Informationssicherheitsrichtlinie

Diese Informationssicherheitsrichtlinie definiert die Grundsätze der Informationssicherheit innerhalb des Anwendungsbereiches des Informationssicherheitsmanagementsystems (ISMS)der PensExpert GmbH.

Sie gilt für alle Mitarbeiter*innen des Unternehmens und umfasst sowohl den Standort Bensheim, Homeoffice, als auch IT-Systeme, einschließlich der physischen und digitalen Informationen.

Informationssicherheit ist für unser Unternehmen ein strategischer Mehrwert und das Sicherstellen von Vertraulichkeit, Verfügbarkeit und Integrität sensibler Daten ist entscheidend für unseren Erfolg und unsere Wettbewerbsfähigkeit.

Für unsere Stakeholder (insbesondere für unsere Firmenkunden und deren Mitarbeiter*innen) ist Informationssicherheit essentielle Voraussetzung für eine erfolgreiche Zusammenarbeit.

Ein umfassendes  ISMS sorgt für Transparenz über Risiken sowie Effizienz und Wirksamkeit in unseren Sicherheitsprozessen.

Durch unser ISMS stellen wir unsere Betriebssicherheit sicher und sorgen für eine Erfüllung aller gesetzlichen und vertraglichen Anforderungen.

Das ISMS wird dokumentiert und betrieben unter Verwendung standardisierter Prozesse, einheitlicher Vorlagen und systemgestützter Tools. Es umfasst Richtlinien, Verfahren, Risikoanalysen, das Statement of Applicability sowie eine zentrale Dokumentationsplattform.

Informationssicherheit als strategische Priorität zu definieren hilft uns, unser Unternehmen zukunftssicher zu gestalten, verringert rechtliche Risiken und stärkt das Vertrauen in unser Unternehmen.

Das Sicherstellen von Vertraulichkeit, Verfügbarkeit und Integrität bilden die Säule für erfolgreiche Informationssicherheit.

• Vertraulichkeit bedeutet, dass sensible Informationen nur für einen festgelegten und autorisierten Personenkreis zugänglich sind und vor unbefugtem Zugriff geschützt werden.

• Integrität bedeutet, dass betreffende Daten nur in beabsichtigter und zugelassener Weise und von dazu autorisiertem Personal verändert wird.

• Authentizität bedeutet, dass sichergestellt ist, dass eine Information, ein System oder eine Kommunikation tatsächlich von der angegebenen Quelle stammt und nicht unbemerkt verändert oder gefälscht wurde.

• Verfügbarkeit bedeutet: betreffende Daten müssen zum beabsichtigten Zeitpunkt für eine Be- und Verarbeitung durch autorisiertes Personal bereitgestellt werden können.

Diese Grundsätze sind essenziell, um den Geschäftsbetrieb reibungslos und sicher aufrechtzuerhalten und dienen als Basis für alle Maßnahmen im Rahmen unseres ISMS. 

Die Geschäftsführung (oberste Leitung) verpflichtet sich zur Einführung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines ISMS gemäß der internationalen Norm ISO/IEC 27001.

Sie stellt die erforderlichen personellen, finanziellen und technischen Ressourcen bereit und fördert aktiv eine Kultur der Informationssicherheit im gesamten Unternehmen. Es wurde der Chief Information Security Officer (CISO) bestimmt. Die Geschäftsführung trägt die Gesamtverantwortung für die Informationssicherheit und kommuniziert deren strategische Bedeutung regelmäßig an alle Stakeholder.

Nichtkonformitäten werden durch die Geschäftsführung zur Kenntnis genommen, analysiert und durch geeignete Korrekturmaßnahmen behoben.

Die Verantwortung für die Koordination aller Aktivitäten im Bereich der Informationssicherheit liegt beim Informationssicherheitsbeauftragten (ISB) (ISMS-Team). Die Aufgaben des ISMS-Teams sind neben dem Informationssicherheitsmanagement die

• Koordination aller ISMS-Aktivitäten,
• Berichterstattung an die Geschäftsführung,
• Überwachung der Einhaltung dieser Richtlinie.

 

Zudem sind im ISMS-Team die Verantwortlichkeiten für Richtlinien, Maßnahmen, Risiken und Aufgaben im Änderungsmanagement, Autorisierungsmanagement, Risikomanagement, Servicemanagement und Vorfallmanagement zugeordnet.

 

 Alle Mitarbeiter*innen sind verpflichtet, die Ziele und Maßnahmen des ISMS aktiv zu unterstützen. Dazu gehören:

• Einhaltung aller Sicherheitsrichtlinien und -verfahren
• Unverzügliche Meldung von Sicherheitsvorfällen
• Teilnahme an Awareness-Schulungen

• Zu Verbesserungen beizutragen

Ein strukturierter Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken ist etabliert. Risiken werden im Einklang mit unserer definierten Risikobereitschaft behandelt, dokumentiert und regelmäßig überprüft.

Risikobewertung

• Regelmäßige Durchführung von Risikoanalysen (mindestens jährlich)
• Bewertung nach einheitlichen Kriterien für Eintrittswahrscheinlichkeit und Auswirkung
• Dokumentation aller identifizierten Risiken im Risikoregister

 

Risikobehandlung

• Risiken werden entsprechend unserer Risikobereitschaft behandelt: Vermeidung, Minderung, Übertragung oder Akzeptanz
• Implementierung angemessener Sicherheitsmaßnahmen (Controls)
• Regelmäßige Überwachung der Wirksamkeit der Maßnahmen

 

Risikoakzeptanz

• Verbleibende Restrisiken werden von der Geschäftsführung formal akzeptiert
• Dokumentation der Akzeptanzentscheidungen

 

Die Ergebnisse der Risikobewertung fließen direkt in die Auswahl und Umsetzung technischer und organisatorischer Maßnahmen ein.

Dieses proaktive Vorgehen stellt sicher, dass unsere Sicherheitsmaßnahmen auf den aktuellen Bedrohungen basieren und wir auf neue Risiken flexibel reagieren können. Risikomanagement ist ein fortlaufender Prozess, der regelmäßig überprüft und an veränderte Bedingungen angepasst wird.

Um eine sichere Informationsverarbeitung zu gewährleisten, werden für alle Mitarbeiter*innen regelmäßige Awareness-Schulungen durchgeführt und dokumentiert.

• Awareness Veranstaltungen im Büro / Webmeeting

• Virtuelle Schulungen mit Tests

• Ad-hoc-Schulungen bei neuen Bedrohungen oder Vorfällen

• Pflichtschulungen für alle neuen Mitarbeiter*innen innerhalb der ersten 4 Wochen

Als Grundsatz für ein gleiches Verständnis zur Ausgestaltung der Informationssicherheit finden unabhängig des Geschäftsprozesses folgende Richtlinien Anwendung:

• Pflicht zum aufgeräumten Arbeitsplatz („Clean Desk Policy“)

• Vermeiden des Bildschirm-Einblicks durch Unbefugte („Clear Screen Policy“)

• Regelung zu und Umgang mit Besuchern, Kunden und Dienstleistern

• Meldepflicht bei vermuteten und tatsächlich sicherheitsrelevanten Ereignissen über die kommunizierten Kanäle

• weitere Regelungen zur Aufrechterhaltung und Sicherstellung der Informationssicherheit

Alle Richtlinien, Prozesse und Arbeitsanweisungen werden im zentralen ISMS-Tool systematisch dokumentiert, versioniert und gepflegt:

• Verwendung einheitlicher Dokumentenvorlagen

• Klare Kennzeichnung von Versionsständen und Änderungen

• Regelmäßige Überprüfung auf Aktualität (mindestens jährlich)

• Zentrale Ablage und kontrollierte Verteilung

Wir verfügen über klare Verfahren zur Meldung, Einstufung, Analyse und Behandlung von Sicherheitsvorfällen (Incidents), um die Auswirkungen zu minimieren und Wiederholungen zu vermeiden. Dokumentation erfolgt in einem zentralen Incident-Register mit Maßnahmenverfolgung im ISMS-Tool.

Meldeverfahren

• Klare Eskalationswege und Kontaktinformationen mehrerer Personen
• Sofortige Meldung nach Entdeckung

 

Vorfallbehandlung

• Sofortige Eindämmung zur Schadensbegrenzung
• Forensische Untersuchung bei schwerwiegenden Vorfällen
• Wiederherstellung der normalen Betriebsabläufe
• Dokumentation aller Maßnahmen

 

Nachbereitung und Lessons Learned

• Analyse der Ursachen und Auswirkungen
• Entwicklung von Maßnahmen zur Vermeidung ähnlicher Vorfälle
• Aktualisierung der Sicherheitsmaßnahmen bei Bedarf
• Berichterstattung an die Geschäftsführung

Lieferanten

• Sicherheitsbewertung vor Vertragsabschluss (erweiterte Bewertung für kritische Lieferanten)
• Vertragliche Vereinbarung angemessener Sicherheitsmaßnahmen
• Regelmäßige Überprüfung der Einhaltung (Audits, Zertifikate)
• Backup und Wiederherstellungstests für kritische Lieferanten

 

Zugriff durch Dritte

• Minimierung des Zugriffs auf das erforderliche Maß
• Überwachung und Protokollierung aller Zugriffe
• Verwendung separater Benutzerkonten für externe Personen
• Regelmäßige Überprüfung und Entziehung nicht mehr benötigter Zugriffe

Compliance-Verpflichtung

Wir verpflichten uns zur vollständigen Einhaltung aller geltenden gesetzlichen, vertraglichen und regulatorischen Anforderungen, insbesondere:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Vertragliche Sicherheitsanforderungen (ggfls. DORA)

 

Überwachung rechtlicher Änderungen

• Regelmäßige Überprüfung relevanter Rechtsänderungen
• Anpassung der Sicherheitsmaßnahmen bei Bedarf
• Beratung durch Rechtsexperten bei Unklarheiten

Unser ISMS wird regelmäßig auf Angemessenheit, Wirksamkeit und Verbesserungspotenziale überprüft.

Interne Audits

• Mindestens jährliche Durchführung interner ISMS-Audits
• Verwendung qualifizierter und unabhängiger Auditoren
• Dokumentation aller Auditfeststellungen
• Nachverfolgung von Korrekturmaßnahmen

 

Managementbewertung

• Mindestens jährliche Bewertung des ISMS durch die Geschäftsführung
• Überprüfung der Wirksamkeit und Angemessenheit
• Entscheidung über notwendige Änderungen und Verbesserungen

 

Verbesserungsprozess

• Identifikation von Verbesserungsmöglichkeiten
• Bewertung, Priorisierung und Planung von Maßnahmen
• Implementierung genehmigter Verbesserungen
• Überwachung der Wirksamkeit umgesetzter Maßnahmen

Wir streben die vollständige Konformität mit der ISO/IEC 27001 an, um die Informationswerte unserer Organisation sowie das Vertrauen unserer Kunden, Partner und Mitarbeitenden nachhaltig zu schützen. Ein Statement of Applicability (SoA) gemäß Anhang A der ISO/IEC 27001 dokumentiert alle zutreffenden und nicht zutreffenden Maßnahmenziele mit Begründung