Security Policy Unico Data AG

Grundsatz und Geltungsbereich

Informationssicherheit ist ein Bestandteil unserer Geschäftsstrategie und Geschäftsziele. Um deren Nachweis zu erbringen, zertifizieren wir unsere gesamte Unternehmung nach ISO/IEC 27001.

Verpflichtung

Informationssicherheit ist Sache aller: Bei unseren Mitarbeitenden wird auf allen Ebenen das Verantwortungsbewusstsein für die Informationssicherheit geschult und gefördert. Wir verpflichten uns zum Einsatz der besten verfügbaren Technologie nach Berücksichtigung von wirtschaftlichen Möglichkeiten. Die Einhaltung aller einschlägigen Forderungen (Gesetzliche-, Behördliche- und Kundenforderungen) ist selbstverständlich; darüber hinaus verpflichten wir uns, kontinuierlich an der Verbesserung der Informationssicherheit zu arbeiten.

Zielsetzung

Die Unico Data AG setzt sich folgende Zielsetzung:

  • Wir sichern die Vertraulichkeit, Integrität und Verfügbarkeit der uns anvertrauten Informationen
  • Wir wollen uns ständig verbessern und entwickeln deshalb unser ISMS laufend weiter
  • Wir erfüllen die Anforderungen der ISO 27001 Norm

Umsetzung und kontinuierliche Verbesserung

Wir betreiben ein Informationssicherheits-Managementsystem (ISMS) mit dem Ziel, die Informationssicherheit gezielt zu fördern und die Leistung der Unternehmung kontinuierlich zu verbessern. Das ISMS bildet einen integrierten Bestandteil unseres Managementsystems, Prozesse und Abläufe sind so definiert, dass die Informationssicherheit eingehalten wird. In regelmässigen Abständen wird das komplette System auditiert, auch Leistungen von Drittparteien. Nichterfüllung und Nichterreichung einer Zielsetzung wird zum Anlass genommen, das System zu verbessern und eine nachhaltige Veränderung der Kultur und Arbeitsweise im Betrieb zu erreichen, welche auch künftige kontinuierliche Verbesserung sicherstellt, damit ein nachhaltiger Mehrwert für die Firma entsteht.

Organisation und Verpflichtungen

Geschäftsleitung

Die Geschäftsleitung, als oberstes Organ, gilt als Auftraggeber an den Sicherheitsverantwortlichen. Die GL definiert die Strategie und setzt strategische Ziele.

​Chief Information Security Officer (CISO)

Der CISO trägt die Verantwortung für die Sicherheit und leitet die Sicherheit auf strategischer Ebene. Als Mitglied der Geschäftsleitung bildet er die Schnittstelle zwischen Management und operativer Sicherheit.

Head of Quality Management​

Der Inhaber der Rolle Head of Quality Management ist für die operative Führung und Umsetzung des Quality Managements im Gesamtbetrieb zuständig. Ausserdem verantwortet, überwacht und verbessert der Rolleninhaber das SMS, setzt die definierten Ziele um und rapportiert zu  Handen des Chief Operating Officer (COO). ​

Lead Security Operations

Der Inhaber der Rolle Head of Security Management ist für die operative Führung der IT Security im Gesamtbetrieb zuständig.

​Risk Owner

Die Risk Owner sind für die Identifizierung, Bewertung und Steuerung von Risiken zuständig. Sind sind dem Chief Information Security Officer (CISO) unterstellt.

Change Manager​​

Der Change Manager koordiniert alle Changes, insbesondere das Gehemigungsverfahren (unter Einbezug des Change Advisory Board (CAB)​), bei Notfällen das Emergency Change Advisory Board (ECAB).

Internal Auditor

Die internen Auditoren planen und führen regelmässig standartisierte interne Audit durch, um das Einhalten der Normen ISO 20000 und ISO 27001 zu überprüfen und uns kontinuierlich zu verbessern.

Process Ow​ner

Diverse Process Owner sind für ihre Prozesse und deren laufende Optimierung, Einführung und Dokumentation zuständig. ​

Mitarbeitende

Mitarbeitende auf allen Stufen sind verantwortlich für Einhaltung der Informationssicherheit. Unterstützt und geschult werden sie durch die Linienvorgesetzten und die Querschnittsfunktion Sicherheit.

Externe Mitarbeitende

Externe Mitarbeitende sind verpflichtet, die Informationssicherheit innerhalb des Geltungsbereiches, in welchem sie eine Leistung erbringen, einzuhalten. Unterstützt und geschult werden sie durch den internen Auftraggeber.

Lieferanten und Drittparteien

Bei der Zusammenarbeit mit Dritten und bei der Auswahl der Lieferanten ist Informationssicherheit ein wichtiges Kriterium, diese müssen die Vorgaben der Unico Data AG anwenden. Dazu werden vertragliche Regelungen getroffen. Die Unico Data AG behält sich das Recht vor, deren Regeln jederzeit unangekündigt zu auditieren.

Sanktionen

Verstösse gegen die Vorgaben betreffend Informationssicherheit werden nicht geduldet und werden geahndet. Mit Drittparteien werden Konventionalstrafen vereinbart, bei Mitarbeitern kommen arbeitsrechtliche Sanktionen zur Anwendung.