PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/ims/01_kontext/kontext-und-interessierte-parteien.md

3.2 KiB
Raw Blame History

Kontext der Organisation & interessierte Parteien

Dokumenttyp: Grundlagendokument ISO 9001 / 27001 Kap. 4.1-4.2: Bestimmung des organisatorischen Kontexts und der relevanten interessierten Parteien samt deren Anforderungen.

1. Organisation

PowerOn AG ist ein Schweizer Software-Unternehmen und betreibt die PORTA Enterprise KI-Plattform -- eine Multi-Tenant-SaaS-Lösung mit Feature-Store-Modell, AI-Agent-Workspace und mandantenweiter Datenneutralisierung. Zielkunden sind mittlere bis grosse Unternehmen in datenschutzsensiblen Branchen (Finanzwesen, Treuhand, Immobilien, Beratung). Sehr kleines Team (2-5 Personen).

2. Externe Themen (Kontext)

  • Regulatorik: CH nDSG/revDSG, EU-DSGVO, für Bankkunden FINMA-Rundschreiben 2018/3 & 2023/1, GLKB Cloud Assessment (CACC).
  • Markt: hohe Erwartung an Datensouveränität (CH-Hosting), KI-Transparenz, Nachweisbarkeit (ISO 27001/9001 als Einkaufskriterium).
  • Technologie: Abhängigkeit von externen LLM-Providern (OpenAI USA u. a.), Cloud-Hosting Infomaniak (CH).
  • Bedrohungslage: Web-/Cloud-Angriffe, Lieferkettenrisiken, KI-spezifische Risiken (Prompt-Injection, Datenabfluss).

3. Interne Themen (Kontext)

  • Kleines Team -> Rollenbuendelung, eingeschränkte Funktionstrennung (kompensierende Massnahmen).
  • Hoher Automatisierungsgrad (Forgejo CI/CD, Infrastruktur, Wiki-basierte Doku).
  • Wissenskonzentration auf wenige Personen (Schlüsselpersonenrisiko).

4. Interessierte Parteien und Anforderungen

Interessierte Partei Wesentliche Anforderungen
Kunden (inkl. Banken/Treuhänder) Datenschutz, Vertraulichkeit, Verfügbarkeit (SLA), Nachweise/Zertifikate, Auditierbarkeit
Endnutzer Funktionierende, sichere, performante Plattform; Datenschutzrechte
Geschäftsführung/Eigner Wirtschaftlichkeit, Reputation, Compliance, beherrschbares Risiko
Mitarbeitende Klare Prozesse, sichere Arbeitsmittel, Kompetenzentwicklung
Aufsicht/Regulatoren Einhaltung Datenschutz- und Finanzmarktvorgaben
Lieferanten/Subunternehmer Klare Verträge, AVVs, Sicherheitsanforderungen
Zertifizierungsstelle Normkonformes, gelebtes, nachweisbares Managementsystem

5. Geltungsbereich des IMS

Festlegung in geltungsbereich-scope.md.

6. Wesentliche Prozesse (Prozesslandkarte)

flowchart LR
    subgraph fuehrung [Führungsprozesse]
        F1["Strategie & Management-Review"]
        F2["Risiko- & Compliance-Management"]
    end
    subgraph kern [Kernprozesse]
        K1["Produktmanagement & Anforderungen"]
        K2["Software-Entwicklung (SDLC)"]
        K3["Release & Change Management"]
        K4["Betrieb & Support der PORTA-Plattform"]
    end
    subgraph support [Unterstützungsprozesse]
        S1["Beschaffung & Lieferanten"]
        S2["Personal & Kompetenz"]
        S3["IT-Sicherheit & Infrastruktur"]
        S4["Dokumentenlenkung"]
    end
    F1 --> K1 --> K2 --> K3 --> K4
    F2 --> K2
    support --> kern