PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/01_Informationssicherheitsrichtlinie.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

66 lines
4.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Informationssicherheitsrichtlinie (ISMS-Dachdokument)
**Dokumenttyp:** Richtlinie
**Geltungsbereich:** PORTA Enterprise KI-Plattform, gesamte PowerOn AG
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Geschäftsführung PowerOn AG
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 49, 52, 56
---
## 1. Zweck und Geltungsbereich
Diese Richtlinie definiert die grundlegenden Vorgaben, Prinzipien und Verantwortlichkeiten für die Informationssicherheit bei PowerOn. Sie ist das Dachdokument des Informationssicherheits-Managementsystems (ISMS) und verweist auf die detaillierten Einzelprozesse.
Der Geltungsbereich umfasst alle Systeme, Daten, Mitarbeitenden und Dienstleister, die an der Bereitstellung der PORTA-Plattform beteiligt sind — insbesondere die Infrastruktur bei Infomaniak (`api.poweron.swiss`, `db.poweron.swiss`), das Forgejo-basierte Entwicklungs- und Deployment-System sowie alle im Drittanbieter-Inventar gelisteten externen Dienste.
## 2. Sicherheitsziele
PowerOn verfolgt die klassischen Schutzziele der Informationssicherheit:
- **Vertraulichkeit:** Kundendaten (Inhaltsdaten, insbesondere Berufsgeheimnisdaten) sind nur autorisierten Personen und Prozessen zugänglich.
- **Integrität:** Daten und Systeme sind vor unbefugter oder unbeabsichtigter Veränderung geschützt.
- **Verfügbarkeit:** Die Plattform und die Kundendaten stehen im Rahmen der vereinbarten Service Levels zur Verfügung.
- **Nachvollziehbarkeit:** Zugriffe und Änderungen an kritischen Systemen sind protokolliert und auditierbar.
## 3. Organisation und Verantwortlichkeiten
Aufgrund der kleinen Teamgrösse (25 Personen) werden Rollen gebündelt. Eine vollständige Funktionstrennung ist nicht in allen Bereichen möglich; wo sie fehlt, greifen kompensierende Massnahmen (Vier-Augen-Prinzip bei Releases, Protokollierung privilegierter Zugriffe).
| Rolle | Verantwortung | Träger |
|---|---|---|
| Informationssicherheits-Verantwortlicher (ISO/CISO-Funktion) | Pflege des ISMS, Risikobeurteilung, Richtlinienfreigabe | Patrick Motsch (p.motsch@poweron.swiss) |
| Datenschutzverantwortlicher | Einhaltung DSG/DSGVO, AVV-Management | Patrick Motsch (p.motsch@poweron.swiss) |
| Drittdienst-Verantwortlicher | Verwaltung externer Dienste, Subunternehmer | Patrick Motsch (p.motsch@poweron.swiss) |
| Betrieb / DevOps | Server, Deployment, Backups, Incident-Handling | Patrick Motsch (p.motsch@poweron.swiss) |
| Geschäftsführung | Gesamtverantwortung, Freigabe Richtlinien | Patrick Motsch (p.motsch@poweron.swiss) |
## 4. Grundsätze
1. **Need-to-Know & Least Privilege:** Zugriff nur im erforderlichen Umfang (Details: `02_Zugriffsmanagement_IAM_PAM.md`).
2. **Sichere Standardkonfiguration:** Systeme werden nach anerkannten Standards gehärtet (Details: `12_Netzwerk_und_Infrastruktursicherheit.md`).
3. **Verschlüsselung:** Daten werden bei Übertragung und Speicherung verschlüsselt (Details: `04_Verschluesselung_und_Schluesselmanagement.md`).
4. **Nachvollziehbare Änderungen:** Alle Produktivänderungen durchlaufen den Change-Prozess (Details: `08_Change_Management.md`).
5. **Vorfallreaktion:** Sicherheitsvorfälle werden klassifiziert, behoben und gemeldet (Details: `07_Incident_Response_und_Meldewesen.md`).
## 5. Risikomanagement
PowerOn führt mindestens jährlich sowie anlassbezogen (z. B. bei wesentlichen Architekturänderungen) eine Risikobeurteilung der für Kunden relevanten Systeme durch. Identifizierte Risiken werden bewertet (Eintrittswahrscheinlichkeit × Auswirkung), behandelt (vermeiden / vermindern / übertragen / akzeptieren) und dokumentiert. Ergebnisse werden auf Anfrage berechtigten Kunden und Prüfern offengelegt.
## 6. Verbindlichkeit und Schulung
Diese Richtlinie ist für alle Mitarbeitenden und Hilfspersonen verbindlich. Neue Mitarbeitende werden im Onboarding auf die Richtlinie verpflichtet; eine Auffrischung erfolgt jährlich (siehe `03_Mitarbeitersicherheit_und_Screening.md`).
## 7. Überprüfung
Die Richtlinie wird mindestens jährlich sowie bei wesentlichen Änderungen überprüft und durch die Geschäftsführung freigegeben.
## 8. Stand der Umsetzung / Lücken
| Thema | Status | Geplante Massnahme |
|---|---|---|
| ISMS nach ISO/IEC 27001 zertifiziert | Nicht vorhanden | [ZU PRÜFEN: Zertifizierung geplant? Zeithorizont?] |
| Dokumentierte Rollenzuteilung | In Arbeit (dieses Dokument) | Namentliche Zuordnung ergänzen |
| Jährliche Risikobeurteilung | [ZU PRÜFEN] | Erstdurchführung terminieren |
Reference in a new issue View git blame Copy permalink