ISMS Policy

Informationssicherheitspolitik

Die Axpo-WZ-Systems AG (AWS) zertifiziert sich nach der ISO Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderungen. Die konsequente Umsetzung der Ziele der ISO Norm unterstützt die Axpo WZ-Systems AG bei ihren Projekten und Vorhaben. Auch sind die Werte der Axpo WZ-Systems AG in den Zielen der ISO Norm abgebildet:

  • Nach Aussen entsteht eine Zusammenarbeit mit unseren Kunden, Partnern und Lieferanten, die auf Offenheit, Transparenz und Sicherheit aufbaut.
  • Gegen Innen wirken die Ziele als Orientierung für die Axpo WZ-Systems AG und fördern einen korrekten und sicheren Umgang mit Daten und Informationen. Dies schafft auch den Rahmen für die kontinuierliche Weiterentwicklung.

Geltungsbereich

Der Geltungsbereich des ISMS umfasst die Axpo WZ-Systems AG als Unternehmen mit all ihren Standorten, Assets und Mitarbeitenden (intern, extern und temporäre).

Ziele der Informationssicherheit

Die Axpo WZ-Systems hat sich folgende Ziele gesetzt:

  • Angemessener Schutz von Informationen in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität.
  • Erfüllung der gesetzlichen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
  • ISO 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen.

Das ISMS der Axpo WZ-Systems AG

Im Informationssicherheits-Managementsystem der Axpo WZ-Systems AG werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der AWS gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult. Die Anwendung dieser Regelungen ist zwingend und verbindlich.

Kontinuierliche Verbesserung

Das ISMS der Axpo WZ-Systems AG wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.

Begriffsdefinitionen

  • Informationssicherheit: Unter der Informationssicherheit verstehen wir alle Massnahmen, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.
  • Vertraulichkeit: Wir gewährleisten den Zugang zu Informationen nur für Zugangsberechtigte. Integrität: Wir stellen die Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden sicher.
  • Verfügbarkeit: Wir gewährleisten den bedarfsorientierten Zugang zu Informationen und den zugehörigen Werten für berechtigte*r Benutzer*in.
  • Informationssicherheits-Managementsystem (ISMS): Unter einem ISMS verstehen wir sämtliche Vorgaben, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
  • CISO (Chief Information Security Officer): Der CISO ist verantwortlich für die Informationssicherheit in seinem zugewiesenen Geltungsbereich.

Organisation und Verantwortlichkeiten

  • Geschäftsleitung: Die Geschäftsleitung ist das oberste operative Entscheidungsorgan der Firma und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO.
  • Interne Mitarbeitende / Generell: Alle Mitarbeitenden der AWS, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.
  • CISO: Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.
  • Asset Owner: Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.
  • Risk Owner: Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.
  • Projektleiter: Innerhalb von Axpo WZ-Systems AG werden Projekte nach der AWS Projektmethodik oder nach HERMES Standard durchgeführt. Die Projekt-Aufgaben und Projekt-Verantwortlichkeiten eines Projektleiters sind im Detail im Projekt-Quality-Plan (QP) zu finden. Es gehört demnach auch zu den Aufgaben des Projektleiters, dass die für ein Projekt relevanten ISO27000 Anforderungen und Aspekte identifiziert und bei der Umsetzung berücksichtigt werden.
  • Lieferantenmanager: Der Lieferantemanager ist für die Beziehung mit dem Lieferanten eines Produktes oder Services zuständig. Er hat auch zu prüfen und sicher zu stellen, dass der Lieferant die ISO27000 Anforderungen an sein Produkt einhalten kann und die notwendigen Bestätigungen auch vorliegen.
  • Externe Mitarbeitende / Mitarbeitende von Dritten: Die Regelungen der AWS im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten

Commitment

Die Mitarbeitenden der Axpo WZ-Systems AG gestalten das ISMS mit. Wir sind mit unseren Kolleginnen und Kollegen, Kunden und Partnern sowie Lieferanten gemeinsam unterwegs. Wir sind uns bewusst, dass wir in unseren Aufgabenbereichen mit sensitiven Daten und Informationen arbeiten und fühlen uns darin auch kompetent. Wir erarbeiten Lösungen, die diese Aspekte mitberücksichtigen. Mit unserem Verhalten und unserer sorgfältigen Vorgehensweise, tragen wir zum Vertrauen der Kunden, Partner und Lieferanten in die Axpo WZ-Systems AG bei.