Politik der Informationssicherheit
Definition von Informationssicherheit
Im Rahmen dieser Politik bezieht sich der Begriff Informationssicherheit auf die systematische Anwendung von Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Informationsbestände unserer Organisation. Sie umfasst Praktiken und Kontrollen, die dazu dienen, Informationen vor unbefugtem Zugriff, Offenlegung, Veränderung, Zerstörung oder Störung zu schützen. Das übergeordnete Ziel ist es, die Zuverlässigkeit und Sicherheit von Informationen während ihres gesamten Lebenszyklus innerhalb unserer Organisation zu gewährleisten.
| Vertraulichkeit | Vertrauliche Informationen müssen geheim gehalten und vor unbefugtem Zugriff geschützt werden. |
| Integrität | Sicherstellung, dass die Daten korrekt, vollständig und vertrauenswürdig bleiben. |
| Verfügbarkeit | Sicherstellen, dass Informationen und Ressourcen im Bedarfsfall zugänglich sind. |
Zweck der Politik
Zweck dieser Informationssicherheitspolitik ist es, einen Rahmen für den Schutz der Vertraulichkeit, der Integrität und der Verfügbarkeit der Informationsbestände unserer Organisation zu schaffen.
Anforderungen an das Informationssicherheitsmanagementsystem
Die im Rahmen unseres Informationssicherheits-Managementsystems zu schützenden Informationen werden durch gesetzliche Vorschriften, vertragliche Verpflichtungen, Erwartungen der Interessengruppen und Weisungen der Geschäftsleitung bestimmt. Darüber hinaus werden Risikobewertungen durchgeführt, um potenzielle Schwachstellen und Bedrohungen für unsere Informationsbestände zu ermitteln. Projektspezifische Kundenerwartungen und vertragliche Vereinbarungen zur Informationssicherheit werden im Rahmen des Projektmanagementprozesses bewertet und definiert. Erwartungen, die sich aus gesetzlichen Verpflichtungen ergeben, werden in Gesetzgebungslisten dargelegt und überwacht.
Umfang
Das Managementsystem für Informationssicherheit (ISMS) umfasst alle Aspekte unserer Geschäftstätigkeit, einschließlich:
- Geschäftsentwicklung & Vertrieb
- Technik und Validierung
- Betrieb und Qualitätssicherung
- Strategie und Marketing
- Produktmanagement
- Personalwesen und Finanzen
- Büroverwaltung
- IT-Tätigkeiten, einschließlich der Sicherheit der im Rahmen dieser Funktionen verarbeiteten Informationen
Darüber hinaus erstreckt sich die Richtlinie auch auf externe Abhängigkeiten, einschließlich:
- Cloud-Anbieter
- Drittanbieter von Dienstleistungen und Verkäufern
- Am Geschäftsbetrieb beteiligte Partner und Unterauftragnehmer
- Aufsichtsbehörden für die Einhaltung der Vorschriften
Alle Mitarbeiter, Auftragnehmer und externen Partner müssen sich an die in dieser Richtlinie dargelegten Grundsätze halten, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer Informationsbestände zu wahren.
Diese Prozesse und Aktivitäten werden von den unten aufgeführten Standorten aus verwaltet.
| Adresse-Vereinigtes Königreich | Warwick Technology Park, 11A Innovation Centre, Warwick CV34 6UW, Vereinigtes Königreich (Hauptsitz) |
| Telefon | +44 1(926) 623039 |
| Website | http://eatron.com/ |
| Adresse-Türkei | Katar Cad. Reşitpaşa Mahallesi İTÜ Ayazağa Yerleşkesi Arı-6 Binası 2/49/110, Sarıyer İstanbul |
| Telefon | +90 (212) 2767686 |
| Website | http://eatron.com/ |
Verpflichtungen für das Informationssicherheitsmanagementsystem
Wir verpflichten uns, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu gewährleisten, uns an den Strategien unserer Organisation zu orientieren und nationale und internationale Vorschriften, gesetzliche und vertragliche Anforderungen einzuhalten. Unser Ziel ist es, finanzielle/geschäftliche Verluste zu verhindern und unseren Ruf zu schützen, indem wir die Unterbrechung des Betriebs bei Sicherheitsvorfällen auf ein Minimum reduzieren. Um diese Ziele zu erreichen, verpflichten wir uns zu Folgendem
- Zuweisung der erforderlichen Ressourcen für das Informationssicherheitsmanagementsystem.
- Förderung des Bewusstseins und der Einhaltung der Sicherheitsanforderungen im gesamten Unternehmen.
- Unterstützung von Personen, die zur Wirksamkeit des Informationssicherheitsmanagementsystems beitragen.
- Förderung einer Kultur der kontinuierlichen Verbesserung.
Unsere Ziele
Um ein nachhaltiges und kontinuierlich verbessertes Managementsystem für Informationssicherheit (ISMS) einzurichten, haben wir die folgenden Ziele festgelegt:
- Erfüllung der Verpflichtungen zur Informationssicherheit gemäß den Vorschriften und vertraglichen Anforderungen.
- Begrenzung finanzieller/wirtschaftlicher Verluste und Wahrung des Rufs unserer Organisation durch Gewährleistung der Informationssicherheit für unsere Organisation und die mit ihr verbundenen Parteien.
- Aufrechterhaltung der Geschäftskontinuität inmitten von Widrigkeiten.
- Kontinuierliche Verbesserung unseres ISMS.
Um diese Ziele zu erreichen, werden wir regelmäßig Maßnahmen im Zusammenhang mit Risikobewertungen, internen/externen Audits, technischen Compliance-Prüfungen, Aufzeichnungen über Vorfälle und Ergebnisse von Leistungsmessungen bewerten und überprüfen.
Rollen und Zuständigkeiten des ISMS
Für die Informationssicherheit ist jeder verantwortlich, und deshalb müssen alle Mitarbeiter die Richtlinien verstehen und befolgen, die Verfahren befolgen und vermutete oder tatsächliche Verstöße melden. Spezifische Rollen und Verantwortlichkeiten für den Betrieb des ISMS sind definiert und in den organisatorischen Rollen und Verantwortlichkeiten festgehalten.
Überwachung
Die Organisation gewährleistet die laufende Einhaltung der Richtlinien und Verfahren des ISMS durch regelmäßige Überwachungsmaßnahmen. Zu diesen Aktivitäten gehören Überprüfungen durch das Management, interne Audits durch geschultes Personal und externe Audits durch unabhängige Prüfer. Durch die regelmäßige Bewertung der Einhaltung der festgelegten Protokolle kann die Organisation Bereiche mit Verbesserungspotenzial ermitteln und die Wirksamkeit ihrer Maßnahmen zur Informationssicherheit sicherstellen.
Nichteinhaltung von Vorschriften
Jeder vermutete oder tatsächliche Verstoß gegen die Informationssicherheitspolitik muss unverzüglich dem ISMS-Verantwortlichen oder dem zuständigen Manager gemeldet werden. Nach Eingang einer Meldung wird eine gründliche Untersuchung durchgeführt, um die Grundursache zu ermitteln. Es werden Abhilfemaßnahmen ergriffen, um das Problem zu beheben und eine Wiederholung zu verhindern, basierend auf den Verfahren des Unternehmens für das Management von Zwischenfällen.
Die Nichteinhaltung von Informationssicherheitsrichtlinien kann zu disziplinarischen Maßnahmen führen, wie sie in den Disziplinarrichtlinien der Organisation festgelegt sind. Solche Maßnahmen können je nach Schwere und Häufigkeit des Verstoßes mündliche oder schriftliche Verwarnungen, Suspendierung, Kündigung des Arbeitsverhältnisses oder rechtliche Schritte umfassen.