Zertifiziert nach ISO/IEC 27001

Die Einhaltung der ISO/IEC 27001 wird regelmäßig durch unabhängige Audits überprüft.

Das ISMS ermöglicht uns, Risiken systematisch zu identifizieren und durch geeignete Maßnahmen zu beherrschen.

So stellen wir sicher, dass die Schutzziele der Informationssicherheit dauerhaft gewährleistet werden.

Auf GFOS ausgestelltes Zertifikat der Prüfungsnorm ISO/IEC 27001:2022

Informationssicherheit

Bedeutung der Informationssicherheit und der damit verfolgten Ziele

Als innovativer Anbieter von Softwarelösungen legt die GFOS mbH größten Wert auf Informationssicherheit. Unsere Kunden erwarten nicht nur hochwertige Produkte, sondern auch den Nachweis sicherer und zuverlässiger Prozesse.

Informationssicherheit bedeutet für uns:

  • Einhaltung gesetzlicher Vorgaben (Compliance)
  • Schutz von Betriebsgeheimnissen
  • Wahrung der Vertraulichkeit von Kundendaten
  • Sichere und integre Auslieferung unserer Software

Der Schutz unserer Informations- und Kommunikationsinfrastruktur vor Missbrauch, Manipulation und Störungen ist essenziell für unseren Geschäftserfolg. Alle Mitarbeitenden sind sich der Bedeutung bewusst und tragen aktiv zur Risikominimierung bei.

Grundbegriffe der Informationssicherheit

  • Vertraulichkeit:
    Informationen sind nur berechtigten Personen oder Systemen zugänglich.
     
  • Integrität und Authentizität:
    Informationen dürfen nur von berechtigten Personen oder Systemen auf genehmigte Weise verändert werden. Authentizität bedeutet, dass die Echtheit und Herkunft von Informationen jederzeit nachvollziehbar sind.
     
  • Verfügbarkeit und Resilienz:
    Systeme und Informationen stehen zuverlässig zu einem bestimmten Zeitpunkt zur Verfügung und sind widerstandsfähig gegenüber Störungen.
     
  • Informationssicherheit:
    Die Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ist unser oberstes Ziel.
     
  • Informationssicherheits-Managementsystem:
    Jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst.

Strategische Ziele

Unsere strategischen Ziele im Rahmen des ISMS sind:

  • Vertraulichkeit von Daten:
    Schutz sensibler Informationen durch geeignete Maßnahmen wie Zugriffsrechte und Verschlüsselung.
     
  • Hohe Verfügbarkeit:
    Absicherung durch redundante Systeme, Backup-Strategien und Ausfallschutz, insbesondere im Betrieb der GFOS knownCloud.
     
  • Integrität von Informationen:
    Sicherstellung durch Change-Management-Verfahren, Zugriffskontrollen und definierte Prozesse.
     
  • Einhaltung gesetzlicher Vorgaben und Standards:
    Umsetzung aller relevanten rechtlichen, vertraglichen und normativen Anforderungen, insbesondere nach ISO/IEC 27001, sowie regelmäßige Informationssicherheitsschulungen der Mitarbeitenden und Audits zur Sicherstellung der Compliance.
     
  • Schnelle Reaktion auf Sicherheitsvorfälle:
    Erfassung, Analyse und Behebung von Vorfällen sowie Ableitung von „Lessons Learned“ zur Vermeidung künftiger Risiken.
     
  • Wirtschaftlichkeit:
    Durchführung von Sicherheitsmaßnahmen stets im angemessenen Verhältnis von Nutzen und Aufwand.

Diese Ziele schützen Informationen, Systeme und Prozesse der GFOS nachhaltig und stärken das Vertrauen unserer Kunden, Partner und Mitarbeitenden.

Verwaltung der Informationssicherheit

Zielvorgaben und Messung

Das ISMS der GFOS mbH stellt sicher, dass Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Resilienz von Informationen, Anwendungen und IT-Systemen gewährleistet sind.

Unsere Ziele orientieren sich an der Unternehmensstrategie und werden mindestens einmal jährlich überprüft und bewertet. Die Geschäftsführung legt die Zielvorgaben fest und kontrolliert deren Umsetzung. Maßnahmenziele werden vom Informationssicherheitsbeauftragten vorgeschlagen und von der Geschäftsführung genehmigt.

Die Zielerreichung wird regelmäßig gemessen und analysiert. Die Ergebnisse dienen als Grundlage für die kontinuierliche Verbesserung unseres Informationssicherheits-Managementsystems.

 

Anforderungen an Informationssicherheit

Die GFOS mbH erfüllt die Anforderungen der ISO 27001 und entwickelt ihr ISMS nach dem PDCA-Prinzip (Plan-Do-Check-Act) kontinuierlich weiter.

Unsere Leitlinie und das ISMS entsprechen allen relevanten rechtlichen, gesetzlichen, vertraglichen und normativen Vorgaben zu Informationssicherheit, Geschäftskontinuität und Datenschutz.

 

Maßnahmen zur Informationssicherheit

Sicherheitsmaßnahmen werden bei GFOS mbH auf Basis einer strukturierten Risikoanalyse ausgewählt und kontinuierlich in einer Risikomanagement-Software dokumentiert und fortgeführt.
Der Status und die Umsetzung der Maßnahmen werden transparent in der Erklärung zur Anwendbarkeit festgehalten.

 

Verantwortlichkeiten

  • Die Geschäftsleitung ist verantwortlich für die Umsetzung und Weiterentwicklung des ISMS sowie die Bereitstellung aller notwendigen Ressourcen.
  • Der Informationssicherheitsbeauftragte koordiniert den Betrieb des ISMS und berichtet regelmäßig über den Stand der Informationssicherheit.
  • Alle Mitarbeitenden sind verpflichtet, die Anforderungen der Informationssicherheit in ihrem Verantwortungsbereich einzuhalten.

Weitere ergänzende Rollen und Verantwortlichkeiten sind in der GFOS-Richtlinie „Informationssicherheitsrollen und -Verantwortlichkeiten“ beschrieben.

 

Disziplinarische Maßnahmen

Verstöße gegen diese Leitlinie oder die mitgeltenden Dokumente sind unverzüglich dem Informationssicherheitsbeauftragten oder einem Vorgesetzten zu melden.

Sämtliche Verstöße können disziplinarisch, arbeits-, straf- oder zivilrechtlich verfolgt werden.

 

Leitlinien-Kommunikation

GFOS stellt sicher, dass alle Mitarbeitenden und relevanten externen Parteien mit dieser Leitlinie vertraut sind.

Unterstützung der ISMS-Umsetzung

Hiermit erklärt die Geschäftsleitung, dass die ISMS-Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.