Deutsch-flag Deutsch
Englisch-flag
Englisch en

Informationssicherheitsrichtlinie - CROZ d.o.o.

Strategische Bedeutung und politischer Rahmen:

  • Die Geschäftsführung von CROZ d.o.o. ist der Ansicht, dass die Informationssicherheit von strategischer Bedeutung für das Unternehmen und seine Dienstleistungen ist.
  • Die Informationssicherheitspolitik definiert die Notwendigkeit eines Sicherheitssystems, seinen Umfang, seine Ziele, die Methoden zur Erreichung dieser Ziele, die Sicherheitskontrollen, die Rollen, die Verantwortlichkeiten und die Verwaltung der Politik.

Konzept und Bedeutung der Informationssicherheit:

  • Informationssicherheit umfasst den Schutz der Vertraulichkeit, Integrität, Verfügbarkeit, Unverletzlichkeit, Verantwortlichkeit, Glaubwürdigkeit und Zuverlässigkeit von Informationswerten.
  • Der Schutz von Informationsgütern umfasst Daten, Software, physische Güter, Dienstleistungen, Personal und immaterielle Güter.

Bedrohungen und Schutz:

  • Bedrohungen für Informationssysteme entstehen durch organisatorisches Versagen, menschliches Handeln, technische Gründe, höhere Gewalt und die Nichteinhaltung von Vorschriften.
  • Die Informationssicherheit schützt den Geschäftsbetrieb vor Unterbrechungen, Missbrauch und Fehlern und gewährleistet so die Geschäftskontinuität und Risikominderung.

Grundsätze und Quellen von Sicherheitskontrollen:

  • Zu den Grundsätzen gehören die Einhaltung rechtlicher Verpflichtungen, die Risikobewertung, die Festlegung von Rollen und Verantwortlichkeiten, interne Vereinbarungen, globale Ziele und die Verwaltung des Systemlebenszyklus.
  • Die Sicherheitskontrollen beruhen auf rechtlichen Verpflichtungen, Risikobewertungen und der Geschäftsstrategie von CROZ.

Globale Ziele für die Informationssicherheit:

  1. Bewusstseinsbildung: Förderung einer Kultur der Informationssicherheit durch Aufklärung und Messung der Zielerreichung.
  2. Effektive Sicherheitsorganisation: Definition von Sicherheitsrollen, Bereitstellung der erforderlichen Ressourcen und Rechte.
  3. Risikomanagement: Identifizierung und Klassifizierung von Vermögenswerten, Bewertung von Risiken und deren regelmäßige Kontrolle.
  4. Wirksame Sicherheitskontrollen: Auswahl von Kontrollen auf der Grundlage von Rechtfertigung und Kosteneffizienz.
  5. Geschäftskontinuität: Verwalten Sie die Geschäftskontinuität, um kritische Systemteile zu schützen.
  6. Individuelle Verantwortung: Jeder Benutzer ist für die Sicherheit in seinem Arbeitsbereich verantwortlich.
  7. Dokumentation: Führen Sie ein gut dokumentiertes Informationssicherheitsmanagementsystem.
  8. Interne Audits und Zertifizierung: Regelmäßige Durchführung von Audits zur Verbesserung des Systems.

Organisation und Zuständigkeiten:

  • Leitung: Genehmigt die Richtlinie, stellt Ressourcen und Unterstützung bereit.
  • CISO: Koordiniert die Umsetzung der Sicherheitsmaßnahmen und die Ausbildung.
  • Sicherheitsbüro: Setzt Richtlinien um, verwaltet Dokumentation und Vorfälle.
  • Referatsleiter: Setzen die Richtlinie in ihren Bereichen um.
  • Eigentümer von Vermögenswerten: Sie klassifizieren die Vermögenswerte und führen Kontrollen durch.
  • Spezialistenteam: Behebt Sicherheitsvorfälle.
  • Interne Prüfer: Führen Audits durch.

Umsetzungsmethode:

  • Die Informationssicherheitspolitik stützt sich auf die Normen ISO 27001:2022 und ISO 27002:2022.
  • Die Einrichtung des Systems umfasst die Risikobewertung, die Auswahl von Sicherheitskontrollen und die kontinuierliche Verbesserung des Systems durch Überwachung und Audits.

Dieses Dokument dient als grundlegender Rahmen für das Informationssicherheitssystem von CROZ und verpflichtet alle Angestellten und externen Mitarbeiter zur Umsetzung der festgelegten Richtlinie.