Softsystem Srl

Unsere Daten- und Informationssicherheitsrichtlinie

01

EINFÜHRUNG

Prämisse

SOFTSYSTEM Das Unternehmen entwirft, konstruiert und entwickelt automatische Maschinen im Bereich der industriellen Automatisierung für Kunden aus der Automobil-, Pharma- und Glasindustrie. Die Produkte und Systeme werden individuell auf die spezifischen Bedürfnisse des Kunden zugeschnitten.

SOFTSYSTEM Srl hat begonnen, Informationssicherheit als strategischen Faktor für den Schutz seiner Informationswerte und die Bereitstellung hochwertiger Dienstleistungen für Kunden zu betrachten, denen die Sicherheit zunehmend am Herzen liegt. Informationssicherheit hat sich zu einem strategischen Faktor entwickelt, der in einen Wettbewerbsvorteil umgewandelt werden kann.

Informationen gelten als unverzichtbares Gut für Unternehmen und müssen daher geschützt werden. SOFTSYSTEM Srl hat daher beschlossen, ein aktives Informationssicherheitsmanagementsystem einzuführen und aufrechtzuerhalten und ein angemessenes Maß an Daten- und Informationssicherheit innerhalb seiner Produktionsaktivitäten zu gewährleisten, unter anderem durch die Identifizierung, Bewertung und Bewältigung der Risiken, denen es ausgesetzt ist.

Das Informationssicherheitsmanagementsystem von SOFTSYSTEM Srl definiert eine Reihe organisatorischer, technischer und verfahrenstechnischer Maßnahmen, um die Einhaltung grundlegender Sicherheitsanforderungen zu gewährleisten:

Vertraulichkeitoder das Eigentum an Informationen, die nur denjenigen bekannt sein dürfen, die über die entsprechenden Berechtigungen verfügen;
Integritätoder das Eigentum an Informationen, die nur und ausschließlich von denjenigen geändert werden dürfen, die über die entsprechenden Berechtigungen verfügen;

Verfügbarkeitoder das Eigentumsrecht an Informationen, zugänglich und nutzbar zu sein, wenn dies von den Prozessen und Benutzern, die diese Berechtigungen genießen, erforderlich ist.

02

RICHTUNG

Strategische Ausrichtung und Managementerklärung

Um eine allgemeine und strategische Ausrichtung zu gewährleisten SOFTSYSTEM Srl kurz-, mittel- und langfristig, um den Schutz und die Sicherung von Informationen im Rahmen seiner Tätigkeiten gemäß den Vorgaben des UNI CEI-Standards zu gewährleisten ISO/IEC 27001, SOFTSYSTEM Srl hat die in diesem Dokument beschriebene Richtlinie zum Schutz von Unternehmensinformationswerten entwickelt

Um die von der Geschäftsleitung als notwendig erachteten IT-Sicherheitsziele zu erreichen, muss ein Informationssicherheits-Managementsystem implementiert werden, das mit der Unternehmensrichtlinie übereinstimmt. Die Wartung des Systems wird durch einen kontinuierlichen Prozess sichergestellt Verbesserung unter Einbeziehung aller Unternehmensfunktionen:

Das Personal, das die Sicherheitsrichtlinien und -anforderungen umsetzen wird, um die festgelegten Ziele zu erreichen.
Kunden, denen im Einklang mit den eingegangenen Verpflichtungen Garantien für ihre Sicherheitsbedürfnisse gewährt werden SOFTSYSTEM Srl
Lieferanten, die als Partner zur Erreichung der Ziele der Organisation beitragen und die mit der Lieferung verbundenen Sicherheitsrichtlinien und Risiken akzeptieren.

Das Management ist sich bewusst, dass die Implementierung des Managementsystems einen erheblichen anfänglichen Aufwand erfordert und dass die Aufrechterhaltung und kontinuierliche Verbesserung durch eine angemessene organisatorische Unterstützung gewährleistet werden müssen.

Zu diesem Zweck die Organisation von SOFTSYSTEM SRL Es wurde so konzipiert, dass die Rollen und Verantwortlichkeiten für die Informationssicherheit definiert sind und in der durch diese Richtlinie vorgegebenen Richtung agieren können.

Das Management wird Investitionen bereitstellen, die geeignet sind, die festgelegten Richtlinien und Ziele zu erreichen, und hält es für angemessen, die Startphase des Systems unter Einbeziehung externer Ressourcen anzugehen, die in der Lage sind, qualitative und quantitative Unterstützung in allen Bereichen der Informationssicherheit zu leisten.

Diese Richtlinie stellt die allgemeinen Ziele und Anforderungen dar, die von der Geschäftsleitung festgelegt wurden SOFTSYSTEM SRL die von den Unternehmensstrukturen, jede für ihren spezifischen Fachbereich, umgesetzt werden müssen, damit die Arbeitsabläufe den Vorgaben dieser Richtlinie entsprechen.

03

RISIKEN

Rahmen für Risikobewertung und -kontrolle

Die Sicherheitsanforderungen werden durch eine systematische Bewertung der Sicherheitsrisiken unter Verwendung international anerkannter Methoden ermittelt.

Die Ergebnisse der Risikobewertung helfen dabei, geeignete Management- und Umsetzungsmaßnahmen zum Schutz vor diesen Risiken festzulegen. Sie werden auch deren Prioritäten bestimmen.

Die Risikobewertung wird regelmäßig wiederholt, um auf etwaige Änderungen zu reagieren, die den Risikofaktor beeinflussen könnten.

Aus der Risikobewertung müssen die Kosten der Kontrollmaßnahmen gegen den Nutzen des Schutzes vor Schäden abgewogen werden, die dem Unternehmen durch Informationssicherheitslücken entstehen könnten.

04

ERBE

Die Informationsressourcen des Unternehmens

Jede Art der Datenaggregation, die für das Unternehmen von Wert ist, trägt unabhängig von Format und Verarbeitungstechnologie zur Bildung des Informationsvermögens bei. Informationen müssen in allen Formaten, in denen sie verfügbar gemacht werden, geschützt werden

Papier (Dokumente, Briefe, Listen usw.)
elektronisch (Datenbanken, Festplatten, Bänder usw.)
Protokolle (von Besprechungen, persönlichen und telefonischen Gesprächen, Seminaren, Interviews usw.)

Je nach Art und Herkunft können die Informationen, die das Informationsvermögen des Unternehmens ausmachen, unterteilt werden in:.

Informationen abgeleitet von Kundeninformationsbestände, dargestellt durch die Menge der von verwalteten Informationen SOFTSYSTEM Srl Die Daten werden im Rahmen von Produktionsprozessen verarbeitet und befinden sich derzeit in Rechenzentren, die direkt oder indirekt vom Unternehmen betrieben werden. Die Sicherheit dieser Informationen muss vertraglich gegenüber den Kunden gewährleistet sein, und jeder Sicherheitsvorfall hätte direkte Auswirkungen auf das Image und die Geschäftsentwicklung des Unternehmens
Informationen abgeleitet von Interne InformationsbeständeDiese Informationen umfassen alle internen Informationen des Unternehmens und werden teilweise über Informationssysteme verwaltet. Sie beeinflussen andere Informationen und wirken sich direkt oder indirekt auf alle Geschäftsaktivitäten aus.

Informationen müssen bewertet werden, um ihre relative Bedeutung auf Unternehmensebene zu bestimmen und um angemessene und verhältnismäßige Sicherheitsmaßnahmen für die verschiedenen Formen und Methoden der Interaktion umsetzen zu können.

05

ZIELE

Systemziele und -umsetzung

Diese Informationssicherheitsrichtlinie legt die Sicherheitsaspekte fest, die innerhalb der Organisation implementiert werden sollen, um die Mission zu unterstützen SOFTSYSTEM SRL und um die nachstehend aufgeführten Hauptziele zu verfolgen.

Die für Informationsmanagement und -sicherheit zuständigen Unternehmensfunktionen haben die Aufgabe, die ermittelten Ziele und allgemeinen Anforderungen an die Informationssicherheit in konkretere Gegenmaßnahmen und Sicherheitsrichtlinien zu übersetzen, um ein geeignetes Informationssicherheitsmanagementsystem zu erhalten.

Die gemäß der verabschiedeten Sicherheitspolitik zu verfolgenden Hauptziele sind folgende:

Schwerwiegende Ereignisse auf 0 reduzieren (Ransomware, Zahlungsdiebstahl, größere Sicherheitslücken)
Strukturieren Sie eine IT-Abteilung, die die Kontrolle über die Sicherheit logischer Informationen hat: Anlagenkartierung, Risikobewertung und Reduzierung des Gesamtrisikos um 15-20 %
Überwachung der Leistung des Datensicherheitssystems: Implementierung von Tools und Logik zur Überwachung der Sicherheitsleistung (Inventarisierung, Netzwerküberwachung, Schwachstellenanalyse, Status des Bedrohungsschutzes, Vorfalls-, Geräte-, System- und Protokollüberwachung)
Einhaltung der geltenden freiwilligen Regelungen (vor allem ISO 27001) und der verbindlichen Regelungen (vor allem EU-Verordnung DSGVO)

Durch das Erreichen dieser Ziele will das Management den Ruf des Unternehmens, seine materiellen und immateriellen Vermögenswerte sowie die Kontinuität des Geschäftsbetriebs zum Wohle aller Interessengruppen (Kunden, Eigentum, Mitarbeiter, Lieferanten und der Gemeinschaft) sichern.

Sie werden durch die Zusammenarbeit von Mitarbeitern auf allen Ebenen erreicht und aufrechterhalten, die dazu verpflichtet sind:

die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten
Risikobewertung
Sicherheitsstufen überwachen.
Sicherheitsanforderungen in Beziehungen zu Kunden und Lieferanten formalisieren
eine Unternehmenskultur der Informationssicherheit und ein angemessenes Maß an damit verbundener Kompetenz gewährleisten;
Geschäftskontinuität planen und managen;

Die Inhalte der Indikationen und Vorgaben des Systems gelten für alle internen und externen Mitarbeiter, Partnerunternehmen, Lieferanten und Outsourcing-Partner sowie für alle Personen, die mit den geschützten Informationen in Berührung kommen SOFTSYSTEM SRL

Alle Mitarbeiter, die als Angestellte, Berater oder Kooperationspartner mit dem Unternehmen an der Konzeption, Entwicklung, Verwaltung und Kontrolle der angebotenen Dienstleistungen zusammenarbeiten, sind verpflichtet, die Systemanforderungen und -richtlinien einzuhalten und alle im Rahmen ihrer Tätigkeit verarbeiteten Informationen zu schützen. Im Bewusstsein der Wichtigkeit dieser Informationen müssen die Mitarbeiter Maßnahmen ergreifen, um deren Schutz zu gewährleisten und jegliche ihnen bekannt werdende Anomalien, auch solche, die nicht formal kodiert sind, zu melden.

Sollten die festgelegten Sicherheitsregeln von Mitarbeitern, Beratern und/oder Kooperationspartnern des Unternehmens nicht eingehalten werden, wird die Geschäftsleitung … SOFTSYSTEM SRL behält sich das Recht vor, unter voller Berücksichtigung der rechtlichen und vertraglichen Bestimmungen die am besten geeigneten Maßnahmen gegen Zuwiderhandelnde zu ergreifen.

Externe Subjekte, die Beziehungen haben mit SOFTSYSTEM SRL Sie müssen die Einhaltung der in dieser Sicherheitsrichtlinie festgelegten Sicherheitsanforderungen gewährleisten, unter anderem durch die Unterzeichnung einer „Vertraulichkeitsvereinbarung“ bei der Auftragsvergabe, sofern diese Art von Verpflichtung im Vertrag nicht ausdrücklich erwähnt wird.

06

SCHLUSSFOLGERUNGEN

Schlussfolgerungen

Die Informationssicherheitsrichtlinie muss stets mit den Geschäftszielen des Unternehmens übereinstimmen. Daher behält sich die Geschäftsleitung das Recht vor, dieses Dokument auf Grundlage der erzielten Ergebnisse zu ändern SOFTSYSTEM SRLden Erwartungen aller Beteiligten und dem Trend des Referenzmarktes entsprechend.

Gemäß der Informationssicherheitspolitik legt das Management mindestens einmal jährlich Sicherheitsziele fest und berücksichtigt dabei auch die im Vorjahr erzielten Ergebnisse.

Diese Richtlinie wurde von der Geschäftsleitung genehmigt SOFTSYSTEM SRL