Der Schutz der Informations- und IT-Assets unseres Unternehmens hat oberste Priorität. Dazu gehören insbesondere alle Computer, mobilen Endgeräte, Netzwerkinfrastruktur, Software sowie sämtliche sensiblen Daten. Diese Ressourcen sind konsequent vor internen und externen, vorsätzlichen sowie unbeabsichtigten Bedrohungen zu schützen. Ziel ist es, Risiken wie Diebstahl, Verlust, Missbrauch, Beschädigung oder Zerstörung wirksam zu minimieren.

Ein zentraler Bestandteil dieser Richtlinie ist der kontrollierte Zugriff auf Informationen und Systeme. Nutzer erhalten ausschließlich Zugriff auf die IT-Assets, die sie für ihre jeweilige Tätigkeit benötigen. Die Vergabe von Berechtigungen erfolgt nach dem Need-to-know-Prinzip, wird streng kontrolliert und regelmäßig überprüft.

Informationssicherheit basiert auf den drei Grundprinzipien: Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit stellt sicher, dass Informationen nicht unbefugten Personen zugänglich gemacht werden. Integrität schützt Informationen vor unautorisierten Änderungen. Verfügbarkeit gewährleistet, dass berechtigte Personen jederzeit im Rahmen ihrer Geschäftsprozesse auf benötigte Informationen zugreifen können.

Wir verpflichten uns zur Einhaltung aller relevanten gesetzlichen und behördlichen Anforderungen sowie anerkannter Normen und Best Practices und streben, wo möglich, eine Übererfüllung dieser Vorgaben an.

Das Informationssicherheits-Managementsystem wird kontinuierlich weiterentwickelt. Durch regelmäßige Überprüfungen und gezielte Korrekturmaßnahmen wird dessen Wirksamkeit stetig verbessert.

Ein weiterer wichtiger Bestandteil ist die Geschäftskontinuität. Entsprechende Pläne werden entwickelt, gepflegt und regelmäßig getestet, um sicherzustellen, dass der Geschäftsbetrieb auch bei Störungen oder außergewöhnlichen Ereignissen aufrechterhalten werden kann – im Sinne von „Ruhe bewahren und weiterarbeiten“.

Informationssicherheit ist zudem Teil unserer Unternehmenskultur. Alle Mitarbeitenden erhalten regelmäßige Schulungen und werden für sicherheitsrelevante Themen sensibilisiert. Die Verantwortung für Informationssicherheit ist in den jeweiligen Rollen und Aufgaben verankert und wird aktiv gelebt.

Mitarbeitende, die ein mögliches Informationssicherheitsproblem melden oder sich direkt an das Informationssicherheitsmanagement wenden, müssen dadurch keine Nachteile erfahren. Ausnahmen gelten ausschließlich bei eindeutig nachweisbaren rechtswidrigen Handlungen, grober Fahrlässigkeit oder wiederholter vorsätzlicher Missachtung von Richtlinien und Verfahren.

Alle tatsächlichen oder vermuteten Sicherheitsvorfälle oder Verstöße sind umgehend an ISMS@lanos.de zu melden.