72 lines
3.2 KiB
Markdown
72 lines
3.2 KiB
Markdown
<!-- docId: IMS-04-01 -->
|
|
<!-- status: entwurf -->
|
|
<!-- version: 0.1 -->
|
|
<!-- owner: Patrick Motsch -->
|
|
<!-- approver: Geschäftsführung PowerOn AG -->
|
|
<!-- approvedDate: -->
|
|
<!-- nextReview: 2027-06-03 -->
|
|
<!-- classification: intern -->
|
|
<!-- isoRefs: 9001:4.1-4.2; 27001:4.1-4.2 -->
|
|
|
|
# Kontext der Organisation & interessierte Parteien
|
|
|
|
**Dokumenttyp:** Grundlagendokument
|
|
ISO 9001 / 27001 Kap. 4.1-4.2: Bestimmung des organisatorischen Kontexts und der relevanten interessierten Parteien samt deren Anforderungen.
|
|
|
|
## 1. Organisation
|
|
|
|
PowerOn AG ist ein Schweizer Software-Unternehmen und betreibt die **PORTA Enterprise KI-Plattform** -- eine Multi-Tenant-SaaS-Lösung mit Feature-Store-Modell, AI-Agent-Workspace und mandantenweiter Datenneutralisierung. Zielkunden sind mittlere bis grosse Unternehmen in datenschutzsensiblen Branchen (Finanzwesen, Treuhand, Immobilien, Beratung). Sehr kleines Team (2-5 Personen).
|
|
|
|
## 2. Externe Themen (Kontext)
|
|
|
|
- Regulatorik: CH nDSG/revDSG, EU-DSGVO, für Bankkunden FINMA-Rundschreiben 2018/3 & 2023/1, GLKB Cloud Assessment (CACC).
|
|
- Markt: hohe Erwartung an Datensouveränität (CH-Hosting), KI-Transparenz, Nachweisbarkeit (ISO 27001/9001 als Einkaufskriterium).
|
|
- Technologie: Abhängigkeit von externen LLM-Providern (OpenAI USA u. a.), Cloud-Hosting Infomaniak (CH).
|
|
- Bedrohungslage: Web-/Cloud-Angriffe, Lieferkettenrisiken, KI-spezifische Risiken (Prompt-Injection, Datenabfluss).
|
|
|
|
## 3. Interne Themen (Kontext)
|
|
|
|
- Kleines Team -> Rollenbuendelung, eingeschränkte Funktionstrennung (kompensierende Massnahmen).
|
|
- Hoher Automatisierungsgrad (Forgejo CI/CD, Infrastruktur, Wiki-basierte Doku).
|
|
- Wissenskonzentration auf wenige Personen (Schlüsselpersonenrisiko).
|
|
|
|
## 4. Interessierte Parteien und Anforderungen
|
|
|
|
| Interessierte Partei | Wesentliche Anforderungen |
|
|
|---|---|
|
|
| Kunden (inkl. Banken/Treuhänder) | Datenschutz, Vertraulichkeit, Verfügbarkeit (SLA), Nachweise/Zertifikate, Auditierbarkeit |
|
|
| Endnutzer | Funktionierende, sichere, performante Plattform; Datenschutzrechte |
|
|
| Geschäftsführung/Eigner | Wirtschaftlichkeit, Reputation, Compliance, beherrschbares Risiko |
|
|
| Mitarbeitende | Klare Prozesse, sichere Arbeitsmittel, Kompetenzentwicklung |
|
|
| Aufsicht/Regulatoren | Einhaltung Datenschutz- und Finanzmarktvorgaben |
|
|
| Lieferanten/Subunternehmer | Klare Verträge, AVVs, Sicherheitsanforderungen |
|
|
| Zertifizierungsstelle | Normkonformes, gelebtes, nachweisbares Managementsystem |
|
|
|
|
## 5. Geltungsbereich des IMS
|
|
|
|
Festlegung in [geltungsbereich-scope.md](geltungsbereich-scope.md).
|
|
|
|
## 6. Wesentliche Prozesse (Prozesslandkarte)
|
|
|
|
```mermaid
|
|
flowchart LR
|
|
subgraph fuehrung [Führungsprozesse]
|
|
F1["Strategie & Management-Review"]
|
|
F2["Risiko- & Compliance-Management"]
|
|
end
|
|
subgraph kern [Kernprozesse]
|
|
K1["Produktmanagement & Anforderungen"]
|
|
K2["Software-Entwicklung (SDLC)"]
|
|
K3["Release & Change Management"]
|
|
K4["Betrieb & Support der PORTA-Plattform"]
|
|
end
|
|
subgraph support [Unterstützungsprozesse]
|
|
S1["Beschaffung & Lieferanten"]
|
|
S2["Personal & Kompetenz"]
|
|
S3["IT-Sicherheit & Infrastruktur"]
|
|
S4["Dokumentenlenkung"]
|
|
end
|
|
F1 --> K1 --> K2 --> K3 --> K4
|
|
F2 --> K2
|
|
support --> kern
|
|
```
|