
Security Policy Unico Data AG
Grundsatz und Geltungsbereich
Informationssicherheit ist ein Bestandteil unserer Geschäftsstrategie und Geschäftsziele. Um deren Nachweis zu erbringen, zertifizieren wir unsere gesamte Unternehmung nach ISO/IEC 27001.
Verpflichtung
Informationssicherheit ist Sache aller: Bei unseren Mitarbeitenden wird auf allen Ebenen das Verantwortungsbewusstsein für die Informationssicherheit geschult und gefördert. Wir verpflichten uns zum Einsatz der besten verfügbaren Technologie nach Berücksichtigung von wirtschaftlichen Möglichkeiten. Die Einhaltung aller einschlägigen Forderungen (Gesetzliche-, Behördliche- und Kundenforderungen) ist selbstverständlich; darüber hinaus verpflichten wir uns, kontinuierlich an der Verbesserung der Informationssicherheit zu arbeiten.
Zielsetzung
Die Unico Data AG setzt sich folgende Zielsetzung:
- Wir sichern die Vertraulichkeit, Integrität und Verfügbarkeit der uns anvertrauten Informationen
- Wir wollen uns ständig verbessern und entwickeln deshalb unser ISMS laufend weiter
- Wir erfüllen die Anforderungen der ISO 27001 Norm
Umsetzung und kontinuierliche Verbesserung
Wir betreiben ein Informationssicherheits-Managementsystem (ISMS) mit dem Ziel, die Informationssicherheit gezielt zu fördern und die Leistung der Unternehmung kontinuierlich zu verbessern. Das ISMS bildet einen integrierten Bestandteil unseres Managementsystems, Prozesse und Abläufe sind so definiert, dass die Informationssicherheit eingehalten wird. In regelmässigen Abständen wird das komplette System auditiert, auch Leistungen von Drittparteien. Nichterfüllung und Nichterreichung einer Zielsetzung wird zum Anlass genommen, das System zu verbessern und eine nachhaltige Veränderung der Kultur und Arbeitsweise im Betrieb zu erreichen, welche auch künftige kontinuierliche Verbesserung sicherstellt, damit ein nachhaltiger Mehrwert für die Firma entsteht.
Organisation und Verpflichtungen
Geschäftsleitung
Die Geschäftsleitung, als oberstes Organ, gilt als Auftraggeber an den Sicherheitsverantwortlichen. Die GL definiert die Strategie und setzt strategische Ziele.
Chief Information Security Officer (CISO)
Der CISO trägt die Verantwortung für die Sicherheit und leitet die Sicherheit auf strategischer Ebene. Als Mitglied der Geschäftsleitung bildet er die Schnittstelle zwischen Management und operativer Sicherheit.
Head of Quality Management
Der Inhaber der Rolle Head of Quality Management ist für die operative Führung und Umsetzung des Quality Managements im Gesamtbetrieb zuständig. Ausserdem verantwortet, überwacht und verbessert der Rolleninhaber das SMS, setzt die definierten Ziele um und rapportiert zu Handen des Chief Operating Officer (COO).
Lead Security Operations
Der Inhaber der Rolle Head of Security Management ist für die operative Führung der IT Security im Gesamtbetrieb zuständig.
Risk Owner
Die Risk Owner sind für die Identifizierung, Bewertung und Steuerung von Risiken zuständig. Sind sind dem Chief Information Security Officer (CISO) unterstellt.
Change Manager
Der Change Manager koordiniert alle Changes, insbesondere das Gehemigungsverfahren (unter Einbezug des Change Advisory Board (CAB)), bei Notfällen das Emergency Change Advisory Board (ECAB).
Internal Auditor
Process Owner
Diverse Process Owner sind für ihre Prozesse und deren laufende Optimierung, Einführung und Dokumentation zuständig.
Mitarbeitende
Mitarbeitende auf allen Stufen sind verantwortlich für Einhaltung der Informationssicherheit. Unterstützt und geschult werden sie durch die Linienvorgesetzten und die Querschnittsfunktion Sicherheit.
Externe Mitarbeitende
Externe Mitarbeitende sind verpflichtet, die Informationssicherheit innerhalb des Geltungsbereiches, in welchem sie eine Leistung erbringen, einzuhalten. Unterstützt und geschult werden sie durch den internen Auftraggeber.
Lieferanten und Drittparteien
Bei der Zusammenarbeit mit Dritten und bei der Auswahl der Lieferanten ist Informationssicherheit ein wichtiges Kriterium, diese müssen die Vorgaben der Unico Data AG anwenden. Dazu werden vertragliche Regelungen getroffen. Die Unico Data AG behält sich das Recht vor, deren Regeln jederzeit unangekündigt zu auditieren.
Sanktionen
Verstösse gegen die Vorgaben betreffend Informationssicherheit werden nicht geduldet und werden geahndet. Mit Drittparteien werden Konventionalstrafen vereinbart, bei Mitarbeitern kommen arbeitsrechtliche Sanktionen zur Anwendung.