Informationssicherheit

Grundsatzerklärung

Die Bedeutung der Informationssicherheit für uns

HEURECON ist als Beratungsunternehmen in den Bereichen der Informations- und IT-Sicherheit in besonderem Maße von dem Vertrauen unserer Kunden in unseren professionellen Umgang mit den uns anvertrauten Informationen abhängig. Unsere Leistungsfähigkeit ist hierbei sowohl vom sensiblen und achtsamen Umgang mit Informationen jedes einzelnen Angestellten bei HEURECON, als auch von der Informations- und Telekommunikationstechnik mit zugehörigen Daten und Systemen abhängig. Von größter Bedeutung ist es deshalb, Informationssicherheit auf angemessenen Niveau und nach Stand der Technik zu gewährleisten.

Durch die vorliegende Grundsatzerklärung drücken wir die positive Haltung, das Interesse und das Verantwortungsbewusstsein der Geschäftsführung im Hinblick auf Informationssicherheit und Datenschutz aus.

Unsere Ziele

Angemessene Informationssicherheit gewährleistet die Verfügbarkeit, die Integrität, die Vertraulichkeit und Authentizität der von uns verarbeiteten Daten und der betriebenen Systeme zur Informationsverarbeitung. Diese müssen so geschützt werden, dass

  • sie und die darauf angewiesenen Geschäftsprozesse gemäß den Anforderungen verfügbar sind,
  • die Integrität der Daten und Systeme sichergestellt ist,
  • die Vertraulichkeit von verarbeiteten Informationen in angemessener Weise gewahrt ist,
  • die Authentizität (Echtheit) von Daten, Systemen und Kommunikationspartnern gewährleistet ist.

Auf Basis dieser Schutzziele entwickeln wir konkrete Informationssicherheitsziele und messen die Erreichung dieser Ziele regelmäßig.

Wir sehen es als wichtige Aufgabe an, Informationssicherheitsrisiken zu erkennen und diese durch geeignetes Handeln zu kontrollieren, d.h. auf ein angemessenes Maß zu verringern, zu vermeiden oder zu übertragen. Die gesetzlichen und regulativen Rahmenbedingungen stellen für uns in diesem Zusammenhang ein Minimalkriterium dar.

Unser Ziel ist es, die Informationssicherheit nicht nur auf einem risikoorientierten Niveau zu gewährleisten, sondern auch kontinuierlich zu verbessern. Um dieses Ziel zu erreichen, betreiben wir ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 in ihrer aktuell gültigen Fassung. Dabei tragen wir dafür Sorge, dass alle Anforderungen dieser Norm korrekt umgesetzt, die Informationssicherheitsziele an den Unternehmenszielen ausgerichtet, und die Prozesse und Schutzmaßnahmen innerhalb dieses Informationssicherheitsmanagementsystems kontinuierlich verbessert werden.

Insbesondere verpflichten wir uns:

  • Zur kontinuierlichen Überprüfung, Bewertung und Verbesserung der informationssicherheitsbezogenen Leistung des Unternehmens und des ISMS.
  • Die notwendigen Ressourcen zur Erreichung der strategischen und operativen Ziele zur Verfügung zu stellen.
  • Das informationssicherheitsbewusste Handeln unserer Mitarbeiter durch Qualifikation, Information und durch Vorbildfunktion unseres Handelns zu fördern.
  • Geltende gesetzliche und andere Anforderungen bzgl. der Informationssicherheit und des Datenschutzes einzuhalten.

Weitergehende Vorgaben und deren Verbindlichkeit

Weiterführende Konzepte, Richtlinien und Prozesse spezifizieren das Informationssicherheitsmanagement. Die in diesen getroffenen Festlegungen sind verbindlich für alle Mitarbeiterinnen und Mitarbeiter. Über notwendige Ausnahmen von den getroffenen Festlegungen entscheidet die Geschäftsführung im Einzelfall.

Fahrlässige und vorsätzliche Verstöße gegen die Vorgaben können disziplinarische wie arbeitsrechtliche Schritte nach sich ziehen.