Sicherheitspolitik

Aktualisiert am 17.02.2026

Einleitung

Betreff

Das vorliegende Dokument stellt die Leitlinie zur Informationssicherheit (ISLL) der Groupe BODET SA dar. 

Die von der Geschäftsführung genehmigte ISLL definiert: 

  • die strategischen Herausforderungen und Ziele im Bereich der Informationssicherheit, 
  • die Grundsätze der Governance der Informationssicherheit 
  • die Verpflichtungen der Geschäftsleitung zur Gewährleistung der Nachhaltigkeit, Effizienz und kontinuierlichen Verbesserung des Sicherheitssystems. 

Die ISLL wird durch die Richtlinien zur Informationssicherheit (IS-Richtlinien) ergänzt, die alle thematischen Vorgaben zur physischen, logischen, organisatorischen und personellen Sicherheit des Informationssystems umfassen. 

Kriterien für die Weitergabe

Der Dokumentenbestand der IS-Richtlinien wird nach dem Prinzip „Need-to-know” kontrolliert weitergegeben.

  • Die ISLL kann in ihrer Gesamtheit extern weitergegeben werden. Sie gibt die Verpflichtungen der Bodet-Gruppe in Bezug auf die Informationssicherheit wieder. 
  • Die IS-Richtlinien sind in erster Linie für den internen Gebrauch bestimmt. Relevante Auszüge können an externe Interessengruppen (Kunden, Partner, Behörden) weitergegeben werden, sofern dies vertraglichen oder gesetzlichen Vorgaben unterliegt. 
  • Die hierfür erforderlichen Verfahren werden intern zielgerichtet weitergegeben. 

Jedes Dokument enthält eine eindeutige Angabeüber die berechtigten Empfänger (Verteilerliste) . Aus Gründen der Vertraulichkeit dürfen in solchen Fällen nur relevante Auszüge weitergegeben werden.

Anwendungsbereich

Die ISLL gilt:

  • für das gesamte Informationssystem der Bodet-Gruppe , und alle seine Komponenten,
  • für alle Mitarbeiter, Führungskräfte, Angestellten, Zeitarbeitskräfte und Praktikanten
  • für alle Dienstleister, Partner und Dritten , die auf das IT-System zugreifen oder mit Informationen arbeiten, die in die Zuständigkeit der Bodet-Gruppe fallen.

Das Informationssystem umfasst alle Mittel, die es ermöglichen, Informationen zu erstellen, zu erfassen, zu verarbeiten, zu speichern, zu übertragen oder zu vernichten, ungeachtet der verwendeten Medien, Technologien oder Standorte. 

Sicherheitsstandards

Für die Bodet-Gruppe sind die folgenden Standards maßgeblich: 

  • die Norm ISO/IEC 27001 (2022),
  • der Leitfaden für IT-Grundschutz der ANSSI (42 Maßnahmen),
  • die DSGVO und die Vorgaben der französischen Aufsichtsbehörde CNIL, 
  • diefür ihre Tätigkeiten geltenden gesetzlichen und vertraglichen Verpflichtungen (RED2, CRA, NIS2), 
  • das Esquema Nacional de Seguridad (ENS) 

Glossar

  • Authentizität: Eigenschaft oder Merkmal zur Sicherstellung der Identität einer Stelle oder der Herkunft der Daten. 
  • Mitarbeiter jede Person, die zu den Geschäftstätigkeiten der Gruppe beiträgt und Zugriff auf das Informationssystem hat (Angestellte, Studierende/Praktikanten, Zeitarbeitskräfte usw.). 
  • Vertraulichkeit: Sicherstellung, dass die Informationen nur für Personen zugänglich sind, die im Rahmen ihrer Tätigkeit ein berechtigtes Interesse daran haben.
  • Einhaltung gesetzlicher Vorschriften: Eigenschaft, die gewährleistet, dass die Informationen in Übereinstimmung mit den ethischen, beruflichen und rechtlichen Grundsätzen sowie den in jedem Kontext geltenden Vorschriften verwaltet werden. 
  • Verfügbarkeit: Sicherstellung, dass die Daten für die beteiligten Stellen zum gewünschten Zeitpunkt und mit der gewünschten Leistung zugänglich und nutzbar sind. 
  • Informationen: Hierbei handelt es sich um alle Daten, die Eigentum der Bodet-Gruppe sind oder ihr von einem Kunden anvertraut wurden, unabhängig von ihrem Format (Papier, digital, mündlich). 
  • Integrität: Damit wird sichergestellt, dass die verarbeiteten Daten bei der Eingabe und Ausgabe korrekt und konsistent sind und dass diese Daten während ihrer Verarbeitung oder Speicherung nicht unerwünscht verändert werden. 
  • Software: Jedes Programm oder jede ausführbare Datei, die an der Verarbeitung von Informationen beteiligt ist (Betriebssystem, Überwachungssoftware, Büroanwendung, Branchensoftware usw.). 
  • Hardware: Alle physischen Geräte, die das Informationssystem unterstützen (Arbeitsplatzrechner, Server, Mobiltelefone, Wechseldatenträger, Netzwerkausrüstung usw.). 
  • Leitlinie zur Informationssicherheit (ISLL): Hierbei handelt es sich um die Gesamtheit der Richtlinien, in denen die Verpflichtungen, Ziele und Regeln der Gruppe im Bereich der Informationssicherheit festgelegt sind. 
  • • Netzwerk: Jede Form der Verbindung zwischen den Hardware- und Softwarekomponenten des Informationssystems, die den Datenaustausch ermöglicht (z. B. Standleitung, Telefonnetz, Internet, VPN, Standortverbindungen). 
  • Standort: Jeder physische Ort, der von der Bodet-Gruppe betrieben wird (Büros, Werke, Rechenzentren usw.).  
  • Managementsystem für Informationssicherheit (ISMS): Hierbei handelt es sich um die Gesamtheit der Richtlinien, in denen die Verpflichtungen, Ziele und Regeln der Gruppe im Bereich der Informationssicherheit festgelegt sind. 
  • Datenschutzmanagementsystem (DSMS): Hierbei handelt es sich um eine Reihe von organisatorischen Maßnahmen, die ein Unternehmen zur Sicherstellung der datenschutzkonformen Verarbeitung personenbezogener Daten umsetzt. Das DSMS orientiert sich an den Vorgaben der DSGVO und ist eine interne Richtlinie, die zur Gewährleistung der Datenschutzkonformität beiträgt und bei Bedarf entsprechende Nachweise liefert. Das Managementsystem verfolgt in erster Linie das Ziel, die Einhaltung der Datenschutzbestimmungen zu gewährleisten, kann aber auch nachträglich Verstöße korrigieren oder widerlegen. 
  • Rückverfolgbarkeit: Damit lässt sich nachweisen, dass ein Ereignis oder eine Handlung im Informationssystem stattgefunden hat, und welche Stellen oder Personen daran beteiligt waren.

Die Geschäftstätigkeiten der Bodet-Gruppe finden in einem von Cyberbedrohungen betroffenen Umfeld statt.

Kontext der Cybersicherheit

Die Digitalisierung der Anwendungen bringt für Privatpersonen und Unternehmen zahlreiche Vorteile mit sich, da sie Innovationen und die Entwicklung neuer wirtschaftlicher Möglichkeiten fördert. Allerdings führt sie auch zu einer erhöhten Abhängigkeit von kritischen Infrastrukturen. Durch dieVernetzung entsteht zudem eine höhere Komplexität, wodurch Gesellschaft und Unternehmen der Gefahr immer raffinierterer Cyberangriffe ausgesetzt sind.

Der cyberspace hat sich zu einem Schauplatz des Wettbewerbs und der Konfrontation entwickelt, der geopolitische Spannungen und internationale Konflikte widerspiegelt. Wie andere Länder auch steht Frankreich intensiven und weitreichenden Cyberbedrohungen gegenüber, die von Staaten, Cyberkriminellen, Aktivisten oder einer Kombination dieser Akteure ausgeht.

Diese Cyberangriffe erfolgen häufig aus wirtschaftlichen, politischen, militärischen oder ideologischen Motiven. Sie stören das Funktionieren der Gesellschaft, gefährden die nationale Sicherheit und verursachen erhebliche wirtschaftliche Verluste, die sich auf Lieferketten und die Geschäftskontinuität von Unternehmen auswirken.

Cyberangriffe haben viele Gesichter: Sie reichen von Spionage und Sabotage bis hin zu Erpressung und Subversion. Insbesondere die Zunahme der Cyberkriminalität und die Verbreitung von Tools für Cyberangriffe sind deutliche Anzeichen hierfür. Besonders gefährdet sind kritische Infrastrukturen, einschließlich Cloud-Dienste, die sensible Daten und strategische Anwendungen hosten.

Die Entstehung richtungsweisender Technologien — KI, Blockchain, Quanteninformatik – verstärkt die Risiken, indem sie bestimmte aktuelle Schutzmaßnahmen überflüssig macht und die Bedrohungslandschaft vielschichtiger erscheinen lässt.

Tätigkeitsspektrum der Gruppe

Die BODET-Gruppe entwickelt und stellt Software und Hardware für ihre Kunden her. Diese werden von BODET geliefert, installiert und gewartet. Zudem übernimmt das Unternehmen Reparaturen und den Hotline-Support.

Dabei hat die Gruppe regelmäßig mit sensiblen Daten zu tun, beispielsweise mit:

  • Forschungs- und Entwicklungsdaten,
  • Daten zur Steuerung der industriellen Produktion,
  • personenbezogene Daten von Dritten (Kunden, Lieferanten usw.),
  • personenbezogene Daten ihrer Mitarbeiter.

Diese Daten und Informationen sind für die reibungslose Abwicklung der Geschäftstätigkeit der Gruppe unverzichtbar.

Strategien, Herausforderungen und Ziele im Bereich Sicherheit

Strategische Ziele

Die Bodet-Gruppe arbeitet kontinuierlich daran Marktführerschaft in allen Geschäftsbereichen auszubauen und die Zufriedenheit ihrer Kunden zu gewährleisten.

In einer Welt, die zunehmend vernetzt und digitalisiert ist sind Unternehmen Cyberbedrohungen (wie Ransomware, Phishing oder die Verunstaltung von Websites) stärker ausgesetzt. Die Informationssicherheit ist für die BODET-Gruppe daher von entscheidender Bedeutung, denn nur so kann sie ihre Entwicklungsziele erreichen.

Die Bodet-Gruppe ist Cyberrisiken ausgesetzt, mit möglichen Auswirkungen auf:

  • Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Rückverfolgbarkeit und Einhaltung gesetzlicher Vorschriften in Bezug auf Unternehmensdaten und Kundeninformationen,
  • die Betriebskontinuität ihrer kritischen Aktivitäten,
  • ihren Ruf und ihre Position auf den nationalen/internationalen Märkten.

Der Erfolg der Gruppe hängt daher von der globalen Sicherheit ihres Informationssystems ab.. Cybersicherheit ist ein elementarer Bestandteil, der durch das Managementsystem für Informationssicherheit (ISMS) umgesetzt und in der Leitlinie zur Informationssicherheit (ISLL) präzisiert wird:

  • Antizipation und Reduzierung von Cyberrisiken,
  • Einhaltung gesetzlicher, behördlicher und vertraglicher Verpflichtungen,
  • Schutz der IT- und digitalen Vermögenswerte,
  • Gewährleistung der Kontinuität und Widerstandsfähigkeit der Tätigkeiten.

Sicherheitsherausforderungen

Die Bodet-Gruppe sieht sich wesentlichen Sicherheitsherausforderungen gegenüber, deren Bewältigung im Einklang mit den strategischen Ausrichtungen des Unternehmens erfolgen muss:

  • • Wettbewerbsfähigkeit: Gewährleistung der Verfügbarkeit und Zuverlässigkeit der Informationssysteme in einem globalen Wettbewerbsumfeld.
  • Umwelt: Unterstützung der nach ISO 14001 zertifizierten Maßnahmen durch zuverlässige und kontrollierte Systeme.
  • Innovation: Schutz von F&E-Arbeiten, Betriebsgeheimnissen und geistigem Eigentum.
  • International: Sicherung des Datenaustauschs mit Tochtergesellschaften, Händlern und Partnern in mehr als 110 Ländern.
  • Qualität: Integration der Cybersicherheit als wesentlicher Bestandteil der Qualität von Produkten und Dienstleistungen, insbesondere im Jahr 2026.
  • Responsivität: Gewährleistung einer hohen Verfügbarkeit und eines exzellenten Kundensupport.

Operative Ziele

Vor dem Hintergrund dieser Herausforderungen gewährleisten sicherheitsrelevante Ziele die Vorgaben hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Rückverfolgbarkeit der Daten und ihrer Verarbeitung. Die Bodet-Gruppe verpflichtet sich in diesem Zusammenhang:

  • zur Aufrechterhaltung der Sicherheit des Informationssystems rund um die Uhr,
  • zum Schutz der Daten der Gruppe und ihrer Kunden,
  • zur Förderung einer gemeinsamen Kultur der Informationssicherheit,
  • Zur Überwachung der Einhaltung der Vorgaben die durch gesetzliche und behördliche Auflagen festgelegt sind;
  • zur Kenntnis und Beherrschung der Cyberrisiken ;
  • zur Gewährleistung der Ausfallsicherheit des Informationssystems im Falle eines Vorfalls,
  • zur Festlegung eines Sicherheitsniveaus bei der Integration neuer Verbindungen in das Informationssystem,
  • zur Gewährleistung des guten Rufs der gesamten Gruppe,

Diese Ziele werden thematisch in den IS-Richtlinien aufgeführt. Diese stützt sich auf die Norm ISO 27002:2022, den Leitfaden für IT-Grundschutz der ANSSI, der französischen Behörde für Cybersicherheit, und bewährte Praktiken im Bereich der Informationssicherheit.

Governance der Informationssicherheit

Die Verpflichtung der Geschäftsleitung

Die Geschäftsleitung ist sich bewusst, dass die Zukunftsfähigkeit der Bodet-Gruppe von ihrer Fähigkeit abhängt, ihre Vermögenswerte vor Bedrohungen zu schützen, die sich nachteilig auf die Geschäftstätigkeit und die Daten des Unternehmens auswirken könnten.

Die Geschäftsleitung integriert die Richtlinie zur Informationssicherheit in die allgemeine Strategie der Unternehmensgruppe und stellt die für die reibungslose Funktion des ISMS erforderlichen Ressourcen bereit.

Eine detaillierte Verpflichtungserklärung wurde von der Geschäftsleitung unterzeichnet.

Ausschuss für Cybersicherheit

Der Ausschuss für Cybersicherheit der Bodet-Gruppe ist für die Steuerung und Koordinierung der Maßnahmen zum Schutz der Informationssicherheit im Einklang mit den strategischen Zielen des Unternehmens zuständig. Dieser Ausschuss tritt mindestens einmal im Monat zusammen. Die Geschäftsleitung verfolgt die Entwicklungen des ISMS und genehmigt wichtige Entscheidungen. Sie ist dessen bester Fürsprecher. 

Zur Gewährleistung der Sicherheit von Tätigkeiten und Daten in sensiblen Bereichen oder bei Bedarf können auch spezifische Ausschüsse für Cybersicherheit eingerichtet werden.

Die Zusammensetzung dieser Ausschüsse variiert je nach Bereich und behandelten Themen. Mindestens alle zwei Jahre wird eine Überprüfung der Rollen und Zuständigkeiten durchgeführt.

Die wichtigsten Rollen im Ausschuss sind: der Informationssicherheitsbeauftragte (ISB/CISO), der IT-Leiter bzw. CIO (Chief Information Officer), der Abteilungsleiter und der Systemverantwortliche.

Die wichtigsten Zuständigkeiten

  • Allgemeine Geschäftsleitung: Sie trägt die letztendliche Verantwortung für die Informationssicherheit, validiert die Richtlinie zur Informationssicherheit und stellt die erforderlichen Ressourcen bereit. 10 
  • Informationssicherheitsbeauftragter (ISB/CISO): Er legt die Umsetzung der ISLL und des ISMS fest, steuert und kontrolliert diese. Er gewährleistet die Einhaltung der Vorgaben gemäß ISO/IEC 27001 und der geltenden Vorschriften zur Informationssicherheit (NIS2, CRA usw.) durch das Unternehmen.
  • Datenschutzbeauftragter (DSB/DPO): Er legt die Umsetzung des Datenschutzmanagementsystems (DPMS) fest, steuert und kontrolliert dieses. Er gewährleistet die Einhaltung der Vorgaben gemäß der Datenschutz-Grundverordnung (DSGVO) sowie der geltenden Vorschriften zum Schutz personenbezogener Daten durch das Unternehmen. IT-Leiter/CIO: Er setzt in Abstimmung mit dem ISB/CISO die technischen Sicherheitsmaßnahmen um. 
  • Teamleiter/Abteilungsleiter: Sie sorgen für die Einhaltung der Sicherheitsvorschriften in ihren Teams/Abteilungen. 
  • Mitarbeiter und Dienstleister: Sie halten die Sicherheitsvorschriften ein und melden alle Vorfälle oder Unregelmäßigkeiten.

Die ISLL als Grundlage für die Umsetzung des ISMS

Aufbau der Dokumentation

Das ISMS soll sicherstellen, dass die Risiken im Zusammenhang mit der Sicherheit und Vertraulichkeit von Informationen bekannt sind, akzeptiert, verwaltet oder minimiert werden. Die Umsetzung erfolgt auf dokumentierte, systematische, strukturierte, reproduzierbare und akzeptable Weise und passt sich veränderten Risiken, Umgebungen und Technologien an. Die Dokumentation zum ISMS umfasst vier Ebenen:

  • Leitlinie zur Informationssicherheit (ISLL): Hierbei handelt es sich um das Referenzdokument, in dem die strategischen Herausforderungen der Unternehmensgruppe und die Governance-Grundsätze dargelegt und die Sicherheitsgrundlagen festgelegt sind.
  • Richtlinien zur Informationssicherheit: Hierbei handelt es sich um die vom Unternehmen festgelegten Sicherheitsregeln, die sich an den Leitfäden für bewährte Sicherheitspraktiken (ISO/IEC 27001/2, dem Leitfaden für IT-Grundschutz der ANSSI, der DSGVO usw.) orientieren.
  • Verfahren: Hierbei handelt es sich um die vom Unternehmen festgelegten Methoden zur technischen und betrieblichen Umsetzung.
  • Nachweise und Kennzahlen: Hierbei handelt es sich um Methoden zur Bewertung, mit denen die Leistung des ISMS gemessen werden kann.

Umsetzung

Im Dokument IS-Richtlinien werden die zuvor festgelegten Ziele für die Informationssicherheit als Sicherheitsrichtlinien formuliert. Diese Richtlinien müssen von allen am Informationssystem beteiligten Akteuren umgesetzt werden.

Durch die Berücksichtigung der in den IS-Richtlinien festgelegten Sicherheitsanforderungen hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Rückverfolgbarkeit von Daten und Verarbeitungen wird die Sicherheit bei jeder Weiterentwicklung des Informationssystems gewährleistet. Dieser Ansatz wird auch als Security/Privacy by Design bezeichnet.

Wesentliche Grundsätze

Nur der CISO hat alle Rechte zur Verwaltung und Strukturierung des ISMS. Bestimmten Profilen kann ein eingeschränkter Zugriff gewährt werden, der nach dem Need-to-know-Prinzip im Einzelfall angepasst wird (z. B. Vorlage von Nachweisen durch einen Administrator, Überprüfung durch einen Entscheidungsträger, Unterschrift der Geschäftsleitung usw.).

  • Need-to-know-Prinzip: Der Zugriff auf Informationen ist streng auf Personen beschränkt, die diese für die Ausübung ihrer Aufgaben tatsächlich benötigen.
  • Grundsatz der Sicherheitsanforderungen: Jeder Vermögenswert wird entsprechend seiner Kritikalität und Bedeutung für das Unternehmen mit einem angemessenen Sicherheitsniveau geschützt.
  • Grundsatz der geringsten Privilegien: Die jeweiligen Benutzer, Prozesse und Dienste verfügen nur über die für ihre Funktion unbedingt erforderlichen Berechtigungen und keine darüber hinausgehend.
  • Grundsatz der Relevanz der Datenerhebung: Die Menge der erhobenen Daten ist auf die vorgesehenen Zwecke beschränkt. Es werden nur Daten gespeichert, die für die Verarbeitung unbedingt erforderlich sind.
  • Grundsatz der Datenkontrolle: Die Verarbeitungsaktivitäten werden dokumentiert und die Daten auf dem neuesten Stand gehalten. Die Verbreitung nicht benötigter personenbezogener Daten wird vermieden, und veraltete oder nicht mehr benötigte Daten werden regelmäßig gelöscht.
  • • Grundsatz der Rechtmäßigkeit der Verarbeitung: Die Datenverarbeitung darf nur auf einer geeigneten Rechtsgrundlage erfolgen, etwa auf der Einwilligung, einer gesetzlichen Verpflichtung, einem öffentlichen Interesse, einem Vertrag, einer lebenswichtigen Notwendigkeit oder einem berechtigten Interesse.
  • • Grundsatz der fairen Erhebung: Die Daten müssen auf transparente und faire Weise erhoben werden, ohne die betroffenen Personen zu überraschen. Der Zweck der Erhebung muss deutlich erklärt und die Einwilligung gegebenenfalls bekräftigt werden.
  • Grundsatz der Zweckbindung: Informationen über natürliche Personen dürfen nur für einen bestimmten Zweck gespeichert und verwendet werden. Jede zum Zeitpunkt der Erhebung nicht vorgesehene Verwendung ist untersagt.
  • Grundsatz der begrenzten Speicherung: Für jede Verarbeitungstätigkeit muss eine angemessene Aufbewahrungsfrist festgelegt werden. Diese richtet sich nach den gesetzlichen Verpflichtungen und den betrieblichen Erfordernissen. Daten, die über diese Frist hinaus gespeichert werden, müssen gelöscht werden.

Jährliche Überprüfung

Die ISLL wird einmal jährlich vom Ausschuss für Cybersicherheit der Bodet-Gruppe überprüft und von der Geschäftsleitung genehmigt. Ziel ist es, sicherzustellen, dass sie mit den strategischen Zielen und Herausforderungen der Gruppe übereinstimmt. Eine Überprüfung findet auch im Falle wesentlicher Änderungen innerhalb des IT-Systems des Unternehmens statt.

Kontinuierliche Verbesserung

Der gesamte Lebenszyklus des ISMS basiert auf dem Prinzip der kontinuierlichen Verbesserung, das durch das nachstehende Deming-Rad (PDCA: Plan, Do, Check, Act) veranschaulicht wird: 

PhaseAktion
PLANEN (PLAN)Der Ausschuss für IT-Sicherheit erstellt die Richtlinie für Informationssicherheit und legt ihre operative Umsetzung fest, die von der Geschäftsleitung genehmigt wird. Anschließend erarbeiten sie einen Aktionsplan zur Umsetzung der festgelegten Regeln.
UMSETZEN (DO)Alle Mitarbeiter halten sich an die ISLL und greifen dabei auf die von der Geschäftsleitung bereitgestellten Mittel zurück, die über den IT-Verantwortlichen und sein Team zur Verfügung gestellt werden.
ÜBERPRÜFEN (CHECK)Die Anwendung der Bestimmungen der ISLL wird regelmäßig durch Audits und Tests überprüft. Im Rahmen der Sitzungen des Ausschusses für Cybersicherheit werden Kennzahlen zur Sicherheit (KPI) erhoben und analysiert.
VERBESSERN (ACT)Festgestellte Abweichungen werden korrigiert und/oder bei der Festlegung eines neuen Zyklus berücksichtigt. Es wird eine neue Iteration (PDCA) durchgeführt.

Ausnahmeregelungen

Alle Abweichungen von den festgelegten Sicherheitsregeln gelten als Sicherheitslücken. Es kann Ausnahmen geben. Jede Ausnahme von den Sicherheitsregeln erfordert eine formell genehmigte Ausnahmeregelung, die vom ISB/CISO und der Geschäftsleitung genehmigt und regelmäßig überprüft wird.

IDBetreffAntragsteller/ ReferentISLL-AusnahmeregelungAbhilfemaßnahmeDauer der AusnahmeregelungDatum der GenehmigungEntscheidungsträgerAblaufdatumStatusAbschlussdatum
           

Sanktionen

Jeder Verstoß gegen die in der ASLL festgelegten Regeln hat für den Mitarbeiter Disziplinarmaßnahmen zur Folge, die je nach Schwere des Verstoßes variieren und in der Betriebsordnung festgelegt sind..

Themen der IS-Richtlinien

Die IS-Richtlinien übernehmen die Kapitel der ISO/IEC 27002 mit den 2022 aktualisierten Vorgaben. Nachfolgend sind die wichtigsten Kapitel aufgeführt.

  • Kapitel 5 – Governance der Informationssicherheit: (ISLL). Die Governance legt den Rahmen für die Steuerung der Informationssicherheit fest. Sie definiert Richtlinien, Leitlinien und Grundsätze, die eine Gewährleistung, Kontrolle und Verbesserung der Informationssicherheit im Einklang mit der Strategie der Organisation ermöglichen.
  • Kapitel 6 – Organisation der Informationssicherheit: (Zuständigkeiten, Koordination, Mobilität, Telearbeit). In diesem Kapitel werden die Organisation der Sicherheit, die Verteilung von Rollen und Zuständigkeiten sowie die Integration der Sicherheit in interne und externe Geschäftsbeziehungen definiert. Es behandelt auch Fragen der Sicherheit im Zusammenhang mit Mobilität und dem Homeoffice.
  • Kapitel 7 – Personalsicherheit: Die Personalsicherheit soll sicherstellen, dass die Mitarbeiter ihre Verantwortung für die Informationssicherheit verstehen. Sie schützt die Interessen des Unternehmens während des gesamten Lebenszyklus der Mitarbeiter, d. h. vor ihrer Einstellung, während ihrer Beschäftigung und bei der Beendigung oder Änderung ihres Beschäftigungsverhältnisses.
  • Kapitel 8 – Verwaltung von Vermögenswerten: Die Verwaltung von Vermögenswerten umfasst die Identifizierung, Inventarisierung und Klassifizierung der Vermögenswerte des Unternehmens. Sie ermöglicht die Zuweisung eindeutiger Zuständigkeiten und gewährleistet, dass Informationen entsprechend ihrem Wert, ihrer Sensibilität und ihrer Bedeutung angemessen geschützt werden.
  • Kapitel 9 – Zugriffskontrolle: Dieses Kapitel befasst sich mit der Kontrolle des Zugriffs auf Systeme und Informationen durch geeignete Authentifizierungs- und Autorisierungsmechanismen. Es regelt die privilegierte Nutzung streng nach den Grundsätzen „Need-to-Know” und „Least Privilege” und schreibt die Rückverfolgbarkeit sensibler Aktionen vor.
  • Kapitel 10 – Verschlüsselung: Die Verschlüsselung gewährleistet die korrekte und effiziente Verwendung von Verschlüsselungsmechanismen zum Schutz der Vertraulichkeit, Integrität und Authentizität von Informationen. Dazu gehört auch die Verwaltung von Krypto-Schlüsseln.
  • Kapitel 11 – Physische und Umgebungssicherheit: Die physische Sicherheit zielt darauf ab, den unbefugten Zugriff, Schäden und Betriebsunterbrechungen im Zusammenhang mit Verlust, Diebstahl, Zerstörung oder Kompromittierung von physischen Vermögenswerten, Räumlichkeiten und kritischen Infrastrukturen zu verhindern.
  • Kapitel 12 – Betriebssicherheit: Die Betriebssicherheit gewährleistet einen zuverlässigen und sicheren Betrieb der Mittel zur Informationsverarbeitung. Sie umfasst den Schutz vor Malware, das Schwachstellenmanagement, die Protokollierung von Vorgängen, die Datensicherung und die Verhinderung des unwiderruflichen Verlusts von Informationen.
  • Kapitel 13 – Kommunikationssicherheit: Dieses Kapitel befasst sich mit dem Schutz von Informationen, die über interne und externe Netzwerke übertragen werden. Es umfasst die Sicherung der Kommunikation, des Fernzugriffs, der mobilen Nutzung und des Austauschs mit externen Stellen.
  • Kapitel 14 – Beschaffung, Entwicklung und Wartung von Systemen: Die Informationssicherheit muss in alle Phasen des Lebenszyklus von Systemen und Projekten integriert werden, d. h. bei der Konzeption, Entwicklung, Integration, dem Betrieb, der Wartung und dem Ende der Lebensdauer.
  • Kapitel 15 – Beziehungen zu Anbietern: Die Sicherheit in Bezug auf Anbieter soll gewährleisten, dass die für Dritte zugänglichen Vermögenswerte gemäß den Vorgaben des Unternehmens geschützt sind. Sie erfordert einen vertraglichen Rahmen, Sicherheitsvorgaben und eine Leistungsüberwachung.
  • Kapitel 16 – Umgang mit Sicherheitsvorfällen im Bereich der Informationssicherheit: Das Vorfallmanagement gewährleistet eine kohärente und wirksame Reaktion auf Sicherheitsvorfälle, unabhängig davon, ob diese durch Menschen, Technik oder die Umgebung verursacht wurden. Ein Sicherheitsvorfall liegt vor, wenn eine Situation die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen beeinträchtigen könnte. Das Unternehmen befolgt ein Verfahren, das Prävention, Erkennung, Reaktion und Wiederherstellung berücksichtigt.
  • Kapitel 17 – Geschäftskontinuität: Die Geschäftskontinuität soll sicherstellen, dass kritische Vermögenswerte und wesentliche Prozesse im Falle einer größeren Schadenslage durch Kontinuitäts- und Wiederherstellungspläne sowie Notfallmaßnahmen weiter funktionieren können.
  • Kapitel 18 – Compliance: Die Compliance soll Verstöße gegen gesetzliche, behördliche, vertragliche und normative Auflagen verhindern. Sie gewährleistet, dass die Informationssicherheit gemäß den Verpflichtungen und Richtlinien des Unternehmens umgesetzt, kontrolliert und durchgesetzt wird.