Cyber Resilience – Informationssicherheits Politik

Informationssicherheit ist Sache Aller: Bei den Mitarbeitenden wird auf allen Ebenen das Verantwortungsbewusstsein für die Informationssicherheit geschult und gefördert. Die SV Group verpflichtet sich zum Einsatz der besten verfügbaren Technologie unter Berücksichtigung der wirtschaftlichen Möglichkeiten. Die Einhaltung aller einschlägigen Anforderungen (gesetzlich, behördlich und bezüglich Kundenforderungen) ist selbstverständlich. Darüber hinaus verpflichtet sich die SV Group, kontinuierlich an der Verbesserung der Informationssicherheit zu arbeiten.

Die SV Group hat im Bereich der Informationssicherheit folgende Ziele definiert: 

• Schulen eines sicherheitsgerechten Verhaltens am Arbeitsplatz
• Sicherheitsschutz vor Angriffen aus dem Internet, wie auch vor Malware und anderen Schädlingen, ermöglichen eines sicheren mobilen Arbeitens unterwegs und im Home-Office 
• auf die Rolle eingeschränkte Berechtigungen für Mitarbeitende und Administratoren 
• Reduktion der Schäden durch potenzielle Vorfälle
   

Die SV Group betreibt ein ISMS mit dem Ziel, die Informationssicherheit gezielt zu fördern und die Leistung der Unternehmung kontinuierlich zu verbessern. Das ISMS bildet einen integrierten Bestandteil des Qualitätsmanagements. Prozesse und Abläufe sind so definiert, dass die Informationssicherheit eingehalten wird. In regelmässigen Abständen werden Systeme auditiert, dazu gehören auch Leistungen von Drittparteien. Nichterfüllung und Nichterreichung einer Zielsetzung wird zum Anlass genommen, das System zu verbessern und eine nachhaltige Veränderung der Kultur und Arbeitsweise im Betrieb zu erreichen, welche auch künftige kontinuierliche Verbesserung sicherstellt, damit ein nachhaltiger Mehrwert für die SV Group entsteht.

Die Geschäftsleitung unterstützt die Informationssicherheitstätigkeiten mit den notwendigen Ressourcen. Zudem prüft sie die Einhaltung der Regeln und trifft bei Abweichungen entsprechende Massnahmen. 

Der Sicherheitsverantwortliche (CISO – Chief Information Security Officer) verantwortet, überwacht und verbessert das ISMS, setzt die definierten Ziele um und rapportiert der Geschäftsleitung und dem Verwaltungsrat.

Mitarbeitende auf allen Stufen sind verantwortlich für die Einhaltung der Informationssicherheit. Unterstützt und geschult werden sie durch die Vorgesetzten.

Externe Mitarbeitende sind verpflichtet, die Informationssicherheit innerhalb des Geltungsbereiches, in welchem sie eine Leistung erbringen, einzuhalten. Unterstützt und geschult werden sie durch den internen Auftraggeber.

Bei der Zusammenarbeit mit Dritten und bei der Auswahl der Lieferanten ist Informationssicherheit ein wichtiges Kriterium, diese müssen die Vorgaben der SV Group anwenden. Dazu werden vertragliche Regelungen getroffen. Die SV Group behält sich das Recht vor, die Umsetzung dieser Regeln zu auditieren.

Verstösse gegen die Vorgaben betreffend die Informationssicherheit werden nicht geduldet und daher entsprechend geahndet. Mit Drittparteien werden Konventionalstrafen vereinbart, bei Mitarbeitenden kommen die nötigen Abhilfemassnahmen, wie z.B. Sanktionen zur Anwendung.