<!-- docId: IMS-05-02 -->
<!-- status: entwurf -->
<!-- version: 1.0 -->
<!-- owner: Patrick Motsch -->
<!-- approver: Geschäftsführung PowerOn AG -->
<!-- approvedDate: -->
<!-- nextReview: 2027-06-03 -->
<!-- classification: intern -->
<!-- isoRefs: 27001:5.2,5.1; 9001:5.2 -->

# Informationssicherheitsrichtlinie (ISMS-Dachdokument)

**Dokumenttyp:** Richtlinie
**Geltungsbereich:** PORTA Enterprise KI-Plattform, gesamte PowerOn AG
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Geschäftsführung PowerOn AG
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 49, 52, 56

---

## 1. Zweck und Geltungsbereich

Diese Richtlinie definiert die grundlegenden Vorgaben, Prinzipien und Verantwortlichkeiten für die Informationssicherheit bei PowerOn. Sie ist das Dachdokument des Informationssicherheits-Managementsystems (ISMS) und verweist auf die detaillierten Einzelprozesse.

Der Geltungsbereich umfasst alle Systeme, Daten, Mitarbeitenden und Dienstleister, die an der Bereitstellung der PORTA-Plattform beteiligt sind — insbesondere die Infrastruktur bei Infomaniak (`api.poweron.swiss`, `db.poweron.swiss`), das Forgejo-basierte Entwicklungs- und Deployment-System sowie alle im Drittanbieter-Inventar gelisteten externen Dienste.

## 2. Sicherheitsziele

PowerOn verfolgt die klassischen Schutzziele der Informationssicherheit:

- **Vertraulichkeit:** Kundendaten (Inhaltsdaten, insbesondere Berufsgeheimnisdaten) sind nur autorisierten Personen und Prozessen zugänglich.
- **Integrität:** Daten und Systeme sind vor unbefugter oder unbeabsichtigter Veränderung geschützt.
- **Verfügbarkeit:** Die Plattform und die Kundendaten stehen im Rahmen der vereinbarten Service Levels zur Verfügung.
- **Nachvollziehbarkeit:** Zugriffe und Änderungen an kritischen Systemen sind protokolliert und auditierbar.

## 3. Organisation und Verantwortlichkeiten

Aufgrund der kleinen Teamgrösse (2–5 Personen) werden Rollen gebündelt. Eine vollständige Funktionstrennung ist nicht in allen Bereichen möglich; wo sie fehlt, greifen kompensierende Massnahmen (Vier-Augen-Prinzip bei Releases, Protokollierung privilegierter Zugriffe).

| Rolle | Verantwortung | Träger |
|---|---|---|
| Informationssicherheits-Verantwortlicher (ISO/CISO-Funktion) | Pflege des ISMS, Risikobeurteilung, Richtlinienfreigabe | Patrick Motsch (p.motsch@poweron.swiss) |
| Datenschutzverantwortlicher | Einhaltung DSG/DSGVO, AVV-Management | Patrick Motsch (p.motsch@poweron.swiss) |
| Drittdienst-Verantwortlicher | Verwaltung externer Dienste, Subunternehmer | Patrick Motsch (p.motsch@poweron.swiss) |
| Betrieb / DevOps | Server, Deployment, Backups, Incident-Handling | Patrick Motsch (p.motsch@poweron.swiss) |
| Geschäftsführung | Gesamtverantwortung, Freigabe Richtlinien | Patrick Motsch (p.motsch@poweron.swiss) |

## 4. Grundsätze

1. **Need-to-Know & Least Privilege:** Zugriff nur im erforderlichen Umfang (Details: `02_Zugriffsmanagement_IAM_PAM.md`).
2. **Sichere Standardkonfiguration:** Systeme werden nach anerkannten Standards gehärtet (Details: `12_Netzwerk_und_Infrastruktursicherheit.md`).
3. **Verschlüsselung:** Daten werden bei Übertragung und Speicherung verschlüsselt (Details: `04_Verschluesselung_und_Schluesselmanagement.md`).
4. **Nachvollziehbare Änderungen:** Alle Produktivänderungen durchlaufen den Change-Prozess (Details: `08_Change_Management.md`).
5. **Vorfallreaktion:** Sicherheitsvorfälle werden klassifiziert, behoben und gemeldet (Details: `07_Incident_Response_und_Meldewesen.md`).

## 5. Risikomanagement

PowerOn führt mindestens jährlich sowie anlassbezogen (z. B. bei wesentlichen Architekturänderungen) eine Risikobeurteilung der für Kunden relevanten Systeme durch. Identifizierte Risiken werden bewertet (Eintrittswahrscheinlichkeit × Auswirkung), behandelt (vermeiden / vermindern / übertragen / akzeptieren) und dokumentiert. Ergebnisse werden auf Anfrage berechtigten Kunden und Prüfern offengelegt.

## 6. Verbindlichkeit und Schulung

Diese Richtlinie ist für alle Mitarbeitenden und Hilfspersonen verbindlich. Neue Mitarbeitende werden im Onboarding auf die Richtlinie verpflichtet; eine Auffrischung erfolgt jährlich (siehe `03_Mitarbeitersicherheit_und_Screening.md`).

## 7. Überprüfung

Die Richtlinie wird mindestens jährlich sowie bei wesentlichen Änderungen überprüft und durch die Geschäftsführung freigegeben.

## 8. Stand der Umsetzung / Lücken

| Thema | Status | Geplante Massnahme |
|---|---|---|
| ISMS nach ISO/IEC 27001 zertifiziert | Nicht vorhanden | [ZU PRÜFEN: Zertifizierung geplant? Zeithorizont?] |
| Dokumentierte Rollenzuteilung | In Arbeit (dieses Dokument) | Namentliche Zuordnung ergänzen |
| Jährliche Risikobeurteilung | [ZU PRÜFEN] | Erstdurchführung terminieren |