PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/ims/02_fuehrung/informationssicherheitspolitik.md

4.4 KiB
Raw Blame History

Informationssicherheitsrichtlinie (ISMS-Dachdokument)

Dokumenttyp: Richtlinie Geltungsbereich: PORTA Enterprise KI-Plattform, gesamte PowerOn AG Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Geschäftsführung PowerOn AG Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 49, 52, 56

1. Zweck und Geltungsbereich

Diese Richtlinie definiert die grundlegenden Vorgaben, Prinzipien und Verantwortlichkeiten für die Informationssicherheit bei PowerOn. Sie ist das Dachdokument des Informationssicherheits-Managementsystems (ISMS) und verweist auf die detaillierten Einzelprozesse.

Der Geltungsbereich umfasst alle Systeme, Daten, Mitarbeitenden und Dienstleister, die an der Bereitstellung der PORTA-Plattform beteiligt sind — insbesondere die Infrastruktur bei Infomaniak (api.poweron.swiss, db.poweron.swiss), das Forgejo-basierte Entwicklungs- und Deployment-System sowie alle im Drittanbieter-Inventar gelisteten externen Dienste.

2. Sicherheitsziele

PowerOn verfolgt die klassischen Schutzziele der Informationssicherheit:

  • Vertraulichkeit: Kundendaten (Inhaltsdaten, insbesondere Berufsgeheimnisdaten) sind nur autorisierten Personen und Prozessen zugänglich.
  • Integrität: Daten und Systeme sind vor unbefugter oder unbeabsichtigter Veränderung geschützt.
  • Verfügbarkeit: Die Plattform und die Kundendaten stehen im Rahmen der vereinbarten Service Levels zur Verfügung.
  • Nachvollziehbarkeit: Zugriffe und Änderungen an kritischen Systemen sind protokolliert und auditierbar.

3. Organisation und Verantwortlichkeiten

Aufgrund der kleinen Teamgrösse (25 Personen) werden Rollen gebündelt. Eine vollständige Funktionstrennung ist nicht in allen Bereichen möglich; wo sie fehlt, greifen kompensierende Massnahmen (Vier-Augen-Prinzip bei Releases, Protokollierung privilegierter Zugriffe).

Rolle Verantwortung Träger
Informationssicherheits-Verantwortlicher (ISO/CISO-Funktion) Pflege des ISMS, Risikobeurteilung, Richtlinienfreigabe Patrick Motsch (p.motsch@poweron.swiss)
Datenschutzverantwortlicher Einhaltung DSG/DSGVO, AVV-Management Patrick Motsch (p.motsch@poweron.swiss)
Drittdienst-Verantwortlicher Verwaltung externer Dienste, Subunternehmer Patrick Motsch (p.motsch@poweron.swiss)
Betrieb / DevOps Server, Deployment, Backups, Incident-Handling Patrick Motsch (p.motsch@poweron.swiss)
Geschäftsführung Gesamtverantwortung, Freigabe Richtlinien Patrick Motsch (p.motsch@poweron.swiss)

4. Grundsätze

  1. Need-to-Know & Least Privilege: Zugriff nur im erforderlichen Umfang (Details: 02_Zugriffsmanagement_IAM_PAM.md).
  2. Sichere Standardkonfiguration: Systeme werden nach anerkannten Standards gehärtet (Details: 12_Netzwerk_und_Infrastruktursicherheit.md).
  3. Verschlüsselung: Daten werden bei Übertragung und Speicherung verschlüsselt (Details: 04_Verschluesselung_und_Schluesselmanagement.md).
  4. Nachvollziehbare Änderungen: Alle Produktivänderungen durchlaufen den Change-Prozess (Details: 08_Change_Management.md).
  5. Vorfallreaktion: Sicherheitsvorfälle werden klassifiziert, behoben und gemeldet (Details: 07_Incident_Response_und_Meldewesen.md).

5. Risikomanagement

PowerOn führt mindestens jährlich sowie anlassbezogen (z. B. bei wesentlichen Architekturänderungen) eine Risikobeurteilung der für Kunden relevanten Systeme durch. Identifizierte Risiken werden bewertet (Eintrittswahrscheinlichkeit × Auswirkung), behandelt (vermeiden / vermindern / übertragen / akzeptieren) und dokumentiert. Ergebnisse werden auf Anfrage berechtigten Kunden und Prüfern offengelegt.

6. Verbindlichkeit und Schulung

Diese Richtlinie ist für alle Mitarbeitenden und Hilfspersonen verbindlich. Neue Mitarbeitende werden im Onboarding auf die Richtlinie verpflichtet; eine Auffrischung erfolgt jährlich (siehe 03_Mitarbeitersicherheit_und_Screening.md).

7. Überprüfung

Die Richtlinie wird mindestens jährlich sowie bei wesentlichen Änderungen überprüft und durch die Geschäftsführung freigegeben.

8. Stand der Umsetzung / Lücken

Thema Status Geplante Massnahme
ISMS nach ISO/IEC 27001 zertifiziert Nicht vorhanden [ZU PRÜFEN: Zertifizierung geplant? Zeithorizont?]
Dokumentierte Rollenzuteilung In Arbeit (dieses Dokument) Namentliche Zuordnung ergänzen
Jährliche Risikobeurteilung [ZU PRÜFEN] Erstdurchführung terminieren