1. Präambel

Die Organisationsleitung der CSS-Connect GmbH (nachfolgend CSS) hat beschlossen, ein integriertes Managementsystem zu etablieren. Darin werden die Anforderungen der Informationssicherheit und des Datenschutzes berücksichtigt. Diese Leitlinie beschreibt die Informationssicherheitsleitlinie der CSS und definiert die grundlegenden Ziele, Strategien und den Rahmen zur Gewährleistung einer einheitlich gelebten Informationssicherheit innerhalb des Unternehmens. Vor diesem Hintergrund ist ein angemessenes Niveau der Informationssicherheit in den Geschäftsprozessen der CSS zu organisieren. Die Sicherheit der Informationstechnik und der damit verarbeiteten Informationen ist unabdingbare Voraussetzung für die Umsetzung der einzuhaltenden gesetzlichen Vorgaben und der Erwartungshaltung unserer Kunden, Lieferanten und Geschäftspartnern an den Schutz ihrer Informationen. Eine erfolgreiche Umsetzung der Informationssicherheit setzt geregelte Verantwortungsstrukturen sowie die Unterstützung aller Mitarbeiter und Mitarbeitenden der CSS voraus. Um Informationssicherheit nachhaltig zu betreiben, wird mit dieser Leitlinie ein allgemeingültiger Rahmen formuliert. Das Ziel ist ein angemessener Schutz der Informationstechnik und der damit verarbeiteten Informationen. Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerledigung und damit für die Informationssicherheit trägt die Organisationsleitung der CSS.

Die Organisationsleitung ist insbesondere verantwortlich für:

• die Schaffung technischer und organisatorischer Rahmenbedingungen zur nachhaltigen Gewährleistung von Informationssicherheit;
• die Definition und Festlegung der erforderlichen Verantwortlichkeiten und Befugnisse;
• die Einführung eines Informationssicherheitsmanagementsystems (ISMS);
• die Umsetzung und Kontrolle der vereinbarten Sicherheitsmaßnahmen einschließlich der Bereitstellung der erforderlichen Mittel;
• Bildung eines Teams für die Informationssicherheit (IS-Team)
• eine hinreichende und geeignete Dokumentation der IT-Infrastruktur sowie aller Sicherheitsvorkehrungen und Sicherheitsmaßnahmen.

2. Anwendungsbereich

Diese Informationssicherheitsleitlinie gilt für die gesamte Organisation der CSS in Künzelsau und allen weiteren Standorten/Betriebstätten einschließlich aller Prozesse, Verfahren und beteiligten Ressourcen. Die Leitlinie und die daraus resultierenden Richtlinien und Maßnahmen sind von allen Mitarbeitern der CSS zu beachten, umzusetzen und einzuhalten. Diese Leitlinie kann, auch auszugsweise, an externe Parteien weitergegeben werden, sofern diese Anforderungen an die Informationssicherheit erfüllen müssen. Vertragspartner welche Service- oder Dienstleistungen für die CSS erbringen, werden zur Einhaltung der definierten Informationssicherheitsvorgaben schriftlich verpflichtet.

3. Schutzziele und Grundsätze der Informationssicherheit

3.1 Schutzziele

Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und der zur Verarbeitung von Informationen notwendigen Anwendungen und Systemen erkannt und gemäß den Vorgaben der Organisationsleitung erkannt, bewertet und behandelt wurden.

Dabei bedeuten:

Vertraulichkeit:

Vertrauliche Daten, Informationen und Programme sind vor unberechtigten Zugriffen und unbefugter Preisgabe zu schützen.

Integrität:

Der Begriff der Integrität bezieht sich sowohl auf Informationen, Daten als auch die gesamte IT-Infrastruktur. Integrität der Informationen bedeutet deren Vollständigkeit und Korrektheit. Vollständigkeit bedeutet, dass alle Teile der Information verfügbar sind. Korrekt sind Informationen, wenn sie den bezeichneten Sachverhalt unverfälscht wiedergeben.

Verfügbarkeit:

Die Funktionen der Hard- und Software im System- und Netzwerkbereich sowie notwendige Informationen stehen dem Anwender zum richtigen Zeitpunkt am richtigen Ort zur Verfügung.

Die Informationssicherheit umfasst neben der Sicherheit der eingesetzten Informationstechnik und der darin gespeicherten Informationen auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Informationen.

Informationssicherheit:

Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Informationssicherheitsmanagementsystem:

Managementprozess, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst.

Basierend auf den Anforderungen an das ISMS, die im Dokument „Liste rechtlicher, vertraglicher und sonstiger Anforderungen“ dokumentiert sind, werden die Ziele Verfügbarkeit, Vertraulichkeit und Integrität auf Anwendbarkeit bewertet und dokumentiert.

4. Wirtschaftlichkeitsbetrachtung

Die Maßnahmen für die Sicherstellung der Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit müssen wirksam, in einem wirtschaftlich vertretbaren Verhältnis zur Eintrittswahrscheinlichkeit und Schadensauswirkung von Informationssicherheitsrisiken stehen und der Größe der Organisation angemessen sein.

Die Organisationsleitung verpflichtet sich, die notwendigen Ressourcen (Zeit, Personal, Sach- und Investitionsmittel) bereit zu stellen. Angemessene und wirksame Maßnahmen zur Sicherstellung und Verbesserung der Informationssicherheit sind umzusetzen, die Organisationsleitung wird die notwendigen Ressourcen auch hierfür zu Verfügung stellen.

5. Prinzip des informierten Mitarbeiters

Alle Mitarbeiter der CSS werden im erforderlichen Umfang bezüglich der Informationssicherheit regelmäßig sensibilisiert und nachvollziehbar geschult.

6. Verantwortlichkeiten

6.1 Verantwortung der Organisationsleitung

Die Organisationsleitung erlässt verbindliche Vorgaben und Maßnahmen zur Informationssicherheit und gibt sie allen Mitarbeitern über das unternehmenseigene Intranet bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Vorgaben und Maßnahmen sicher. Die Gesamtverantwortung verbleibt, unberührt von allem, innerhalb der Organisationsleitung. Die Organisationsleitung verpflichtet sich, für die notwendigen Kompetenzen der eingesetzten Mitarbeiter im Rahmen des ISMS Sorge zu tragen.

6.2 Verantwortung der Führungskräfte

Für Geschäftsprozesse sind Verantwortliche zu benennen, die in dem ihnen zugewiesenen Verantwortungsbereich zuständig sind für:

• die Festlegung der geschäftlichen Relevanz der verarbeiteten Informationen und deren Schutzbedarf
• die Sicherstellung, dass Verantwortlichkeiten definiert und Sicherheits- und Kontrollmaßnahmen zur Verarbeitung und zum Schutz der Informationen implementiert werden.

Der Verantwortliche muss den Zugang zu Informationen sowie den Umfang und die Art der Autorisierung definieren, der im jeweiligen Verfahren erforderlich ist. Bei diesen Entscheidungen ist zu berücksichtigen:

• die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen und gesetzlichen Relevanz zu schützen.
• die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen.
• die notwendige Zugangsberechtigung der für die jeweiligen Geschäftsanforderungen erforderlichen Informationen.

6.3 Verantwortung aller Mitarbeiter

Alle Mitarbeiter der CSS sind verpflichtet, getroffene Informationssicherheitsmaßnahmen umzusetzen und an der Wirksamkeit und kontinuierlichen Verbesserung der Informationssicherheit mitzuwirken. Alle Mitarbeiter gewährleisten die Informationssicherheit durch verantwortungsbewusstes Handeln, und halten die für die Informationssicherheit relevanten Richtlinien und Anweisungen der Organisation ein. Sie gehen verantwortungsvoll mit den von ihnen genutzten Informationen und der IT-Infrastruktur einschließlich der IT-Geräte und Anwendungen um. Verstöße gegen die Informationssicherheit sind unverzüglich dem IS-Team / dem Informationssicherheitsbeauftragten (ISB) zu melden.

6.4 Verantwortung externer Leistungserbringer

Personen, Vertragspartner und Dienstleister, die nicht zur CSS gehören, für diese aber Leistungen erbringen, haben die Vorgaben zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie und zugehörigen Richtlinien zur Informationssicherheit einzuhalten. Die CSS informiert die externe Leistungserbringer über diese Regeln und verpflichtet sie in geeigneter Weise zu deren Einhaltung.

7. Verstöße gegen diese Leitlinie

Verstöße gegen die Informationssicherheitsleitlinie können schwerwiegende Folgen für die CSS haben. Diese Verstöße können sowohl absichtlich als auch unbeabsichtigt sein und umfassen eine Vielzahl von Handlungen. Bei erkannten Verstößen werden diese im Rahmen des Sicherheitsvorfalls-Management erfasst, bewertet und darauf basierend werden ggf. disziplinarische und/oder arbeitsrechtliche Schritte eingeleitet. Um solche Verstöße zu verhindern, ist es wichtig, dass die CSS klare Richtlinien und Verfahren hat und diese regelmäßig überprüft und aktualisiert. Zudem sollen Mitarbeiter regelmäßig geschult und für die Bedeutung der Informationssicherheit sensibilisiert werden.

8. Informationssicherheitsorganisation

8.1 Informationssicherheitsbeauftragter (ISB)

Als zentrale Informationssicherheitsinstanz der CSS ernennt die Organisationsleitung einen Informationssicherheitsbeauftragten (ISB), der für alle Fragen der Informationssicherheit und für die Überwachung und Messung der Leistungsfähigkeit des ISMS zuständig ist. Der ISB ist in Ausübung seiner Tätigkeit auf dem Gebiet der Informationssicherheit weisungsfrei, der Organisationsleitung direkt unterstellt und berichtet auch an diese. Er hat darüber hinaus jederzeit ein Vortragsrecht gegenüber der Organisationsleitung in Fragen der Informationssicherheit.

8.2 Kernteam zur Informationssicherheit (IS-Team)

Damit das ISMS der CSS auch Wirksamkeit erlangt, wurde ein Team zur Informationssicherheit (IS-Team) in der Organisation etabliert. Das IS-Team lenkt und überwacht alle Aktivitäten, welche die Informationssicherheit der CSS betreffen.

Das Kernteam besteht aus den folgenden Funktionsträgern:

• Koordinator für Informationssicherheit und Datenschutz in der Organisation, sowie Schnittstelle zur Organisationsleitung
• ISB
• DSB

Das IS-Team berät sich regelmäßig (mind. einmal pro Monat), zusätzlich bei akutem Handlungsbedarf, auch außerhalb des Regeltermins und fallbezogen werden Mitarbeiter aus anderen Abteilungen mit einbezogen.

9. Umsetzung

Diese Leitlinie zur Informationssicherheit der CSS bildet die Grundlage für die Erstellung fachspezifischer Richtlinien und detaillierter Regelungen zur Informationssicherheit. Diese Richtlinien werden durch die Fachabteilungen in Zusammenarbeit mit dem IS-Team erstellt. Die Freigabe erfolgt durch das IS-Team. Die erstellten Richtlinien unterliegen hinsichtlich der Erstellung, Kennzeichnung, Verteilung und regelmäßiger Überprüfung den Vorgaben.

10. Verbesserung der Informationssicherheit

Die Organisationsleitung erwartet und unterstützt eine fortlaufende Verbesserung der Informationssicherheit im Rahmen des ISMS. Das IS-Team wird hierzu eine Methodik zur Überwachung, Messung, Analyse und Bewertung der umgesetzten Maßnahmen und Prozesse im Rahmen des ISMS erstellen. Insbesondere werden die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Mitarbeitern bekannt, umsetzbar und in den Betriebsablauf integrierbar sind. Die Messung und Bewertung erfolgen unter anderem durch interne Audits. Grundlage hierfür ist ein vom IS-Team erstellter Plan für Überprüfungsmaßnahmen, um Kriterien und Umfang so zu gestalten, dass eine aussagekräftige Bewertung entsteht. Die Ergebnisse des Überwachungsprozesses, erkannte Verbesserungspotentiale und entsprechende Maßnahmen wird das IS-Team im Rahmen der regelmäßigen Berichterstattung an die Organisationsleitung kommunizieren. Basierend auf den Ergebnissen der Überwachung sowie der erkannten Verbesserungsmöglichkeiten und Maßnahmen wird die Organisationsleitung eine Managementbewertung erstellen in denen die umzusetzenden Verbesserungsmaßnahmen, sowie ggf. anderweitig erkannter Änderungsbedarf dokumentiert werden.

Die Informationssicherheitsleitlinie wurde durch die Organisationsleitung der CSS verabschiedet und tritt mit Wirkung vom 03.09.2025 in Kraft.