Erfüllung von Rechtsvorschriften und vertragliche Anforderungen

Darüber hinaus bestehen Verpflichtungen zur Gewährleistung der Informationssicherheit und des Datenschutzes aufgrund von Gesetzen, wie z. B. dem Datenschutzgesetz (DSGVO), sowie vertragliche Verpflichtungen gegenüber Kunden, Mitarbeitenden und Projektpartnern.

Bedeutung der Informationssicherheit

Der Schutz der Informationen und der Kommunikationsinfrastruktur der Drescher Consulting GmbH vor Missbrauch, Manipulation, Störungen sowie dem Schutz gespeicherter und verarbeiteter Daten vor Ausspähen hat für das Unternehmen existenzielle Bedeutung.

Die Drescher Consulting GmbH versteht Informationssicherheit als unverzichtbaren Kundenservice, der Vertraulichkeit, Verfügbarkeit und Integrität sicherstellt.

Informationssicherheitsziele und Maßnahmen zur Erhaltung der Informationssicherheit

Die Ziele der Informationssicherheit sind es, einen anhaltenden geschäftlichen Erfolg und einen kontinuierlichen Geschäftsbetrieb sicherzustellen. Daher erfolgt die Sicherstellung der Informationssicherheit im ureigenen Interesse der Drescher Consulting GmbH, aber auch im Sinne von deren interessierten Parteien, wie z B. Kunden, Mitarbeitenden, Lieferanten und Geschäftspartnern. Um Informationssicherheit in möglichst großem Umfang zu gewährleisten, ist das Management von angemessenen Sicherheitsmaßnahmen unter Berücksichtigung einer großen Bandbreite von Risiken erforderlich.

• Die Drescher Consulting GmbH schützt ihre eigene Arbeitsfähigkeit, Vertrauenswürdigkeit und Zuverlässigkeit: Schutz der Reputation.
• Die Drescher Consulting GmbH schützt die Vertraulichkeit der verarbeiteten und gespeicherten Informationen ihrer Kunden, Geschäftspartner und Mitarbeitenden.
• Die Drescher Consulting GmbH schützt vertrauliche Informationen wie z.B. Geschäftsprozesse, Vertragsdaten oder sonstige Geschäftsgeheimnisse.
• Die Drescher Consulting GmbH gewährleistet die Verfügbarkeit ihrer IT-Systeme, Programme und Informationen.
• Die Drescher Consulting GmbH schützt die Integrität ihrer IT-Systeme, Programme und Informationen.
• Die Drescher Consulting GmbH verhindert den Missbrauch ihrer IT-Systeme, Programme und Informationen vor zweckwidriger Nutzung und Nutzung durch Unbefugte.
• Die Drescher Consulting GmbH schützt die erhaltenen und zu verarbeitenden Kundeninformationen vor Missbrauch, Fremdnutzung und unbefugten Zugriffen.

Schutzmaßnahmen

Die Schutzmaßnahmen umfassen:

• technische Maßnahmen (Software, Hardware, Konfiguration)
• organisatorische Vorkehrungen (verbindliche Regeln und Vorgaben)
• personelle Maßnahmen (Schulungen, Mitarbeitendenauswahl)

Die Schutzmaßnahmen sind in mehreren Prozessen und Richtlinien innerhalb des Wiki-Systems der Drescher Consulting GmbH (Qwiki) hinterlegt und müssen von allen Mitarbeitenden verfolgt und beachtet werden.

Organisationsstruktur und Verantwortlichkeit

Das Erreichen, Aufrechterhalten und kontinuierliche Verbessern eines angemessenen Informationssicherheitsniveaus erfordert das fortwährende Engagement aller an der Informationsverarbeitung beteiligten Personen, einschließlich Management, Nutzern, IT-Administratoren sowie Mitarbeitenden im Qualitätsmanagement.

Fortlaufende Verbesserungen

Die fortlaufende Verbesserung des angestrebten Informationssicherheits- und Datenschutzniveaus wird durch eine kontinuierliche Überprüfung der Regelungen sichergestellt. Hierzu gehören regelmäßige Audits und die Wirksamkeitsüberprüfung mit Hilfe von KPIs. Alle Mitarbeitenden sind dazu verpflichtet, den Informationssicherheitsbeauftragten bei dieser Aufgabe zu unterstützen. Die Unternehmensleitlinie zur Informationssicherheit wird in regelmäßigen Abständen auf ihre Aktualität und Wirksamkeit hin überprüft und gegebenenfalls angepasst. Im Besonderen wird die Unternehmensleitlinie für Informationssicherheit bei Änderungen der Bedrohungslage aufgrund aktueller Ereignisse oder der Einführung neuer Technologien in der Drescher Consulting GmbH überprüft und angepasst. Unabhängig davon erfolgt eine Überarbeitung der Unternehmensleitlinie inkl. aller Richtlinien im ISMS mindestens einmal im Jahr.

Schulung des Bewusstseins zum Thema Informationssicherheit

Die Geschäftsführung sowie die verantwortlichen Mitarbeitenden der Drescher Consulting GmbH stellen durch bewusstseinsbildende Schulungs- und Sensibilisierungsmaßnahmen sicher, dass neue eingestellte Mitarbeitende ebenso wie bereits beschäftigte Mitarbeitende auf die Einhaltung der Unternehmensleitlinie für Informationssicherheit und der damit einhergehenden Richtlinien hingewiesen werden. In regelmäßigen Abständen (mindestens einmal jährlich) werden die Mitarbeitenden auf die Problematiken und Gefährdungen der Informationssicherheit hingewiesen. Mitarbeitende, die direkten Umgang mit sensiblen Informationen haben, werden in internen oder externen Schulungen mit den Gefahren im Zusammenhang mit der Informationssicherheit sowie mit Maßnahmen zum Schutz vertraut gemacht.

Externe Parteien werden bei Bedarf durch den Informationssicherheitsbeauftragten ebenfalls über die Unternehmensleitlinie zur Informationssicherheit sensibilisiert und informiert.

Maßregelungen

Die Geschäftsführung sowie leitende Angestellte stellen sicher, dass die Richtlinien zur Informationssicherheit durch alle Mitarbeitende befolgt werden. Mitarbeitende, die gegen diese Richtlinien verstoßen, können mit angemessenen Sanktionen belegt werden. Schwerwiegende Verstöße gegen die Grundsätze der Informationssicherheit können zu Abmahnung oder fristloser Kündigung eines Mitarbeitendens führen.