Informationssicherheit ist ein Bestandteil unserer Geschäftsstrategie und Geschäftsziele. Um deren Nachweis zu erbringen, zertifizieren wir unsere gesamte Unternehmung nach ISO/IEC 27001.
Informationssicherheit ist Sache aller: Bei unseren Mitarbeitenden wird auf allen Ebenen das Verantwortungsbewusstsein für die Informationssicherheit geschult und gefördert. Wir verpflichten uns zum Einsatz der besten verfügbaren Technologie nach Berücksichtigung von wirtschaftlichen Möglichkeiten. Die Einhaltung aller einschlägigen Forderungen (Gesetzliche-, Behördliche- und Kundenforderungen) ist selbstverständlich; darüber hinaus verpflichten wir uns, kontinuierlich an der Verbesserung der Informationssicherheit zu arbeiten.
Die Unico Data AG setzt sich folgende Zielsetzung:
Wir betreiben ein Informationssicherheits-Managementsystem (ISMS) mit dem Ziel, die Informationssicherheit gezielt zu fördern und die Leistung der Unternehmung kontinuierlich zu verbessern. Das ISMS bildet einen integrierten Bestandteil unseres Managementsystems, Prozesse und Abläufe sind so definiert, dass die Informationssicherheit eingehalten wird. In regelmässigen Abständen wird das komplette System auditiert, auch Leistungen von Drittparteien. Nichterfüllung und Nichterreichung einer Zielsetzung wird zum Anlass genommen, das System zu verbessern und eine nachhaltige Veränderung der Kultur und Arbeitsweise im Betrieb zu erreichen, welche auch künftige kontinuierliche Verbesserung sicherstellt, damit ein nachhaltiger Mehrwert für die Firma entsteht.
Die Geschäftsleitung, als oberstes Organ, gilt als Auftraggeber an den Sicherheitsverantwortlichen. Die GL definiert die Strategie und setzt strategische Ziele.
Der CISO trägt die Verantwortung für die Sicherheit und leitet die Sicherheit auf strategischer Ebene. Als Mitglied der Geschäftsleitung bildet er die Schnittstelle zwischen Management und operativer Sicherheit.
Der Inhaber der Rolle Head of Quality Management ist für die operative Führung und Umsetzung des Quality Managements im Gesamtbetrieb zuständig. Ausserdem verantwortet, überwacht und verbessert der Rolleninhaber das SMS, setzt die definierten Ziele um und rapportiert zu Handen des Chief Operating Officer (COO).
Der Inhaber der Rolle Head of Security Management ist für die operative Führung der IT Security im Gesamtbetrieb zuständig.
Die Risk Owner sind für die Identifizierung, Bewertung und Steuerung von Risiken zuständig. Sind sind dem Chief Information Security Officer (CISO) unterstellt.
Der Change Manager koordiniert alle Changes, insbesondere das Gehemigungsverfahren (unter Einbezug des Change Advisory Board (CAB)), bei Notfällen das Emergency Change Advisory Board (ECAB).
Diverse Process Owner sind für ihre Prozesse und deren laufende Optimierung, Einführung und Dokumentation zuständig.
Mitarbeitende auf allen Stufen sind verantwortlich für Einhaltung der Informationssicherheit. Unterstützt und geschult werden sie durch die Linienvorgesetzten und die Querschnittsfunktion Sicherheit.
Externe Mitarbeitende sind verpflichtet, die Informationssicherheit innerhalb des Geltungsbereiches, in welchem sie eine Leistung erbringen, einzuhalten. Unterstützt und geschult werden sie durch den internen Auftraggeber.
Bei der Zusammenarbeit mit Dritten und bei der Auswahl der Lieferanten ist Informationssicherheit ein wichtiges Kriterium, diese müssen die Vorgaben der Unico Data AG anwenden. Dazu werden vertragliche Regelungen getroffen. Die Unico Data AG behält sich das Recht vor, deren Regeln jederzeit unangekündigt zu auditieren.
Verstösse gegen die Vorgaben betreffend Informationssicherheit werden nicht geduldet und werden geahndet. Mit Drittparteien werden Konventionalstrafen vereinbart, bei Mitarbeitern kommen arbeitsrechtliche Sanktionen zur Anwendung.