CGM SOZIAL HRM → Der digitale Thementag (26.06.25) - Zur kostenlosen Anmeldung
Vertrieb:+49 261 8000 8000
Deutschland

Länderauswahl

Kundensupport
Deutschland
Menü
Länderauswahl
Schließen
Information Security Policy
Inhalte
Mission Statement
Ziele des ISMS
ISMS und BCMS
Governance-Modell
Mission Statement
Ziele des ISMS
ISMS und BCMS
Governance-Modell
Rot-blauer Banner, auf dem ein Sicherheitsschloss abgebildet ist
Weiter zu Vulnerability Management Policy

Information Security Policy

Mission Statement

Informationen sowie die kontinuierliche Verfügbarkeit der Produkte und Services sind für die Unternehmenstätigkeit der CompuGroup Medical SE & Co. KGaA (CGM) von entscheidender Bedeutung und nehmen hierbei eine wesentliche Rolle ein. CGM ist entscheidend auf das kontinuierliche Vertrauen der Kunden und Partner angewiesen. Dieses Vertrauen ist dank der jahrelangen Bemühungen aller Mitarbeiter der CGM entstanden. Dieser Wettbewerbsvorteil muss geschützt werden, denn dessen Verlust könnte für die CGM schwerwiegende Folgen haben und die Reputation des Unternehmens empfindlich beeinträchtigen. Deshalb ist der Schutz von Informationen und die Sicherstellung eines kontinuierlichen Geschäftsbetriebs von großer Bedeutung.

Aus diesen Gründen hat der Vorstand der CGM beschlossen, ein konzernweites Informationssicherheitsmanagement-System (ISMS) und ein konzernweites Business Continuity Management System (BCMS) einzuführen, aufrechtzuerhalten und zu verbessern. Das ISMS und das BCMS richten sich an den internationalen Standards ISO/IEC 27001 bzw. ISO/IEC 22301 aus und sind keine autarken Managementsysteme, sondern haben Schnittstellen sowohl untereinander als auch zu anderen Disziplinen, z. B. dem Enterprise Risk Management, dem Datenschutz oder dem Qualitätsmanagement.

Ziele des Informationssicherheits- und des Business Continuity Managements

Die Erfüllung von vertraglichen Vereinbarungen mit Kunden und Dienstleistern, die Einhaltung der gesetzlichen Vorschriften sowie die damit verbundenen Tätigkeiten stehen im Mittelpunkt der täglichen Arbeit der CGM.

Ziel des ISMS ist es, dass jede Art von Information, egal ob diese elektronisch gespeichert oder übertragen, auf Papier gedruckt, geschrieben oder in einem Gespräch übermittelt wird, immer angemessen geschützt und gespeichert wird.
Die grundlegenden Werte und Schutzziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit stehen dabei im Mittelpunkt.

Das übergeordnete Ziel des BCMS ist die Fortführung der zeitkritischen Geschäftsprozesse der CGM und die Verfügbarkeit von Ressourcen (Gebäude und Infrastruktur, IT, Personal, Dienstleister) auch bei Eintritt einer Notfall- oder Krisensituation zu gewährleisten.

Ausrichtung des ISMS und BCMS

Informationssicherheit und Business Continuity sind kein einmaliges Projekt, sondern erfordern ein zielgerichtetes und sich kontinuierlich verbesserndes Managementsystem, das sich an die stetig verändernden Rahmenbedingungen der CGM anpasst. Kern dieser kombinierten Managementsysteme ist demnach der PDCA-Zyklus.

Mit Hilfe dieses Zyklus ist es der CGM möglich, die Managementsysteme strukturiert zu initiieren (PLAN), normkonform umzusetzen und zu betreiben (DO), kontinuierlich zu überwachen (CHECK) sowie gezielt kontinuierlich zu verbessern (ACT).

Governance-Modell des ISMS und BCMS: Three Lines of Defense

Die zugrundeliegende Prämisse dieses Modells ist es, dass unter der Aufsicht und Leitung des CISO drei getrennte Gruppen (Verteidigungslinien) innerhalb der Organisation für eine effektive Verwaltung von Risiken im Bereich ISM und BCM erforderlich sind. Hierdurch werden die Rollen und Verantwortlichkeiten von Stakeholdern, die an den ISMS- und BCMS-Prozessen beteiligt sind, klar definiert.

  1. 1. Verteidigungslinie – " Risikoeigentümerschaft "

Die erste Verteidigungslinie bilden die Information Security Coordinators der Business Units und Service Units. Diese setzen die Vorgaben und Methodik aus der zweiten Verteidigungslinie in ihrem Zuständigkeitsbereich um. Die erste Verteidigungslinie ist für die operative Identifikation, Bewertung, Steuerung und Behandlung von Risiken verantwortlich.

  1. 2. Verteidigungslinie – " Risikokontrolle "

Die zweite Verteidigungslinie bildet die Group Information Security innerhalb der CGM unter der Verantwortung des CISO. Diese definiert Vorgaben und stellt die Nutzung gleicher Methodiken und Verfahren für die Behandlung der Risiken durch die erste Verteidigungslinie sicher und kontrolliert die korrekte Umsetzung bzw. Anwendung.

  1. 3. Verteidigungslinie – „ Risikoabsicherung “

Die dritte Verteidigungslinie stellt die Konzernrevision dar. Diese kontrolliert unabhängig die Vorgaben- und Kontrollmechanismen in der zweiten Verteidigungslinie sowie die Umsetzung und Wirksamkeit der Maßnahmen in der ersten Verteidigungslinie. Für Audits der ersten Verteidigungslinie wird ein gemeinsamer Audit-Ansatz in Zusammenarbeit mit der Group Information Security festgelegt.