1 Einleitung

    1.1 Geltungsbereich
    Diese Information Security Policy gilt für die gesamte InfoGuard. Alle Mitarbeitenden sowie alle externen Personen und Dienstleister, die in Informationen der IG oder deren Kunden Einsicht haben oder diese bearbeiten, sind auf die Einhaltung der hierin enthaltenen Grundsätze und aller davon abgeleiteten Richtlinien und Weisungen zu verpflichten.

    2 Ziele der Informationssicherheit

    Die Ziele der Informationssicherheit in der InfoGuard sind:

    • Die Erhaltung und Stärkung der Vertrauenswürdigkeit der InfoGuard gegenüber ihren Kunden, Partnern und Mitarbeitenden.
    • Die Erfüllung von gesetzlichen, brancheneigenen und unternehmensinternen Vorgaben und Regulatorien in der Bearbeitung von Informationen.
    • Der Schutz der Persönlichkeit und Privatsphäre von Personen, über die Daten bearbeitet werden.
    • Der Schutz von Informationen wie Kundendaten, Mitarbeiterdaten oder Betriebsgeheimnissen vor unberechtigtem Zugriff, Verlust, menschlichen Fehlhandlungen, technischem Versagen und höherer Gewalt.
    • Der Schutz der Geschäftsprozesse und der dafür erforderlichen Informationssysteme hinsichtlich deren Verfügbarkeit, Integrität und Vertraulichkeit
    • Die Bewertung und gezielte Reduktion von operationellen Risiken, die aus der Bearbeitung von Informationen für die IG oder deren Kunden, Mitarbeitende oder Geschäftspartner entstehen.

    3 Grundsätze der Informationssicherheit

    3.1 Verpflichtung
    Die InfoGuard verpflichtet sich zur Umsetzung der definierten Ziele der Informationssicherheit und der dafür zutreffenden Anforderungen gemäss ISO/IEC 27001:2013 Anhang A.

    3.2 Compliance
    Die InfoGuard hält sich in der Bearbeitung von Informationen an die gesetzlichen, brancheneigenen und unternehmensinternen Vorgaben und Regulatorien sowie an die anerkannten Informationssicherheitsstandards.

    3.3 Wirtschaftlichkeit
    Die Kosten für Informationssicherheitsmassnahmen sollen die Höhe der Verminderung von Informationssicherheitsrisiken, welche durch die Massnahmen erreicht wird, grundsätzlich nicht übersteigen. Eine Beeinträchtigung der Geschäftstätigkeit durch Sicherheitsmassnahmen ist unter Berücksichtigung der Risiken soweit wie möglich zu vermeiden.

    3.4 Informationssicherheits-Managementsystem (ISMS)
    Die InfoGuard verfügt über ein Informationssicherheits-Managementsystem (ISMS). Dieses System dient dem Management der operationellen Risiken der Informationsbearbeitung sowie der Massnahmen zum Schutz der Informationssicherheit.
    Das ISMS richtet sich nach dem international anerkannten ISO 27001 Standard und ist in angemessener Form zu dokumentie-ren. Die InfoGuard verpflichtet sich zur fortlaufenden Verbesserung ihres Informationssicherheitsmanagementsystems (ISMS).

    3.5 Verantwortung aller
    Alle internen und externen Personen, die Zugang zu Kundendaten oder anderen Informationen der InfoGuard haben, tragen in ihrem Aufgabenbereich die Verantwortung für die Einhaltung dieser Grundsätze und aller weiteren Richtlinien der Informationssicherheit.
    Das Sicherheitsdenken ist ein fester Bestandteil der Firmenkultur bei InfoGuard. Alle Mitarbeiter bringen die Bereitschaft auf, sich persönlich für die Einhaltung der für sie relevanten Sicherheitsmassnahmen einzusetzen.