Leitlinie zum Qualitätsmanagement und zur Informationssicherheit

1. Zweck, Anwender und Anwendungsbereich

Die Zufriedenheit und Sicherheit unserer Kunden ist unser höchstes Anliegen. Dies setzt voraus, dass auch unsere Lieferanten in den Leistungserbringungsprozess eingebunden sind und sich zur Einhaltung unserer Informationssicherheits- und Qualitätsmanagement Standards verpflichten.

Zielsetzung dieser Leitlinie ist die Klärung der Anforderungen hinsichtlich Informationssicherheit und Qualitätsmanagement. Diese sind durch die folgenden Standards definiert:

  • ISO 27001:2013
  • ISO 9001:2015
  • TISAX (Trusted Information Security Assessment Exchange)

Anwender dieser Leitlinie sind alle Mitarbeiter der cellent GmbH, sowie alle relevanten externen Parteien.

Diese Leitlinie gilt für alle angegliederten, sowie eigenständigen Organisationseinheiten, die zur cellent gehören oder in deren Netzinfrastruktur integriert sind.

2. Informationssicherheit: Grundbegriffe

  • Vertraulichkeit – die Eigenschaft von Informationen, dass sie unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar sind oder enthüllt werden
  • Integrität – die Eigenschaft der Absicherung von Informationen auf Richtigkeit und Vollständigkeit der Werte
  • Verfügbarkeit – die Eigenschaft von Informationen auf Verlangen zugänglich und nutzbar zu sein.
  • Informationssicherheit - Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen
  • Integriertes Managementsystem (IMS) – jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit und Qualitätsmanagement befasst

3. Verwaltung der Informationssicherheit

3.1. Politik, Zielvorgaben und Messung

Die Zielvorgaben unseres Integrierten Management Systems sind:

  • Sicherstellung der Kundenzufriedenheit
  • Einhaltung der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit
  • Erfüllung der gesetzlichen Vorgaben
  • Erhalt und Schutz des Images im Unternehmen
  • Minimierung der Schäden bei Vorfällen, die die Sicherheit gefährden
  • Erhöhung der Widerstandsfähigkeit des Unternehmens
  • Kontinuierliche Weiterentwicklung durch Umsetzung von Verbesserungsmaßnahmen
  • Einhaltung der Kundenanforderungen
  • Ausbau des Auftragsumfangs bei Neukunden
  • Gewinnung weiterer Services und Projekte bei Bestandskunden

Diese Ziele stimmen mit den Geschäftszielen, der Strategie und den Geschäftsplänen des Unternehmens überein. Die oberste Managementebene ist für die Überprüfung dieser generellen Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich. Maßnahmenziele für einzelne Sicherheitsmaßnahmen oder Gruppen von Sicherheitsmaßnahmen werden von dem Information Security Officer (ISO) vorgeschlagen und von der oberste Managementebene genehmigt. Die folgende Politik wurde festgelegt, um die Ziele des IMS zu erreichen:

  • Kundenbedürfnisse kennen und verstehen
  • Persönliche Kompetenzen optimieren
  • Reifegrad unseres Unternehmens optimieren
  • Ausgewogenes Preis- / Leistungsverhältnis
  • Wirtschaftliche Stabilität sichern
  • Schulung aller relevanter Mitarbeiter zur Sicherung des Informationssicherheitsstandards
  • Meldung von Informationssicherheitsvorfällen an den ISO oder die Interne IT
  • Berücksichtigung der Anforderung zur Informationssicherheit im Arbeitsumfeld
  • Ansprechpartner zu den Themen der Informationssicherheit sind der Information Security Officer (ISO), das Cert Team der internen IT und das ISMS Team mit Entscheidungsbefugnis auf Management Ebene. Dieses wird erreicht durch die weitergehenden, internen Richtlinien, die im Integrierten Management System hinterlegt sind.

3.2. Anforderungen an Informationssicherheit

Diese Richtlinie und das gesamte IMS müssen sowohl den rechtlichen und gesetzlichen Anforderungen, als auch den vertraglichen Verpflichtungen entsprechen, die für die Organisation auf dem Gebiet der Informationssicherheit maßgeblich sind.

3.3. Maßnahmen zur Informationssicherheit

Der Prozess zur Auswahl von Maßnahmen (Sicherheitsmaßnahmen) ist in der Methodik zur Risikoeinschätzung und Risikobehandlung definiert. Die Risikoanalyse ist im IMS abgelegt und alle darin aufgeführten Risiken sind der obersten Managementebene bekannt. Die gewählten Maßnahmen und deren Implementierungs-Status sind im IMS abgelegt.

3.4. Aufbau einer Sicherheitsorganisation

Der ISO wird durch das ISMS-Team bei den folgenden Themen unterstützt:

  • Beratung des ISO in übergreifenden Belangen der Informationssicherheit
  • Entwicklung von Sicherheitszielen, Sicherheitsstrategien und Sicherheitskonzepten
  • Überprüfung der Umsetzung von Sicherheitsrichtlinien
  • Steuern und Kontrolle von Sicherheitsprozessen
  • Konzipierung von Schulungs- und Sensibilisierungsinhalten für Informationssicherheit

Ferner kann bei Bedarf ein CERT (Computer Emergency Response Team) gebildet werden. CERT besteht aus Sicherheitsfachleuten, die bei der Lösung und Prävention von konkreten IT-Sicherheitsvorfällen mitwirken. Sowohl das ISMS-Team als auch CERT werden direkt an den ISB berichten und Vorfälle melden.

3.5. Leitlinien-Kommunikation

Die oberste Managementebene des Anwendungsbereiches hat sicherzustellen, dass alle Mitarbeiter von der cellent GmbH, sowie entsprechenden externen Parteien mit dieser Leitlinie vertraut sind.

4. Unterstützung der ISMS Umsetzung

Hiermit erklärt der Geschäftsführer, dass die IMS Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.

5. Gültigkeit

Diese Leitlinie wurde durch den Geschäftsführer freigegeben und gilt mit den im IMS hinterlegten Richtlinien und Verfahrensanweisungen für alle bei der cellent Beschäftigten sowie relevanten externen Parteien.

nach oben