Informationssicherheitsleitlinie

Informationssicherheitsleitlinie
der telenetwork AG

Klassifikation: Öffentlich, Version v1.0 vom 11. März 2025
Inhaber des Dokumentes: Vorstand

1. Zweck, Anwendungsbereich und Anwender

Dieses Dokument definiert die Informationssicherheitsleitlinie der Organisation und somit das übergeordnete Ziel des Informationssicherheitsmanagementssystems (ISMS). In diesem Dokument wird der Zweck, die Ausrichtung, die Grundlagen sowie die allgemeinen Regelungen für das ISMS festgelegt.

Die in diesem Dokument festgelegte Informationssicherheitsleitlinie bezieht sich auf das gesamte ISMS gemäß dem definierten Anwendungsbereich.

Anwender des Dokuments sind alle Mitarbeitende der Organisation und relevante Dritte.

2. Begriffe der Informationssicherheit

Begriff	Bedeutung
Vertraulichkeit	Die Eigenschaft, dass Informationen nicht unbefugten Personen, Einrichtungen oder Prozessen zugänglich gemacht oder offengelegt werden.
Integrität	Die Eigenschaft der Richtigkeit und Vollständigkeit der Informationen.
Verfügbarkeit	Die Eigenschaft, dass Informationen bei Bedarf von einer autorisierten Stelle zugänglich und nutzbar sind.
Informationssicherheit	Erhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Informationssicherheitsmanagementsystem (ISMS)	Managementprozess, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung der Informationssicherheit befasst.

3. Stellenwert der Informationssicherheit

3.1 Geschäftsziele

Mit Leidenschaft, Pioniergeist und Weitblick schaffen wir seit 1999 technologische Infrastrukturen und digitale Plattformdienste von heute, morgen und für die Zukunft.

3.2 Relevante Anforderungen und interessierte Parteien

Insbesondere ist für uns wichtig, dass wir folgende Anforderungen erfüllen:

Kundenanforderungen
Vertragliche Anforderungen (Kunden & Lieferanten)
Rechtliche Anforderungen/ Gesetzgeber
Anforderungen der Mitarbeitenden
Anforderungen der Geschäftsführung
Anforderungen aus der Informationssicherheit auf Grundlage der Norm ISO 27001

3.3 Informationssicherheit

Das Thema Informationssicherheit hat entsprechend unserer Geschäftsziele einen hohen Stellenwert. Die Ziele für das ISMS leiten sich aus der gemäß Kapitel 3.1 beschriebenen Geschäftsstrategie der Organisation sowie gemäß Kapitel 3.2 beschriebenen relevanten Anforderungen und interessierten Parteien ab und können folgendermaßen zusammengefasst werden:

Sicherer Betrieb von TK und IT Dienstleistungen, sowie sicherer Betrieb von Rechenzentren (Hosting).

3.4 ISMS Ziele

Ziele des Informationssicherheitsmanagementsystems sind insbesondere:

Die Erfüllung aller Anforderungen der ISO/IEC 27001, insbesondere eine erfolgreiche (Re)-Zertifizierung.
Das Einhalten von vertraglichen und datenschutzrelevanten Anforderungen
Die Durchführung von ISMS-Trainings und Sensibilisierungsmaßnahmen zur Steigerung der Informationssicherheitskompetenz aller Mitarbeitenden
Das Gesamtrisiko der Organisation möglichst niedrig halten
Die Überprüfung unserer Lieferanten und Sicherstellung, dass Diese die vertraglich vereinbarte Leistung erbringen.

3.5 Informationssicherheitsmaßnahmen

Die Organisation verpflichtet sich, die geltenden Anforderungen an die Informationssicherheit zu erfüllen, wie sie in den themenspezifischen Informationssicherheitsrichtlinien des ISMS und ISO/IEC 27001 definiert sind. Geeignete Informationssicherheitsmaßnahmen (sogenannte Controls) werden innerhalb des Risikomanagementrahmens in der Methodik zur Risikobewertung und Risikobehandlung identifiziert, definiert und überprüft.

Die anwendbaren Informationssicherheitsmaßnahmen, ihr Umsetzungsstatus und etwaige Ausnahmen werden in der Erklärung zur Anwendbarkeit (sogenannte Statement of Applicability (SOA)) dokumentiert.

3.6 Nachhaltigkeit

Die Organisation verpflichtet sich, Nachhaltigkeitsaspekte in das Informationssicherheits-Managementsystem (ISMS) zu integrieren, indem

energieeffiziente IT-Infrastrukturen genutzt werden
Ressourcen schonend verwaltet werden
umweltfreundliche Maßnahmen zur Datensicherheit und -entsorgung umgesetzt werden
technologische Innovationen gefördert werden.

4. Verantwortlichkeiten

Im Rahmen des ISMS gibt es folgende relevante Verantwortlichkeiten für externe Dritte:

Stellenbezeichnung	Verantwortlich für
Geschäftsführung / Vorstand	Die korrekte Umsetzung und Instandhaltung des ISMS gemäß der Informationssicherheitsleitlinie sowie die Sicherstellung, dass ausreichend Ressourcen dafür verfügbar sind. Die Definition der Informationen, die im Rahmen der Informationssicherheit an interessierte Parteien kommuniziert werden.
ISB	Die Koordination des Betriebs des ISMS und die Berichterstattung über dessen Leistungsfähigkeit.- die Sicherstellung, dass jährliche Überprüfungen des ISMS bzw. bei entscheidenden Änderungen durchgeführt und protokolliert werden. Das Informationssicherheitsbewusstsein aller Mitarbeiter sowie deren Ausbildung und Schulung zum Thema Informationssicherheit. Die Behandlung von Informationssicherheitsvorfällen und Schwachstellen.

Stellenbezeichnung

Verantwortlich für

Geschäftsführung / Vorstand

Die korrekte Umsetzung und Instandhaltung des ISMS gemäß der Informationssicherheitsleitlinie sowie die Sicherstellung, dass ausreichend Ressourcen dafür verfügbar sind.

Die Definition der Informationen, die im Rahmen der Informationssicherheit an interessierte Parteien kommuniziert werden.

ISB

Die Koordination des Betriebs des ISMS und die Berichterstattung über dessen Leistungsfähigkeit.- die Sicherstellung, dass jährliche Überprüfungen des ISMS bzw. bei entscheidenden Änderungen durchgeführt und protokolliert werden.

Das Informationssicherheitsbewusstsein aller Mitarbeiter sowie deren Ausbildung und Schulung zum Thema Informationssicherheit.

Die Behandlung von Informationssicherheitsvorfällen und Schwachstellen.

5. Policy

Die Informationssicherheit ist auf der obersten Führungsebene der Organisation verankert. Die Geschäftsleitung der Organisation hat sich dem ISMS gemäß den Anforderungen von ISO/IEC 27001 und den Anforderungen des Risikomanagements verpflichtet, um das System an die sich ständig ändernden Geschäftsbedingungen anzupassen und sicherzustellen, dass die erforderlichen Ressourcen bereitgestellt werden. Dies soll alle relevanten Beteiligten des ISMS in die Lage versetzen, die Ziele der Informationssicherheit zu erreichen und das ISMS kontinuierlich zu verbessern. Das Management ist auch für die Umsetzung der Unternehmenspolitik verantwortlich.

6. Verpflichtungen und Zuständigkeiten im Bereich der Informationssicherheit

Alle Mitarbeitende und relevante Dritte müssen mit der Informationssicherheitsleitlinie der Organisation und dem ISMS vertraut sein. Alle Mitarbeitende müssen in Übereinstimmung mit der Informationssicherheitsleitlinie, den themenspezifischen Informationssicherheitsrichtlinien und allen von der Geschäftsführung festgelegten Vorgaben handeln. Sofern gegen Unternehmensrichtlinien verstoßen wird, können disziplinarische oder arbeitsrechtliche Maßnahmen eingeleitet werden. Die Geschäftsführung ist dafür verantwortlich, die Informationssicherheitsleitlinie zu kommunizieren und die Bedeutung des ISMS und der unternehmensweiten Verpflichtung zur Informationssicherheit zu verdeutlichen.

7. Verpflichtungen und Zuständigkeiten im Bereich der Informationssicherheit

Es exitsiert ein Kontinuierlicher Verbesserungsprozess. Das Unternehmen verpflichtet sich zur stetigen Verbesserung des Reifegrads und Schutzniveaus. Dieser Prozess wird in der Richtlinie „Verfahren zu Korrekturmaßnahmen“ genauer beschrieben. Verantortung hierfür hat generell die Geschäftsführung, welche den operativen Prozess an QMB und ISB delegiert.