Informationssicherheitsleitlinie

Dieses Dokument definiert die Informationssicherheitsleitlinie der Organisation und somit das übergeordnete Ziel des Informationssicherheitsmanagementssystems (ISMS). In diesem Dokument wird der Zweck, die Ausrichtung, die Grundlagen sowie die allgemeinen Regelungen für das ISMS festgelegt.

Die in diesem Dokument festgelegte Informationssicherheitsleitlinie bezieht sich auf das gesamte ISMS gemäß dem definierten Anwendungsbereich.

Anwendende des Dokuments sind alle Mitarbeitende der Organisation und relevante Dritte.

Hier einige relevante Begriffe und ihre Bedeutung:

• ‍Vertraulichkeit: die Eigenschaft, dass Informationen nicht unbefugten Personen, Einrichtungen oder Prozessen zugänglich gemacht oder offengelegt werden.‍
• Integrität: die Eigenschaft der Richtigkeit und Vollständigkeit der Informationen.‍
• Verfügbarkeit: die Eigenschaft, dass Informationen bei Bedarf von einer autorisierten Stelle zugänglich und nutzbar sind.‍
• Informationssicherheit: Erhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.‍
• Informationssicherheitsmanagementsystem (ISMS): Managementprozess, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung der Informationssicherheit befasst.

3.1. Geschäftsziele

Die Theobald Software GmbH verfolgt das Ziel, Unternehmen bei der sicheren, effizienten und zuverlässigen Integration von SAP-Daten in verschiedene Zielsysteme und -umgebungen zu unterstützen. Dabei steht die Gewährleistung einer hohen Datenverfügbarkeit für geschäftskritische Prozesse im Vordergrund, ebenso wie der Schutz der Vertraulichkeit sensibler Unternehmensdaten über den gesamten Datenfluss hinweg.

Ein zentrales Anliegen ist die Sicherstellung der Datenintegrität, um fehlerfreie, konsistente und nachvollziehbare Informationen bereitzustellen, die eine fundierte Entscheidungsfindung ermöglichen. Unsere Lösungen sollen so konzipiert sein, dass sie sowohl robust gegen Sicherheitsbedrohungen als auch flexibel an sich verändernde Geschäftsanforderungen angepasst werden können.

Zur Erreichung dieser Ziele wird das Informationssicherheits-Managementsystem (ISMS) kontinuierlich mit der strategischen Ausrichtung des Unternehmens abgestimmt. Dies umfasst auch die Festlegung und Verfolgung konkreter Informationssicherheitsziele gemäß ISO 27001, insbesondere im Hinblick auf:

• Minimierung von Sicherheitsrisiken bei der Datenintegration

• Aufrechterhaltung der Betriebsfähigkeit unserer Systeme (Verfügbarkeit)

• Sicherstellung der Vertraulichkeit von Kunden- und Geschäftsdaten

• Vermeidung von Datenverlusten und -manipulationen (Integrität)

‍

3.2. Relevante Anforderungen und interessierte Parteien

Insbesondere ist für Theobald Software GmbH wichtig, dass die folgenden Anforderungen erfüllt werden:

• Kundenanforderungen

• Vertragliche Anforderungen

• Rechtliche Anforderungen

‍

Die Erfordernisse und Erwartungen folgender interessierter Parteien möchte Theobald Software GmbH primär mit dem ISMS erfüllen:

• Kunden

• Gesetzgeber

‍

3.3. Informationssicherheit

Das Thema Informationssicherheit hat entsprechend der Geschäftsziele von Theobald Software GmbH einen hohen Stellenwert. Die Ziele für das ISMS leiten sich aus der Geschäftsstrategie gemäß Kapitel 3.1. Geschäftsziele der Organisation sowie aus den in Kapitel 3.2. Relevante Anforderungen und interessierte Parteien beschriebenen relevanten Anforderungen und interessierten Parteien ab.

Informationssicherheit ist für Theobald Software GmbH entscheidend, um die Integrität, Verfügbarkeit und Vertraulichkeit von SAP-Daten zu gewährleisten und somit die zuverlässige und sichere Integration in verschiedene Zielumgebungen zu ermöglichen.

Darüber hinaus verfolgt Theobald Software GmbH im Rahmen des Informationssicherheitsmanagementsystems folgende ergänzende Ziele:

• Einhaltung relevanter Gesetze, Vorschriften und vertraglicher Anforderungen, insbesondere in Bezug auf Datenschutz (z. B. DSGVO), IT-Sicherheitsgesetz, branchenspezifische Standards und internationale Normen wie ISO 27001, um rechtliche Risiken und mögliche Bußgelder zu vermeiden.

• Vermeidung bzw. Reduktion von Schäden durch Informationssicherheitsvorfälle, wie Datenverluste, unbefugten Zugriff oder Systemausfälle, durch präventive und reaktive Maßnahmen zur Risikominimierung und schnellen Wiederherstellung betroffener Systeme.

• Aufrechterhaltung und kontinuierliche Verbesserung des Unternehmensimages und der Kundenvertrauensbasis, indem durch ein nachweislich sicheres und zuverlässiges Produktumfeld eine nachhaltige Geschäftsbeziehung zu Kunden und Partnern gefördert wird.

‍

3.4. ISMS Ziele

Ziele des Informationssicherheitsmanagementsystems sind insbesondere:

Die Erfüllung aller Anforderungen der ISO/IEC 27001, insbesondere eine erfolgreiche (Re)-Zertifizierung, die Einführung und regelmäßige Durchführung von ISMS-Training und Sensibilisierungsmaßnahmen zur Steigerung der Informationssicherheitskompetenz aller Mitarbeitenden, das Gesamtrisiko der Organisation im Sinne der Informationssicherheit soll maximal "Mittel" sein.

Die Ziele des ISMS werden dokumentiert und deren Erfüllung gemäß Kapitel 3.5 überprüft.

‍

3.5. Planung und Überprüfung der Ziele der ISMS und ihrer Erfüllung

Bei der Planung, wie die Ziele des ISMS erreicht werden sollen, müssen die geplanten Maßnahmen, die Ressourcen, Verantwortlichkeiten, zeitlichen Ziele sowie die Bewertungsmethode für die Überprüfung festgelegt werden. Die Punkte sind zu dokumentieren. Die Ziele des ISMS und deren Erfüllung sind jährlich zu überprüfen. Verantwortlich für die Durchführung der Überprüfung, die Analyse der Ergebnisse der Überprüfung und die Erstellung eines Prüfberichts für das Management ist die informationssicherheitsbeauftragte Person.

‍

3.6. Informationssicherheitsmaßnahmen

Die Organisation verpflichtet sich, die geltenden Anforderungen an die Informationssicherheit zu erfüllen, wie sie in den themenspezifischen Informationssicherheitsrichtlinien des ISMS und ISO/IEC 27001 definiert sind. Geeignete Informationssicherheitsmaßnahmen (sogenannte Controls) werden innerhalb des Risikomanagementrahmens in der Methodik zur Risikobewertung und Risikobehandlung identifiziert, definiert und überprüft.

Die anwendbaren Informationssicherheitsmaßnahmen, ihr Umsetzungsstatus und etwaige Ausnahmen werden in der Erklärung zur Anwendbarkeit (sogenannte Statement of Applicability (SOA)) dokumentiert. Verantwortlich für die SOA ist die informationssicherheitsbeauftragte Person. Die SOA ist gemäß dem Kapitel 8. Verwaltung von Aufzeichnungen zu diesem Dokument abzulegen.

Im Rahmen des ISMS gibt es folgende Verantwortlichkeiten:

‍

Geschäftsführung

• die korrekte Umsetzung und Instandhaltung des ISMS gemäß der Informationssicherheitsleitlinie sowie die Sicherstellung, dass ausreichend Ressourcen dafür verfügbar sind.
• die Definition der Informationen, die im Rahmen der Informationssicherheit an interessierte Parteien kommuniziert werden.

‍

Informationssicherheitsbeauftragte Person

• die Koordination des Betriebs des ISMS und die Berichterstattung über dessen Leistungsfähigkeit.
• die Sicherstellung, dass jährliche Überprüfungen des ISMS bzw. bei entscheidenden Änderungen durchgeführt und protokolliert werden.
• das Informationssicherheitsbewusstsein aller Mitarbeitenden sowie deren Ausbildung und Schulung zum Thema Informationssicherheit.

‍

Asset-Owner

• die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit der Assets bzw. Informationen, für die die Person zuständig ist.

‍

Alle Mitarbeitenden

• die Meldung von Informationssicherheitsvorfällen oder Schwachstellen.

‍

Alle wesentlichen Verantwortlichkeiten und wiederkehrenden Aufgaben im ISMS werden über den Task Manager im Digital Compliance Office (DCO) gesteuert und dokumentiert.

Die Informationssicherheit ist auf der obersten Führungsebene der Organisation verankert. Die Geschäftsleitung der Organisation hat sich dem ISMS gemäß den Anforderungen von ISO/IEC 27001 und den Anforderungen des Risikomanagements verpflichtet, um das System an die sich ständig ändernden Geschäftsbedingungen anzupassen und sicherzustellen, dass die erforderlichen Ressourcen bereitgestellt werden. Dies soll alle relevanten Beteiligten des ISMS in die Lage versetzen, die Ziele der Informationssicherheit zu erreichen und das ISMS kontinuierlich zu verbessern. Das Management ist auch für die Umsetzung der Unternehmenspolitik verantwortlich.

Alle Mitarbeitende und relevante Dritte müssen mit der Informationssicherheitsleitlinie der Organisation und dem ISMS vertraut sein. Alle Mitarbeitende müssen in Übereinstimmung mit der Informationssicherheitsleitlinie, den themenspezifischen Informationssicherheitsrichtlinien und allen von der Geschäftsführung festgelegten Vorgaben handeln. Sofern gegen Unternehmensrichtlinien verstoßen wird, können disziplinarische Maßnahmen eingeleitet werden. Die Geschäftsführung ist dafür verantwortlich, die Informationssicherheitsleitlinie zu kommunizieren und die Bedeutung des ISMS und der unternehmensweiten Verpflichtung zur Informationssicherheit zu verdeutlichen.

Die folgenden Dokumente werden referenziert:

• Anwendungsbereich des ISMS

• Verfahren zur Identifikation von Erfordernissen

• Verfahren zu Informationssicherheitszielen & KPIs

• Verfahren zur Korrekturmaßnahmen

Folgende Aufzeichnungen werden zu diesem Dokument geführt:

• Übersicht der ISMS Ziele & KPIs

• Bericht ISMS & KPI Zielerreichung

• Management Review

• Berufung ISB

• Ressourcenplanung

• Übersicht rechtlicher, amtlicher, vertraglicher und anderer Erfordernisse

• Statement of Applicability (SOA) / VDA ISA catalogue

• [Kommunikationsmatrix]

‍

Die Aufzeichnungen sind gemäß dem Verfahren zur Lenkung von Dokumenten und Aufzeichnungen aufzubewahren.

Dieses Dokument ist gültig ab 1. September 2025.

Der Eigentümer dieses Dokuments ist der Informationssicherheitsbeauftragte, der das Dokument mindestens einmal jährlich prüfen und gegebenenfalls aktualisieren muss.

Für die Auswertung des Dokuments auf Wirksamkeit und Angemessenheit sowie möglichen Anpassungsbedarf müssen mindestens folgende Kriterien berücksichtigt werden:

• Ergebnisse von internen und externen Audits

• Ergebnisse der KPI-Auswertung

• Ergebnisse der Managementreviews

• Anpassungen, die sich aus dem Risikomanagement oder Korrekturmaßnahmen ergeben