top of page

Sicherheitsleitlinie

Rolle der Informationssicherheit

Die NP4 GmbH legt großen Wert auf die erfolgreiche Positionierung ihres Unternehmens und ihrer Dienstleistungen auf dem Markt. Um dies zu erreichen, ist der Einsatz modernster Informationstechnologien unerlässlich. Trotz der Chancen, die diese Technologien bieten, sind auch stets neue Risiken vorhanden. Die Geschäftsführung erkennt die Wichtigkeit von Informationssicherheit als strategische Aufgabe, um die Reputation zu wahren und Unternehmensziele zu erreichen.

Das Ziel der Informationssicherheit besteht darin, Sicherheitsrisiken transparent zu machen und durch geeignete Maßnahmen zu minimieren. Die Geschäftsführung übernimmt die Gesamtverantwortung und unterstützt dies durch Engagement innerhalb der Organisation sowie durch die Bereitstellung angemessener Ressourcen für den Aufbau und Betrieb eines Information Security Management Systems (ISMS).

Die vorliegende Leitlinie zur Informationssicherheit dient als Unternehmensstandard, der die Basis für die Umsetzung technischer, organisatorischer, personeller und infrastruktureller Maßnahmen bildet. Diese Maßnahmen sind erforderlich, um das hohe Niveau der Informationssicherheit bei der NP4 GmbH aufrechtzuerhalten. Durch diese Bemühungen soll ein angemessener Schutz der Informationen und informationsverarbeitenden Einrichtungen gewährleistet werden, um mögliche Schäden zu verhindern.
 

Geltungsbereich ISMS

Die vorliegende Leitlinie zur Informationssicherheit der NP4 GmbH hat einen Geltungsbereich, der sich auf die Verarbeitung globaler Reisedaten für Geschäftsreisedienstleistungen erstreckt. Dies umfasst Prozessentwicklung, -optimierung, Datenaufbereitung, Qualitätssicherung und die Bereitstellung von Managementsystemen. Die Leitlinie gilt für alle Organisationseinheiten und Dienstleister der NP4 GmbH.

Die Zielgruppe sind alle Mitarbeiter der NP4 GmbH, und die Leitlinie hat verbindlichen Charakter. Externe Dienstleister und Mitarbeiter sind ebenfalls verpflichtet, sich an die Leitlinie zu halten.

Als IT-Dienstleister und Systemintegrator muss die NP4 GmbH gesetzliche Regelungen einhalten, darunter die DSGVO, BDSG, TKG, TMG, HGB, GmbHG und GoBD. Diese Regelungen sind beim Aufbau des Information Security Management Systems (ISMS) zu berücksichtigen.

Zusätzlich zu den gesetzlichen Regelungen gelten die internationalen Normen ISO/IEC 27001 und TISAX AL2 als verbindlich innerhalb der NP4 GmbH. Die Leitlinie zur Informationssicherheit wird durch nachgeordnete Dokumente konkretisiert, darunter Grundsätze der Informationssicherheit, prozess-, anwendungs- und systemspezifische Standards sowie Handlungs- und Organisationsanweisungen. Diese Dokumente sind für alle Mitarbeiter bindend und werden im Rahmen eines kontinuierlichen Prozesses an Veränderungen angepasst und kommuniziert.

Sicherheitsziele

Die NP4 GmbH betrachtet den Umgang mit sensiblen Informationen als integralen Bestandteil aller Geschäftsprozesse. Sensible Informationen werden in elektronischer Form auf verschiedenen IT-Systemen, als Schriftstücke und im Wissen der Mitarbeiter genutzt, gespeichert und verarbeitet. Das Ziel der Informationssicherheit ist, einen angemessenen Schutz dieser Informationen sicherzustellen, indem alle Kernelemente des Unternehmens einbezogen werden.

Die Informationssicherheit verfolgt grundlegende Schutzziele:
1.     Vertraulichkeit: Informationen sollen nur für einen beschränkten Personenkreis zugänglich sein, um   unbefugte Preisgabe zu verhindern.
2.     Integrität: Dies bezieht sich auf die Unversehrtheit und Vollständigkeit von Informationen sowie die korrekte Funktionsweise von informationsverarbeitenden Systemen. Maßnahmen gegen unberechtigte Veränderungen sind hierbei entscheidend.
3.     Verfügbarkeit: Informationen, Systeme, Anwendungen und Dienste sollen verfügbar sein, wenn sie benötigt werden.

Bei der Planung und Umsetzung von Maßnahmen für diese Schutzziele ist die Angemessenheit stets zu gewährleisten. Das bedeutet, dass die Kosten für die Umsetzung und Aufrechterhaltung der Maßnahmen in einem wirtschaftlich sinnvollen Verhältnis zum jeweiligen Risiko stehen müssen. Risiken werden sowohl durch die Wahrscheinlichkeit eines Schadenseintritts als auch durch dessen potenzielle Höhe bestimmt. Dabei werden nicht nur direkte Schäden, sondern auch mittelbare Schäden wie Reputationsverlust und Haftungsansprüche berücksichtigt.

Anforderung an die Umsetzung der Informationssicherheit
Die Gewährleistung von Informationssicherheit in der NP4 GmbH geht über rein technische Maßnahmen hinaus und ist stark von rechtlichen, organisatorischen und personellen Rahmenbedingungen beeinflusst. Die Umsetzung der Sicherheitsanforderungen aus der Leitlinie zur Informationssicherheit erfordert nicht nur technische, sondern auch organisatorische, personelle und infrastrukturelle Maßnahmen, die miteinander verknüpft sind.

Um Informationssicherheit wirksam zu etablieren, setzt die NP4 GmbH auf ein geordnetes Vorgehen für die Planung, Umsetzung, Kontrolle und Optimierung aller Informationssicherheitsaktivitäten durch ein Information Security Management System (ISMS). Dieses ISMS folgt einem zyklischen Plan-Do-Check-Act-Prozess und ist Teil des internen Kontroll- und Risikomanagementsystems.

Die Implementierung und Ausgestaltung des ISMS ist eine strategische Aufgabe, die dem Verantwortungsbereich der Geschäftsleitung zugeordnet ist. Der Information Security Officer (ISO) wird von der Geschäftsführung beauftragt, das unternehmensweite ISMS zu implementieren, zu optimieren und zu betreiben. Der ISO gewährleistet, dass die in der Leitlinie definierten Sicherheitsgrundsätze im Rahmen des ISMS umgesetzt werden und arbeitet eng mit dem Datenschutzbeauftragten zusammen, um Datenschutz in allen ISMS-Bereichen sicherzustellen. Die Geschäftsführung unterstützt den ISO aktiv und stellt ihm die notwendigen Befugnisse und Ressourcen zur Verfügung, einschließlich eines Vortragsrechts bei der Geschäftsführung der NP4 GmbH.

Grundsätze der Informationssicherheit

1.     Informationssicherheit als integraler Bestandteil der Geschäftspolitik: Informationssicherheit ist strategischer Bestandteil der Geschäftspolitik und Unternehmensphilosophie der NP4 GmbH.

2.     Schutz von Informationsgütern: Informationen in jeglicher Form und die informationsverarbeitenden Einrichtungen werden angemessen vor Verlust der Vertraulichkeit, Integrität und Verfügbarkeit geschützt.

3.     Einhaltung der gesetzlichen Anforderungen (Compliance): Es gilt die Verpflichtung zur Einhaltung nationaler und europäischer Gesetze sowie weiterer ergänzender Regelungen bezüglich der Informationssicherheit.

4.     Informationssicherheit als Aufgabe aller Mitarbeiter: Jeder Mitarbeiter der NP4 GmbH berücksichtigt die Belange der Informationssicherheit und handelt verantwortungs- und sicherheitsbewusst. Alle unterstützen den ISO in seinen Aufgaben. Die Anwendung der Sicherheitsgrundsätze wird durch spezifische Dokumente konkretisiert, angepasst und bildet die verbindliche Grundlage für das Handeln.

5.     Förderung des Sicherheitsbewusstseins: Durch unternehmensinterne Richtlinien, Standards, Guidelines und Sensibilisierungsmaßnahmen werden alle Mitarbeiter befähigt, die Anforderungen an die Informationssicherheit zu verstehen und zu berücksichtigen.

 

Information Sercurity Management System (ISMS) und seine Ziele 
Das Ziel eines Information Security Management Systems (ISMS) ist es, den Schutzbedarf von Informationen und informationsverarbeitenden Einrichtungen zu ermitteln und angemessene Sicherheitsmaßnahmen zu wählen, um Risiken systematisch zu erfassen und zu minimieren. Ein ISMS gemäß ISO/IEC 27001 und der vorliegenden Leitlinie zur Informationssicherheit umfasst Aspekte wie die Organisation der Informationssicherheit, personelle Sicherheit, physische Sicherheit, Asset Management, Risikobewertung, IT- und Kommunikationsbetriebsmanagement, Zugangs- und Zugriffskontrolle, Förderung des Sicherheitsbewusstseins, Sicherheitsvorfälle, Business Continuity Management, Compliance, Ressourcenmanagement und die Überprüfung der ISMS-Effektivität.

Überprüfung und Einhaltung der Ziele

Bei der Überprüfung der Einhaltung von Zielen und Grundsätzen im Information Security Management System (ISMS) werden verschiedene Aspekte geprüft:

  1. Die Risikoanalyse und -behandlung im ISMS müssen die Grundsätze und Ziele der NP4 GmbH unterstützen.

  2. Es wird überprüft, ob die festgelegte Risikoakzeptanzgrenze im ISMS beachtet und zur Steuerung der Risikobehandlung angewendet wird.

  3. Die Umsetzung von Maßnahmen gemäß den Vorgaben des Risikobehandlungsplans wird überprüft.

  4. Es werden Ursachen für Sicherheitsvorfälle ermittelt.

  5. Die Ergebnisse von Sicherheitsaudits und Analysen von Sicherheitsvorfällen werden bewertet, und erforderliche Verbesserungsmaßnahmen werden abgeleitet.

  6. Es wird geprüft, ob die Verantwortlichen für Informationssicherheit angemessen die Sicherheitsziele und -grundsätze unterstützen und die erforderlichen Ressourcen bereitstellen.

  7. Es wird untersucht, ob der aktuelle Kenntnisstand und die Sensibilisierung der Mitarbeiter ausreichen, um die Erreichung der Sicherheitsziele aktiv zu unterstützen.

Sicherheitsorganisation
Die Organisation der Informationssicherheit bei NP4 GmbH beinhaltet klare Rollen und Verantwortlichkeiten:

  • Die Geschäftsführung trägt die Gesamtverantwortung für das Risikomanagement und die Informationssicherheit.

  • Der Information Security Officer (ISO) unterstützt die Geschäftsführung bei der Umsetzung des ISMS.

  • Die Eigentümer von Geschäftsprozessen und Risiken identifizieren und dokumentieren rechtliche Anforderungen und setzen Sicherheitsmaßnahmen um.

  • Die Eigentümer von Informationen und Applikationen klassifizieren Daten und setzen Zugriffsrechte fest.

  • Die Betreiber von Applikationen und IT-Infrastruktur gewährleisten Compliance und führen regelmäßige Tests durch.

  • Die Verantwortlichen für die Gebäude-Infrastruktur setzen physische Sicherheitsmaßnahmen um.

  • Die Personalabteilung implementiert Sicherheitsmaßnahmen für interne und externe Mitarbeiter.

  • Das Zentrale Risikomanagement unterstützt bei der Gestaltung und Umsetzung des Risikomanagementprozesses.

  • Der Datenschutzbeauftragte gewährleistet die Einhaltung datenschutzrechtlicher Bestimmungen.

bottom of page