Sicherheit 

Allgemeine Informationssicherheitsrichtlinie 

Ziel der Richtlinie ist es, die Informations- und IT-Assets von Kertos (einschließlich, aber nicht ausschließlich auf Computer, Mobilgeräte, Netzwerkgeräte, Software und sensible Daten) vor allen internen, externen, vorsätzlichen oder unbeabsichtigten Bedrohungen zu schützen und die Risiken im Zusammenhang mit Diebstahl, Verlust, Missbrauch oder Beschädigung dieser Systeme zu minimieren; 

Sicherstellen, dass Informationen vor unbefugtem Zugriff geschützt werden. Benutzer haben nur Zugriff auf Ressourcen, für die sie ausdrücklich autorisiert wurden. Die Vergabe von Berechtigungen wird streng kontrolliert und regelmäßig überprüft. 

Schutz der VERTRAULICHKEIT von Informationen. Wenn wir über die Vertraulichkeit von Informationen sprechen, geht es darum, die Informationen vor unbefugter Offenlegung zu schützen; 

Sicherstellen der INTEGRITÄT von Informationen. Die Integrität von Informationen bezieht sich darauf, Informationen vor unbefugter Änderung durch Dritte zu schützen; 

Aufrechterhaltung der VERFÜGBARKEIT von Informationen für Geschäftsprozesse. Die Verfügbarkeit von Informationen bezieht sich darauf, sicherzustellen, dass autorisierte Personen auf die Informationen zugreifen können, wenn dies erforderlich ist. 

Einhaltung und soweit möglich Übertreffen nationaler gesetzlicher und behördlicher Anforderungen, Standards und bewährter Verfahren; Entwickeln, Aufrechterhalten und Testen von Business Continuity-Plänen, um sicherzustellen, dass wir trotz aller Hindernisse, auf die wir stoßen können, auf Kurs bleiben. Es geht darum, „ruhig zu bleiben und weiterzumachen!“ 

Sensibilisierung für Informationssicherheit durch Bereitstellung von Informationssicherheitsschulungen für alle Mitarbeiter. Sicherheitsbewusstsein und gezielte Schulungen werden kontinuierlich durchgeführt, Sicherheitsverantwortlichkeiten werden in Stellenbeschreibungen reflektiert und die Einhaltung von Sicherheitsanforderungen wird als Teil unserer Unternehmenskultur erwartet und akzeptiert; 

Sicherstellen, dass keine Maßnahmen gegen Mitarbeiter ergriffen werden, die eine Informationssicherheitsbedenken durch Meldung oder direkten Kontakt mit dem Leiter des Informationssicherheitsmanagements offenlegen, es sei denn, eine solche Offenlegung deutet zweifelsfrei auf eine rechtswidrige Handlung, grobe Fahrlässigkeit oder eine wiederholte vorsätzliche Missachtung von Vorschriften oder Verfahren hin; 

Alle tatsächlichen oder vermuteten Verletzungen der Informationssicherheit sind an alexander.prams@kertos.io zu melden oder über das in POL-17 Incident Management, Anhang B verlinkte Formular zu melden. 


Durchsetzung, Ausnahmen und Beschwerden 

Nichteinhaltung von Richtlinien- und Standardaussagen in dieser Richtlinie kann disziplinarische Maßnahmen zur Folge haben, einschließlich, aber nicht beschränkt auf informelle oder formale Warnungen bis hin zur Vertragskündigung. Jegliche Ausnahmen von dem, was geregelt ist, erfordern eine schriftliche Genehmigung per E-Mail vom Leiter des Informationssicherheitsmanagements. Gewährte Ausnahmen erhalten für einen festgelegten Zeitraum eine Richtlinienausnahme. Alle Zielbenutzer dieser Richtlinie können Beschwerden über deren Inhalt jederzeit an den Leiter des Informationssicherheitsmanagements richten. Alle Beschwerden werden entsprechend bearbeitet, wobei der Leiter des Informationssicherheitsmanagements innerhalb von 14 Tagen nach der ersten Einreichung antwortet. Anfragen für Ausnahmen von dieser Richtlinie sowie Beschwerdeeinreichungen werden an den Leiter des Informationssicherheitsmanagements unter alexander.prams@kertos.io gerichtet.