Informationssicherheitsleitlinie

HomeInformationssicherheitsleitlinie

Informationssicherheitsleitlinie

1. Präambel

Die Firma Clean-Lasersysteme GmbH, nachfolgend „cleanLASER“ genannt, ist ein Unternehmen, das hochwertige Laser für die industrielle Bauteilreinigung und Oberflächenbearbeitung herstellt.
cleanLASER garantiert eine ausgereifte Technologie mit höchster Verfügbarkeit, um durch die Qualität der Produkte eine optimale Kundenzufriedenheit sicherzustellen.
cleanLASER verpflichtet sich zu höchsten Standards der Informationssicherheit, um neben den Unternehmenswerten auch die sensiblen Daten seiner Kunden, Partner und Mitarbeiter zu schützen.
cleanLASER verpflichtet sich sowohl zur Einhaltung eines angemessenen Informationssicherheitsniveaus auf Basis internationaler Normen und Standards, als auch zu den Anforderungen der Automobilindustrie „TISAX“, die aufgrund der Zusammenarbeit und des Austausches sensibler Daten erfüllt werden müssen.

2. Zweck

Diese Informationssicherheitsleitlinie legt die Grundsätze, Richtlinien und Verfahren zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen bei cleanLASER fest.
Diese Leitlinie bildet die Grundlage für die Implementierung eines Informationssicherheits-Managementsystems (ISMS). Ziel des ISMS ist die Aufrechterhaltung des Geschäftsbetriebes und die Unterstützung der Geschäftsleitung bei der Wahrnehmung ihrer Verantwortung für die Informationssicherheit.
Durch das ISMS wird die Erreichung und Aufrechterhaltung des erforderlichen Sicherheitsniveaus aller schützenswerten Informationswerte im Verantwortungsbereich der cleanLASER angemessen sichergestellt. Das ISMS umfasst Aufbauorganisation, Ablauforganisation (Prozesse) und Regelwerke, die geeignet sind, die Planung, Umsetzung, Überprüfung und Anpassung von Sicherheitsmaßnahmen im Geltungsbereich zu gewährleisten.
Die Leitlinie dient als Rahmenwerk für alle Mitarbeiter, Auftragnehmer und Partner, um sicherzustellen, dass Informationssicherheit prioritär behandelt wird.

3. Geltungsbereich

Die Informationssicherheitsleitlinie gilt für alle Geschäftsbereiche von cleanLASER. Sie umfasst alle schutzwürdigen Informationen, unabhängig von ihrer Form, Verarbeitung oder Speicherung, die im Rahmen der Geschäftsprozesse verarbeitet werden. Werden Dritte mit der Erbringung von Leistungen beauftragt, wird durch geeignete Verfahren sichergestellt, dass die Informationssicherheitsleitlinie auch in den Leistungsbeziehungen berücksichtigt wird.

4. Bezug der Informationssicherheit zu den Zielen und Aufgaben von cleanLASER

Informationssicherheit umfasst die Summe aller organisatorischen und technischen Maßnahmen, die die Unternehmensziele im Umgang mit Informationen aller Art unterstützen. Im Rahmen der Geschäftstätigkeit werden Informationen erhoben und verarbeitet, an deren Schutz hohe Anforderungen gestellt werden.
Die Gesamtverantwortung für die Steuerung und Umsetzung der Informationssicherheit liegt bei der Geschäftsleitung.

5. Sicherheitsziele

Die Einhaltung der allgemeinen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität – ist Gegenstand der vorliegenden Leitlinie zur Informationssicherheit.
Die Anforderungen an die Informationssicherheit im Unternehmen ergeben sich aus verschiedenen Bereichen. Dazu gehören gesetzliche, regulatorische, vertragliche und wirtschaftliche Aspekte.
Alle relevanten Informationswerte werden kontinuierlich erfasst, nach einer festgelegten Methodik bewertet und nach einem abgestimmten Schutzbedarf kategorisiert.
Die für die Informationsverarbeitung getroffenen Maßnahmen zur Erreichung eines angemessenen Sicherheitsniveaus in Bezug auf die Schutzziele werden abgestimmt und nach dem Stand der Technik umgesetzt.
Dokument: Informationssicherheitsleitlinie Seite 3 von 5
Stand vom:01.01.2023 Dokumentennr.: ISMS_0001
Ersetzt: Erstellt von: VW
Klassifizierung: 2 Freigeben von: MG
Alle Mitarbeiter des Unternehmens halten die einschlägigen Gesetze und vertraglichen Regelungen ein.
Negative Auswirkungen auf das Unternehmen und die Mitarbeiter müssen vermieden werden.

6. Sicherheitsstrategie und Aufbauorganisation

cleanLASER strebt ein angemessenes Sicherheitsniveau im Umgang mit schützenswerten Informationen an und orientiert sich bei der Umsetzung des ISMS unter anderem an den Vorgaben des VDA ISA-Katalogs und den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Als Regelwerk des ISMS dient die Informationssicherheitsleitlinie als oberste Richtlinie.
Eine geeignete Sicherheitsorganisation ist eingerichtet, um die Ziele der Informationssicherheit zu erreichen.
Zur Sicherheitsorganisation gehören:
– Informationssicherheitsbeauftragter (ISB)
– Externer Datenschutzbeauftragter (DSB)
– Leiter der IT-Abteilung
– Ein Mitglied der Geschäftsleitung
Ein Informationssicherheitsbeauftragter (ISB) ist benannt und bestellt. Der ISB berichtet in seiner Funktion direkt an die Geschäftsführung und ist in Informationssicherheitsfragen den Mitarbeitern gegenüber weisungsbefugt.
Der Leiter der IT-Abteilung ist verantwortlich für die Planung, Umsetzung und Durchführung aller für das Unternehmen relevanten IT-Themen und stimmt sich regelmäßig und nach Bedarf mit den Mitgliedern der Sicherheitsorganisation ab.
cleanLASER führt laufend Bedarfsanalysen durch. Für die notwendigen Verfahrensanweisungen werden Mindestsicherheitsstandards festgelegt. Diese werden detailliert beschrieben, veröffentlicht und in Form verschiedener Dokumente wie Richtlinien, Prozess- und Arbeitsanweisungen zur Verfügung gestellt.
Die Sicherheitsstrategie berücksichtigt alle Aspekte der Organisation. Dazu gehören technische, physische und menschliche Aspekte. cleanLASER sorgt dafür, dass alle technischen und organisatorischen Maßnahmen angemessen und wirksam sind und dass alle Personen durch geeignete Aus-, Fort- und
Dokument: Informationssicherheitsleitlinie Seite 4 von 5
Stand vom:01.01.2023 Dokumentennr.: ISMS_0001
Ersetzt: Erstellt von: VW
Klassif izierung: 2 Freigeben von: MG
Weiterbildungsmaßnahmen, die zur Erreichung der Ziele der Informationssicherheit notwendige Kompetenz besitzen.

7. Umsetzung der Informationssicherheitsleitlinie

Zur Gewährleistung eines angemessenen Informationssicherheitsniveaus werden personelle und finanzielle Ressourcen im erforderlichen Umfang bereitgestellt. Die Planung der Mittel erfolgt im Einvernehmen mit dem ISB und steht im Verhältnis zu den identifizierten Chancen und Risiken.
Zur systematischen Dokumentation der Risiken wird im Rahmen des ISMS ein Risikomanagement eingesetzt. Verbleibende Risiken werden in letzter Konsequenz von der Geschäftsführung getragen.
Der ISB wird über die Prozessverantwortlichen bei allen technischen und organisatorischen Änderungen, die Auswirkungen auf die Informationssicherheit haben, frühzeitig eingebunden.
Die Sensibilisierung und Schulung der Mitarbeitenden im Bereich der Informationssicherheit wird jährlich und nach Bedarf durchgeführt.

8. Sicherheitsorganisation (Ablauforganisation)

Die Geschäftsführung ist berechtigt, Aufgaben des Informationssicherheitsmanagements zu delegieren. Die Gesamtverantwortung für die Gewährleistung der Informationssicherheit bleibt unabhängig davon, ob und wie Teilaufgaben delegiert werden, bei der Geschäftsleitung.
Rollen und Verantwortlichkeiten, um die Informationssicherheit zu entwickeln, umzusetzen, zu steuern und zu überprüfen, können vom ISB an Mitarbeitende der Sicherheitsorganisation delegiert werden.

9. Ansprechpartner

Der ISB dient als zentraler Ansprechpartner für alle Fragen der Informationssicherheit (intern und extern). Dieser nimmt jederzeit Hinweise auf eventuelle Verstöße, Vorschläge und Anregungen entgegen.

10. Verpflichtung zur kontinuierlichen Verbesserung

Bei der Informationssicherheit handelt es sich um einen kontinuierlichen Prozess, der regelmäßig neu bewertet und gegebenenfalls angepasst werden muss, um der sich ändernden Bedrohungslage, den regulatorischen Anforderungen und der technischen Entwicklung gerecht zu werden. Der ISB sorgt daher für eine kontinuierliche Überprüfung und Weiterentwicklung der Sicherheitsstrategie.
Das ISMS wird in regelmäßigen Abständen auf seine Vollständigkeit, Angemessenheit und Wirksamkeit hin überprüft.
Alle Mitarbeiter sind aufgefordert, mögliche Verbesserungen oder Schwachstellen an die jeweils Verantwortlichen zu melden. Um das angestrebte Sicherheitsniveau zu gewährleisten, werden die Regelungen einer kontinuierlichen Überprüfung unterzogen und eingehalten. Festgestellte Abweichungen werden analysiert mit dem Ziel der nachhaltigen Verbesserung der Sicherheitssituation und der Anpassung der Maßnahmen an den jeweils aktuellen Stand der Technik.

11. Inkraftsetzung

Die Richtlinie zur Informationssicherheit tritt mit Freigabe durch die Geschäftsführung in Kraft und wird unverzüglich allen Mitarbeitern zur Kenntnis gebracht.

12. Schlussbestimmung

Diese Informationssicherheitsleitlinie ist verbindlich für alle Mitarbeiter, Auftragnehmer und Partner unserer Organisation. Verstöße gegen diese Leitlinie können zu Disziplinarmaßnahmen führen. Die Geschäftsführung überwacht die Umsetzung und Wirksamkeit dieser Leitlinie regelmäßig und passt sie bei Bedarf an.

KONTAKT

Sie haben Fragen? Wir helfen Ihnen gerne weiter.

Nehmen Sie hier Kontakt auf