Informationssicherheit

Informationssicherheit ist für uns mehr als ein Standard - sie ist Teil unserer DNA.

Das Informationssicherheits-Managementsystem (ISMS) von amasol soll die Bemühungen von amasol zum Schutz seiner Informationsressourcen und IT-Infrastruktur sowie der Informationsressourcen und Infrastruktur unserer Kunden während des Beratungsprozesses ermöglichen und unterstützen. Die oberste Führungsebene von amasol verpflichtet sich, ausreichende Ressourcen (sowohl finanziell als auch personell) für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des ISMS bereitzustellen.

Umfang

Der Geltungsbereich des ISMS von amasol umfasst alle Geschäftsprozesse der amasol-Gruppe.

Ziele der Informationssicherheit

Das Hauptziel aller Informationssicherheitsmaßnahmen von amasol ist die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der Informationsressourcen.

• Vertraulichkeit ist eine „Eigenschaft, dass Informationen nicht für unbefugte Personen, Stellen oder Prozesse verfügbar gemacht oder offengelegt werden” (Referenz: DIN ISO 27000 3.10). Dieses Informationssicherheitsziel steht in engem Zusammenhang mit den Bemühungen von amasol, die einschlägigen lokalen Datenschutzbestimmungen (z. B. DSGVO oder Bundesdatenschutzgesetz in Deutschland) einzuhalten.

• Integrität ist die „Eigenschaft der Richtigkeit und Vollständigkeit von Informationen” (Referenz: DIN ISO 27000 3.36).

• Verfügbarkeit ist die „Eigenschaft, auf Anfrage von einer autorisierten Stelle zugänglich und nutzbar zu sein” (Referenz: DIN ISO 27000 3.7).

Es ist unerlässlich, dass amasol die Risiken für seine Informationsressourcen kontinuierlich identifiziert, bewertet und steuert. Ein Risikomanagementprozess wurde eingerichtet.

2. Wie wir sicherstellen, dass wir unsere Ziele im Bereich Informationssicherheit erreichen

Um unsere Ziele im Bereich Informationssicherheit zu erreichen, wurde ein ISMS geplant, entwickelt, eingeführt und wird kontinuierlich verbessert. Die wichtigsten Komponenten des ISMS von amasol sind:

2.1 Rollen und Verantwortlichkeiten

Die Geschäftsleitung von amasol hat eine Informationssicherheitsfunktion eingerichtet und einen Informationssicherheitsbeauftragten sowie ein Informationssicherheitsteam ernannt. Das Informationssicherheitsteam ist für die Konzeption, Umsetzung und Aufrechterhaltung des ISMS verantwortlich. Der Informationssicherheitsbeauftragte berät die Geschäftsleitung von amasol in allen Fragen der Informationssicherheit und übernimmt eine führende Rolle bei der Umsetzung und Aufrechterhaltung des ISMS.

Alle Mitarbeiter von amasol sind aufgefordert und verpflichtet, einen Beitrag zu den Informationssicherheitsbemühungen der Gruppe zu leisten.

2.2 Prozesse

Die Informationssicherheit ist ein integraler Bestandteil aller Prozesse von amasol.

2.3 Klassifizierung von Informationsressourcen

Alle Informationsressourcen, einschließlich, aber nicht beschränkt auf Dokumente, Anwendungen und Datenbanken, dürfen nur entsprechend ihrer Klassifizierung verwendet werden.

Die Klassifizierung wird von dem jeweiligen Eigentümer der Informationsressource vorgenommen.

Die Klassifizierungsmatrix hilft bei der Festlegung des geeigneten Schutzlevels sowie der zulässigen Verwendungszwecke in Bezug auf die Klassifizierung.

• Öffentlich

Informationen, die von allen interessierten Parteien gelesen werden können, d. h. für jedermann frei zugänglich sind, wie Pressemitteilungen, unsere Website, Whitepaper usw.

• Intern
Informationen, die innerhalb von amasol an alle weitergegeben werden können, aber grundsätzlich nicht für die Weitergabe an externe Parteien bestimmt sind.

• Vertraulich

Informationen, die aufgrund gesetzlicher Anforderungen (z. B. Datenschutz), Kundeninformationen oder Projektinformationen nur an eine bestimmte Personengruppe innerhalb von amasol weitergegeben werden dürfen. Diese Informationen dürfen nur an Mitarbeiter von amasol in Drittländern weitergegeben werden, wenn der Kunde der Übermittlung in ein Drittland in einer rechtsverbindlichen DPA zugestimmt hat.

• Streng vertraulich

Informationen, die aufgrund ihrer Art (z. B. Gehaltsangaben, Bewerbungen, Finanzdaten, Zugangsdaten für wichtige Anwendungen) nicht einmal an eine kleinere Gruppe von Personen weitergegeben werden dürfen.

2.4 Bestandsaufnahme der Informationsressourcen und Risikomanagementprozess

• amasol führt ein Verzeichnis seiner Informationsressourcen, das vom Informationssicherheitsteam kontinuierlich aktualisiert wird.

• Es wurde ein Risikomanagementprozess implementiert.

2.5 Schulung und Sensibilisierung

• Alle Mitarbeiter und Führungskräfte von amasol werden im Rahmen von Schulungen am Arbeitsplatz und außerhalb des Arbeitsplatzes geschult, einschließlich jährlicher obligatorischer Schulungen zu den Grundlagen der Informationssicherheit sowie situationsbezogener Schulungen, wann immer dies erforderlich ist.

• Die Geschäftsleitung von amasol stellt sicher, dass Fragen der Informationssicherheit in regelmäßigen Mitarbeiterversammlungen, Projektbesprechungen und Vertriebsbesprechungen behandelt werden, um das Bewusstsein zu schärfen und die Einhaltung der Vorschriften zu gewährleisten.

• Das Informationssicherheitsteam ist bestrebt, das Bewusstsein für die Aspekte der Informationssicherheit in der Geschäftstätigkeit von amasol in angemessener Weise zu schärfen.

3. Verpflichtung

• Die oberste Führungsebene von amasols verpflichtet sich, die Informationssicherheit als Priorität zu behandeln und alle geltenden Vorschriften und Bestimmungen einzuhalten.

• amasol verpflichtet sich als Organisation, sein ISMS aufrechtzuerhalten, zu bewerten und kontinuierlich zu verbessern.

4. Konsequenzen im Falle der Nichteinhaltung

Alle Mitarbeiter, Partner und Dienstleister von amasol, die Zugang zu den Informationsressourcen von amasol haben, sind verpflichtet, die Regeln und Vorschriften dieser Richtlinie einzuhalten. Als lernende Organisation ist amasol jedoch davon überzeugt, dass die meisten Verstöße versehentlich im Rahmen eines Lernprozesses geschehen. In unserem Bestreben, unser ISMS kontinuierlich zu verbessern, sind wir auf die Informationen von Mitarbeitern und Dritten angewiesen. Wird uns eine Nichteinhaltung gemeldet, werden wir den Sachverhalt untersuchen, das Bewusstsein für das betreffende Problem schärfen und die gesammelten Informationen zur Verbesserung unseres ISMS nutzen.

Sollte amasol zu irgendeinem Zeitpunkt feststellen, dass einer der Mitarbeiter vorsätzlich gegen die Standards zur Informationssicherheit verstößt, werden arbeitsrechtliche Konsequenzen gezogen.