Informationssicherheitspolitik

Motivation und Verpflichtung

Die Symbioworld GmbH ist führender Anbieter eines webbasierten integrierten Managementsystems (Prozesse, Qualität, Umwelt, Informationssicherheit, Risiken …). Wir sehen die Informationssicherheit als wesentliche Voraussetzung für unseren Geschäftserfolg. Deshalb betreiben wir ein Informationssicherheits-Managementsystem nach ISO 27001.

Wir verpflichten uns die daraus und aus unserer Geschäftstätigkeit resultierenden Anforderungen umzusetzen, das System kontinuierlich weiterzuentwickeln und die notwendigen Ressourcen bereitzustellen. Durch die Integration aller Geschäftsprozesse in das System stellen wir sicher, dass alle Aspekte der Informationssicherheit berücksichtigt sind und jederzeit wirkungsvoll, nachhaltig und angemessen behandelt werden.

Ziel und Geltungsbereich

Unsere Unternehmensstrategie und Informationssicherheitspolitik verfolgen das Ziel alle zur Gewährleistung der Informationssicherheit erforderlichen Maßnahmen zu definieren und Prozesse zu betreiben, um Sicherheitsvorfälle zu verhüten und Schäden für unsere Organisation, unsere Kunden und Geschäftspartner sowie Behörden und weitere Interessengruppen zu minimieren.

Die hier formulierte Informationssicherheitspolitik gilt für alle Unternehmensbereiche und Standorte. Sie zielt auf die Gewährleistung von

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit

sowohl der eigenen Daten und Informationen, als auch der Daten und Informationen unserer Mitarbeiter und Geschäftspartner ab.

Adressaten und Informationssicherheitsbewusstsein

Unsere Informationssicherheitspolitik ist Handlungsanweisung für alle Mitarbeitenden sowie für Dritte, die

  • an Geschäftsprozessen der Organisation beteiligt sind,
  • als Dienstleister für die Organisation tätig sind,
  • auf klassifizierte Informationen zugreifen,
  • Zugang zu internen informationsverarbeitenden Systemen erhalten oder
  • Zutritt zu Räumen und Bereichen mit erhöhtem Schutzbedarf gewährt bekommen.

Jeder einzelne kann durch sein Verhalten dazu beitragen, die Informationssicherheit zu erhöhen. Neben einem stets achtsamen Umgang mit Daten und Informationen bieten die Regelungen und Prozesse, die sich die Organisation selbst gegeben hat, den Rahmen für das tägliche Handeln.

Grundsätze

Alle Mitarbeitenden werden in regelmäßigen Zeitabständen zu den aktuellen Regelungen und Prozessen geschult. Neue Mitarbeitende werden bei ihrem Eintritt in die Organisation in die Informationssicherheitspolitik sowie in die grundlegenden Regelungen und Prozesse eingewiesen. Jeder Mitarbeitende muss die für ihn geltenden Regelungen und Prozesse kennen und diese einhalten, um gemeinsam die notwendige Sicherheit für Daten und Informationen zu schaffen.

Daten und Informationen werden klassifiziert und mit Verfahren bearbeitet, die ihrer Klassifizierung angemessen sind.

Die Organisation betreibt ein Risikomanagementsystem mit dem Ziel, Risiken für die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten und Informationen zu erkennen und auf ein Minimum zu begrenzen.

Veränderungen von Systemen und Anwendungen unterliegen einem definierten Change-Management-Prozess, der die Aspekte der Informationssicherheit berücksichtigt. 

Die Organisation verwendet ein Berechtigungskonzept, das das Minimalprinzips bei Berechtigungen umsetzt.

Die Organisation weist die Wirksamkeit ihres ISMS durch anerkannte Zertifikate und Label nach.

Kontinuierlicher Verbesserungsprozess (KVP)

Die Wirksamkeit und Weiterentwicklung des Informationssicherheits-Managementsystems wird jährlich sowohl in internen Audits als auch durch eine unabhängige Zertifizierungsstelle überprüft. Abweichungen und Verbesserungspotentiale aus den Auditierungen werden analysiert und führen durch die Anwendung geeigneter Maßnahmen zur Verbesserung der Informationssicherheit. Darüber hinaus stellen regelmäßige Effektivitäts- und Effizienzbewertungen die Wirksamkeit und Weiterentwicklung des Informationssicherheits-Managementsystems sicher und die Identifikation und Behandlung von Risiken wird im Rahmen der Managementbewertung überwacht und gesteuert.

Durchsetzung und Sanktionierung

Die Leitung der Organisation trägt die Verantwortung dafür, dass die Informationssicherheitspolitik angemessen umgesetzt wird. Eine Einhaltung der Regelungen und Prozesse wird mittels Kennzahlen kontinuierlich überwacht und im Verdachtsfall aktiv kontrolliert. Wird im Rahmen der Kontrolle festgestellt, dass Mitarbeitende die Regelungen und Prozesse nicht beachten, werden diese Mitarbeitenden über deren Verpflichtung belehrt. Gegebenenfalls wird die Missachtung sanktioniert.

TÜV SÜD Zertifikat für den Geltungsbereich Beratungsleistung im Prozessmanagement, Softwareentwicklung und Cloud-Betrieb:

Symbio ist ISO 27001 zertifiziert.

Link zum Zertifikat