Wir verfügen über ein Information Security Management System (ISMS), das auf ISO 27001 und SOC 2-Kontrollen basiert. Unser ISMS umfasst die folgenden Bereiche, soweit sie die Eigenschaften des Unternehmens betreffen:
- Informationssicherheitsrichtlinie
- Zugriffskontrollrichtlinie
- Verfügbarkeitsmanagement
- Clean-Desk-Policy
- Kryptographierichtlinie
- Richtlinie zum Lieferantenmanagement
- Richtlinie zur Protokollierung und Kontrolle
- Richtlinie für mobile Geräte
- Netzwerksicherheitsrichtlinie
- Richtlinie zur Kennwortverwaltung
- Richtlinie zum Patch-Management
- Softwarerichtlinie
- Richtlinie zum technischen Schwachstellenmanagement
- Vorgehensweise bei der Risikobewertung
- Malware-, E-Mail- und ISMS-Richtlinie
- Richtlinie zur akzeptablen Internetnutzung
- Richtlinie zu Penetrationstests
- Richtlinie zur Telearbeit
- Aufbewahrung und Schutz von Unterlagen.
Die Bereichsleiter sind dafür verantwortlich, dass die für ihren Zuständigkeitsbereich relevanten Sicherheitsrichtlinien, -verfahren und -standards bekannt sind und eingehalten werden.
Im Rahmen der Vorgehensweise zum Risikomanagement wurden Risikoakzeptanzniveaus definiert, und alle Risiken werden auf ein akzeptables Niveau mit angemessenen Lösungszeiträumen und der Zustimmung der Anspruchsberechtigten reduziert.
CC3.1, CC3.2
4, 5, 6, 7, 7.2(a,b), 7.2.2, 8, 9, 9.2.5, 9.3(a,b,c,f), 9.3(c)(1,2), 10, A.6.1.1, A.6.1.3, A.6.1.4, A.18.2.1, A.18.2.2