ISMS Policy
1 Ausgangslage und Geltungsbereich
Die Büchi Labortechnik AG zertifiziert sich nach der ISO Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderungen. Dabei umfasst der Geltungsbereich der Zertifizierung den Standort Flawil, alle Mitarbeiter in Flawil und die aus Flawil betriebenen zentralen IT/HR Services.
2 Ziele der Informationssicherheit
Die Büchi Labortechnik AG hat sich folgende Ziele gesetzt:
- Angemessener Schutz von Informationen in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität.
- Erfüllung der gesetzlichen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
- ISO 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen.
3 Das ISMS der Büchi Labortechnik AG
Im Informationssicherheits-Managementsystem der Büchi Labortechnik AG werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der Büchi Labortechnik AG gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult. Die Anwendung dieser Regelungen ist zwingend und verbindlich.
4 Kontinuierliche Verbesserung
Das ISMS der Büchi Labortechnik AG wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.
5 Organisation und Verantwortlichkeiten
5.1 Geschäftsleitung
Die Geschäftsleitung ist das oberste operative Entscheidungsorgan der Firma und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO.
5.2 Interne Mitarbeitende / Generell
Alle Mitarbeitenden der Büchi Labortechnik AG, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.
5.3 CISO
Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.
5.4 Asset Owner
Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.
5.5 Risk Owner
Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.
5.6 Leiter ICT
Der Leiter ICT ist verantwortlich für die Strategie, Betrieb, Unterhalt, Optimierung und Modernisierung der ICT-Systeme und Business Applikationen.
5.7 Leiter Quality Management
Der Leiter Quality Management ist für die Überwachung, Einhaltung und Optimierung der Qualitätsstandards und Unternehmensprozesse zuständig.
5.8 Lieferanten Manager
Der Lieferanten Manager ist für das Lieferantenmanagement und die Auswahl, Lieferperformance, Lieferqualität und Entwicklung der Lieferanten verantwortlich.
5.9 Leiter Facility Management
Der Facility Manager ist für den Unterhalt und Instandhaltung der Gebäude und der Infrastruktur verantwortlich. Dies beinhaltet die Reinigung und den physikalischen Zutritt.
5.10 IT Enterprise Architect
Der IT Enterprise Architect definiert und entwickelt zusammen mit der ICT und den Fachabteilungen die Applikationslandschaft von der Gesamtorganisation und prüft regelmässig deren Aktualität und deren Weiterentwicklung auch bei jedem neuen Projekt, welches Einfluss auf das Applikationsportfolio haben kann.
5.11 Service Desk Manager
Der Service Desk Manager bestimmt die Prioritäten im Service Desk und steuert alle internen und externen Ressourcen für einen lösungsorientierten Service Desk.
5.12 Externe Mitarbeitende / Mitarbeitende von Dritten
Die Regelungen der Büchi Labortechnik AG im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten.
6 Kontrollen
Die Büchi Labortechnik AG überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.
7 Sanktionen
Die Büchi Labortechnik AG vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –Weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.
8 Begriffsdefinitionen
8.1 Informationssicherheit
Unter der Informationssicherheit werden alle Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.
- Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.
- Integrität: Sicherstellen der Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden.
- Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und den zugehörigen Werten für berechtigte Benutzer.
8.2 Informationssicherheits-Managementsystem (ISMS)
Unter einem ISMS wird verstanden:
- Sämtliche Regeln, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
- Die Dokumentation erfolgt mittels ISMS Framework, den Controls der SOA (Anwendbarkeitserklärung) und mit entsprechenden Policies, Prozessübersichten und weiteren Nachweisdokumenten.
8.3 CISO (Chief Information Security Officer)
Der CISO ist verantwortlich für die Informationssicherheit in seinem zugewiesenen Geltungsbereich.