ISMS Policy

Ausgangslage und Geltungsbereich

 

Die SwissSalary Ltd. zertifiziert sich nach der ISO/IEC Norm 27001:2022 und verpflichtet sich zur Erfüllung dieser Anforderungen. Dabei umfasst der Geltungsbereich der Zertifizierung die gesamte Unternehmung an den beiden Standorten Urtenen-Schönbühl und Sursee.

 

Ziele der Informationssicherheit

 

SwissSalary Ltd. hat sich folgende Ziele gesetzt:

  • Angemessener Schutz von Informationen im Kontext Verfügbarkeit, Vertraulichkeit und Integrität.
  • Erfüllung aller gesetzlichen, regulatorischen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
  • ISO/IEC 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung von SwissSalary Ltd. nutzen

 

Begriffsdefinitionen

 

Informationssicherheit


Unter der Informationssicherheit werden alle Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer, personeller oder baulicher Natur sein.

 

  • Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und den zugehörigen Werten für berechtigte Benutzer.
  • Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.
  • Integrität: Sicherstellen der Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden.

 

Informationssicherheits-Managementsystem (nachfolgend «ISMS»)


Unter einem ISMS wird verstanden:

 

  • Sämtliche Regeln, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
  • Die Dokumentation erfolgt mittels ISMS Framework, den Controls der SOA (Anwendbarkeitserklärung) und mit entsprechenden Policies, Prozessübersichten und weiteren Nachweisdokumenten.

 

Compliance Officer ISMS


Der Compliance Officer ISMS ist mitverantwortlich für die Erarbeitung, Definition, Überwachung, Steuerung und den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Für die Organisation, Durchführung und Koordination externer Audits gemäss ISO/IEC 27001 obliegt dem Compliance Officer ISMS die Hauptverantwortung.

 

Chief Information Security Officer (nachfolgend «CISO»)


Der CISO ist verantwortlich für die Erarbeitung, Definition, Überwachung, Steuerung und den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Er rapportiert an das Executive Board und den Compliance Officer ISMS.

 

ISMS-Board


Das ISMS-Board, bestehend aus CISO und Compliance Officer ISMS, ist als Stabstelle ausgewiesen und implementiert um die übergeordnete Zielsetzung eines wirksamen und nachhaltigen ISMS zu betonen.

 

Das ISMS der SwissSalary Ltd.


Im Informationssicherheits-Managementsystem von SwissSalary Ltd. werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der SwissSalary Ltd. gegenüber ihren Anspruchsgruppen zu gewährleisten. Die Anwendung dieser Regelungen ist zwingend und verbindlich. Die ISMS Politik wird mit spezifischen Richtlinien ergänzt, welche die Umsetzung einzelner Themen in der Organisation sicherstellen. Das ISMS ist seit einigen Jahren wichtiger Bestandteil aller relevanten Prozesse, Dokumentationen, etc. Bei Eintritt von neuen Mitarbeitenden werden diese auf ISMS sensibilisiert und entsprechend geschult.

 

Kontinuierliche Verbesserung


Das ISMS der SwissSalary Ltd. wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.

 

Ausnahmen


Besteht die Notwendigkeit von Ausnahmen oder Befreiungen von geltenden Regelungen, werden diese transparent erfasst und mit risikovermindernden Massnahmen versehen, befristet bewilligt und deren Notwendigkeit wird regelmässig überprüft.

 

Organisation und Verantwortlichkeiten

 

Executive Board


Das Executive Board ist das oberste operative Entscheidungsorgan von SwissSalary Ltd. und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO sowie Compliance Officer ISMS.

 

Interne Mitarbeitende / Generell


Alle Mitarbeitenden der SwissSalary Ltd., welche Tätigkeiten im Geltungsbereich des ISMS verrichten sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Head ofs sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

 

CISO


Der CISO ist verantwortlich für die Erarbeitung, Definition, Überwachung, Steuerung und den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Er rapportiert an das Executive Board und dem Compliance Officer ISMS.

 

Compliance Officer ISMS


Der Compliance Officer ISMS ist mitverantwortlich für die Erarbeitung, Definition, Überwachung, Steuerung und den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Für die Organisation, Durchführung und Koordination externer Audits gemäss ISO/IEC 27001 obliegt dem Compliance Officer ISMS die Hauptverantwortung.

 

Asset Owner


Der Asset Owner trägt die Verantwortung für das zugewiesene Asset sowie seine Sicherung und regelmässige Überprüfung.

 

Asset Manager


Der Asset Manager trägt die Verantwortung für das zentrale Asset Management und stellt sicher, dass der Schutz der zugewiesenen Assets durch die Asset Owner erfolgt.

 

Risk Owner


Der Risk Owner trägt die Verantwortung für die Identifikation, Bewertung, Überwachung und Steuerung von Risiken und entscheidet über die zu treffenden Massnahmen für die Verwaltung und den Schutz der Risiken.

 

Risk Manager


Der Risk Manager trägt die Verantwortung für das zentrale Risk Management und verantwortet die Steuerung der Risiken und Prüfung der Massnahmen.

 

Supplier Manager


Der Supplier Manager verwaltet und überwacht die Lieferantenbeziehungen und stellt dabei sicher, dass das Lieferantenmanagement nach einem geregelten Prozess abläuft. Dies umfasst die Auswahl und Klassifizierung von Lieferanten nach vordefinierten Kriterien sowie die Festlegung von entsprechenden Massnahmen für die Bewirtschaftung.

 

Incident Manager


Der Incident Manager ist verantwortlich für die Erfassung, Priorisierung und Klassifizierung von Sicherheitsvorfällen (Incidents) und Nicht-Konformitäten innerhalb des ISMS. Er initiiert und bewertet Massnahmen zur Vorfallsbehandlung und sorgt für die kontinuierliche Verbesserung des Incident-Management-Prozesses sowie notwendige Anpassungen des ISMS.

 

Internal IT Manager


Der Internal IT Manager ist verantwortlich für die Planung, Implementierung, Verwaltung und Überwachung der internen IT-Infrastruktur und -Systeme. Diese Rolle stellt sicher, dass alle IT-Systeme sicher, effizient und zuverlässig betrieben werden.

 

Business Continuity Manager


Der Business Continuity Manager ist verantwortlich für die Planung, Implementierung und Verwaltung der Geschäftsfortführungsmassnahmen im Rahmen des ISMS. Dies umfasst die Entwicklung von Plänen und Strategien zur Sicherstellung der Kontinuität kritischer Geschäftsprozesse im Falle von Störungen oder Katastrophen.

 

Change Manager


Der Change Manager ist verantwortlich für den Änderungsantrag (Reqeust for Change, RFC), die Planung, Koordination und Umsetzung von Änderungen im Einklang mit den Anforderungen der ISO/IEC 27001. Diese Rolle stellt sicher, dass alle Änderungen kontrolliert und sicher durchgeführt werden, um die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme bei Änderungen weiterhin zu gewährleisten.

 

Stellvertretung


Für sämtliche Primary- wie auch Secondary-Roles sind Stellvertretende definiert.

 

Externe Mitarbeitende / Mitarbeitende von Dritten


Die Regelungen von SwissSalary Ltd. im Kontext Informationssicherheit gelten entsprechend auch für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten.

 

Kontrollen


SwissSalary Ltd. überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen werden dokumentiert und fliessen in die kontinuierliche Verbesserung ein.

 

Sanktionen


SwissSalary Ltd. behält sich vor, mit Dritten Konventionalstrafen zu vereinbaren, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –Weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen arbeitsrechtliche Sanktionen zur Anwendung; siehe Massregelungsprozess.

 

Chat