Informationssicherheistrichtlinie

Exnaton AG schützt seine Kunden und Geschäftsziele, indem es seinen Stakeholdern eine sichere Arbeitsumgebung sowie den Schutz von Informationen durch angemessene Kontrollmaßnahmen und operative Prozesse bietet.

Die zu gewährleistenden Grundsätze sind:

  • Vertraulichkeit: Informationen dürfen ausschließlich befugten Personen zugänglich sein.
  • Integrität: Informationen müssen vollständig, korrekt, gültig und vor Manipulation geschützt sein.
  • Verfügbarkeit: Informationen müssen für autorisierte Benutzer jederzeit zugänglich sein und in jedem Szenario ihre Beständigkeit bewahren.

Die Informationssicherheit muss flexibel, wirkungsvoll und unterstützend für das Geschäftsmodell des Unternehmens sein:

  • Der Zugang zu Informationen muss kontrolliert und rollenbasiert erfolgen.
  • Die angebotenen Dienste müssen von jedem Zugangspunkt aus sicher sein, wenn sie mit der Infrastruktur des Unternehmens verbunden sind.
  • Sicherheitsmaßnahmen müssen die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Diensten sicherstellen.
  • Sicherheitsmaßnahmen müssen die Datenschutzanforderungen personenbezogener Daten im Einklang mit geltenden Gesetzen und vertraglichen Verpflichtungen gegenüber Kunden und Nutzern gewährleisten.
  • Die Informationssicherheit muss mit der Organisationsstruktur, den Sicherheitsanforderungen der Kunden, den gesetzlichen Anforderungen und anerkannten Best Practices der Branche abgestimmt sein.
  • Die Organisation verfügt über ein integriertes Informationssicherheitsmanagementsystem (ISMS), das von der Geschäftsleitung genehmigt und gesteuert wird.
  • Die Organisation verpflichtet sich zu einer kontinuierlichen Verbesserung der Produktionsprozesse sowie der Effektivität des ISMS, wobei die Fehlervermeidung ein zentraler Bestandteil ist.
  • Die Organisation engagiert sich für einen integrierten Ansatz zur Förderung der globalen Nachhaltigkeit und legt dabei besonderen Fokus auf die Auswirkungen des Klimawandels.

Diese Richtlinie wird jährlich oder bei wesentlichen Änderungen durch die Geschäftsleitung überprüft und genehmigt, um ihre Angemessenheit und Wirksamkeit sicherzustellen.

Geltungsbereich der Richtlinie

Diese Informationssicherheitsrichtlinie ist innerhalb ihres Anwendungsbereichs bindend. Mitarbeiter, Partner, Subunternehmer und Lieferanten des Unternehmens sind verpflichtet, diese Richtlinie in Bezug auf ihren jeweiligen Aufgabenbereich zu befolgen, wenn sie mit Unternehmens- oder Kundendaten umgehen.

Diese Richtlinie basiert auf den Anforderungen des internationalen Standards ISO/IEC 27001:2022. Die Anwendung des Standards erfordert eine Risikoanalyse der Informationswerte der Organisation, aus der Kontrollen abgeleitet werden, die diese Risiken eliminieren oder minimieren.

Umfang der Richtlinie

Diese Richtlinie legt Mindestanforderungen fest, um die Geschäftskontinuität sicherzustellen. Eine wirksame Informationssicherheit ist eine gemeinschaftliche Anstrengung, die das Engagement aller Mitarbeiter und Personen erfordert, die mit den Informationswerten des Unternehmens arbeiten. Die Informationssicherheitsrichtlinie gilt für alle Informationswerte des Unternehmens: die erbrachten Dienstleistungen, Personen, Technologien, Lieferanten und Infrastruktur.

Zürich, 31. Oktober 2024

Geschäftsleitung