Ausgangslage und Geltungsbereich

​

Kunden, Lieferanten, Geschäftspartner und die AdelCloud IT AG (AdelCloud) selbst sind in hohem Masse von der Informations- und Kommunikationstechnik und ihrem sicheren und zuverlässigen Funktionieren abhängig. AdelCloud bekennt sich zur Verantwortung für die Gewährleistung der Informationssicherheit und zertifiziert sich nach der ISO Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderung. Dabei umfasst der Geltungsbereich der Zertifizierung die gesamte Firma AdelCloud IT AG.

Die AdelCloud hat sich folgende strategische ISMS Ziele gesetzt:

 

• Schutz von Informationen unabhängig von ihrer Form im Kontext Verfügbarkeit, Vertraulichkeit und Integrität

• Erfüllung sämtlicher gesetzlicher, vertraglicher und internen Vorgaben

• ISO 27001 als Werkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen

​

Das ISMS der AdelCloud

Im Informationssicherheits-Managementsystem der AdelCloud werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der AdelCloud gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult und unterstützt AdelCloud dabei, ihrer gesetzlichen Verantwortung für die Informationssicherheit gerecht zu werden. Die Anwendung dieser Regelungen ist zwingend und verbindlich.

Kontinuierliche Verbesserung

Das ISMS der AdelCloud wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.
 

Organisation und Verantwortlichkeiten
 

Interne Mitarbeitende / Generell

Alle Mitarbeitenden der AdelCloud, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

 

CISO (Chief Information Security Officer)

Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.
 

Asset Owner
 

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.
 

Risk Owner
 

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.
 

Lieferanten Manager
 

Der Lieferanten Manager bildet die Schnittstelle zwischen AdelCloud und deren Lieferanten. Er ist verantwortlich für die Kommunikation der für die Tätigkeiten der Partnerfirmen / Lieferanten relevanten Sicherheitsanforderungen und die Unterzeichnung der hierzu notwendigen Verträge und Vertragsanhänge.
 

Projektleiter
 

Projektleiter werden mit der Leitung von Projekten im Umfeld von AdelCloud betraut. Sie stellen sicher, dass die Massnahmen zur Informationssicherheit beim "Onboarding"- wie auch bei Migrations- und "Offboarding"-Projekten für Kunden von AdelCloud wie auch bei internen Projekten von AdelCloud eingehalten werden. 
 

Externe Mitarbeitende / Mitarbeitende von Dritten
 

Die Regelungen der AdelCloud im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten. Werden Dritte mit der Erbringung von Leistungen beauftragt, wird durch vertragliche Vereinbarungen sichergestellt, dass die Informationssicherheitsleitlinie eingehalten wird.
 

Kontrollen
 

Die AdelCloud überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.
 

Sanktionen
 

Die AdelCloud vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.