top of page

Sicherheit (ISMS)

Ausgangslage und Geltungsbereich

Kunden, Lieferanten, Geschäftspartner und die ASOVA AG (ASOVA) selbst sind in hohem Masse von der Informations- und Kommunikationstechnik und ihrem sicheren und zuverlässigen Funktionieren abhängig. ASOVA bekennt sich zur Verantwortung für die Gewährleistung der Informationssicherheit und verpflichtet sich zur Erfüllung dieser Anforderung. Um dies nachweisen zu können, strebt die ASOVA eine möglichst rasche Zertifizierung nach der ISO Norm 27001:2013 an. Dabei umfasst der Geltungsbereich der Zertifizierung die gesamte Firma ASOVA AG.

Die ASOVA hat sich folgende strategische ISMS Ziele gesetzt:

 

  • Schutz von Informationen unabhängig von ihrer Form im Kontext Verfügbarkeit, Vertraulichkeit und Integrität

  • Erfüllung sämtlicher gesetzlicher, vertraglicher und internen Vorgaben

  • ISO 27001 als Werkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen

Das ISMS der ASOVA


Im Informationssicherheits-Managementsystem der ASOVA werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der ASOVA gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult und unterstützt ASOVA dabei, ihrer gesetzlichen Verantwortung für die Informationssicherheit gerecht zu werden. Die Anwendung dieser Regelungen ist zwingend und verbindlich.


Kontinuierliche Verbesserung


Das ISMS der ASOVA wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.
 

Organisation und Verantwortlichkeiten
 

Interne Mitarbeitende / Generell


Alle Mitarbeitenden der ASOVA, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

 

CISO (Chief Information Security Officer)


Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.
 

Asset Owner
 

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.
 

Risk Owner
 

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.
 

Lieferanten Manager
 

Der Lieferanten Manager bildet die Schnittstelle zwischen ASOVA und deren Lieferanten. Er ist verantwortlich für die Kommunikation der für die Tätigkeiten der Partnerfirmen / Lieferanten relevanten Sicherheitsanforderungen und die Unterzeichnung der hierzu notwendigen Verträge und Vertragsanhänge.
 

Projektleiter
 

Projektleiter werden mit der Leitung von Projekten im Umfeld von ASOVA betraut. Sie stellen sicher, dass die Massnahmen zur Informationssicherheit beim "Onboarding"- wie auch bei Migrations- und "Offboarding"-Projekten für Kunden von ASOVA wie auch bei internen Projekten von ASOVA eingehalten werden. 
 

Externe Mitarbeitende / Mitarbeitende von Dritten
 

Die Regelungen der ASOVA im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten. Werden Dritte mit der Erbringung von Leistungen beauftragt, wird durch vertragliche Vereinbarungen sichergestellt, dass die Informationssicherheitsleitlinie eingehalten wird.
 

Kontrollen
 

Die ASOVA überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.
 

Sanktionen
 

Die ASOVA vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.

ISO27001 Zertifizierung

Die ASOVA strebt eine möglichst rasche ISO27001 Zertifizierung an, um den Nachweis für einen hohen Sicherheitsstandard erbringen zu können.

Was beinhaltet die ISO27001 Norm?


Mit dem Begriff "ISO 27001" wird eine internationale Norm bezeichnet, mit deren Hilfe die Informationssicherheit in Organisationen gewährleistet werden soll. Eine kurze Zusammenfassung des Inhalts finden sie unter https://de.wikipedia.org/wiki/ISO/IEC_27001. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheits-Managementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und berücksichtigt individuelle Besonderheiten. Das ISO27001 Kontrollsystem umfasst aktuell mehr als 110 Kontrollpunkte.
Im Rahmen des ISMS beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschöpfungsketten durch die Auswahl von geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme.
 

Was bringt die Zertifizierung unseren Kunden und Geschäftspartnern?


Dem mit der Zertifizierung und der stetigen Weiterentwicklung des ISMS verbunden Aufwand steht natürlich auch ein bedeutender Nutzen gegenüber, namentlich:

 

  • der konsequente Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung,

  • die Minimierung der Haftungsrisiken seitens unserer Kunden gegenüber ihren Nutzern und Partnern

  • die Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit.

Mit der Zertifizierung wird die ASOVA den dokumentierten Nachweis erbringen, dass die Anforderungen an die Informationssicherheit eingehalten und die Massnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschäftspartner erhalten dank der Zertifizierung einen vertrauenswürdigen Beleg dafür, dass eine hohe IT-Sicherheit und Verfügbarkeit gewährleistet werden kann. 
Unsere Kunden profitieren direkt von diesen Leistungen, die Kosten der Services bleiben unverändert.
 

Was ändert sich für uns?


Mit der Einführung unseres ISMS verpflichtet sich die ASOVA zur Einhaltung der darin beschriebenen Prozesse, Weisungen und Richtlinien. Die entsprechende ISMS Policy finden Sie hier. Die ISO27001 Norm erfordert einen jährlichen Aufrechterhaltungsaudit und eine Rezertifizierung alle drei Jahre.

bottom of page