ISservice (führender verantwortlicher Bereichsbeauftragter), ISproduct (Verantwortlicher für alle produktbezogenen Themen) und IStechnology (Verantwortlicher für alle IT-bezogenen Themen) als lokale Sicherheitsbeauftragte für das ISMS umfasst.

  • Regel #10

    Geschäftskontinuität

    Wir verwenden und leben ein Business Continuity Management System (BCMS) nach der Norm ISO 22301. Neben unserem umfassenden Risikomanagement sieht unser BCMS verschiedene Maßnahmen vor, wie z. B. eine Analyse der Auswirkungen auf den Geschäftsbetrieb, Pläne zur Aufrechterhaltung des Geschäftsbetriebs, Pläne zur Wiederherstellung im Katastrophenfall und Notfallpläne (Übungen) zum Schutz unserer (zeit-)kritischen Geschäftsprozesse.