Politik Informationssicherheit

Politik Informationssicherheit

Aktualisiert am 07.08.2025

1.       Einleitung und Geltungsbereich

Informationssicherheit ist Bestandteil der Geschäftsstrategie und Unternehmensziele der inova:solutions AG. Zum Nachweis der wirksamen Umsetzung und kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems zertifizieren wir unsere gesamte Organisation nach ISO/IEC 27001.

Diese Politik gilt für alle Mitarbeitenden, externen Dienstleister und sonstigen Dritten, die im Auftrag von inova:solutions AG mit Informationen arbeiten oder Zugang zu informationsverarbeitenden Systemen haben.

2.       Statement inova:solutions AG

Als Softwareunternehmen ist der verantwortungsvolle Umgang mit Informationen ein wesentlicher Bestandteil unseres Erfolgs. Der Schutz, die Verfügbarkeit und Integrität dieser Informationen – ob von Kunden, Partnern oder Mitarbeitenden – haben für uns als Mitglied der “Information Security”-Gilde oberste Priorität. Wir erfüllen nicht nur unsere gesetzlichen Verpflichtungen, sondern investieren gezielt in den Aufbau, den Betrieb und die kontinuierliche Verbesserung unseres Informationssicherheits- und Geschäftsfortführungsmanagementsystems, das auf die Anforderungen unserer digitalen Geschäftsmodelle zugeschnitten ist.

3.       Ziele der Informationssicherheit

Die folgenden Ziele definieren den strategischen Rahmen für den Umgang mit Informationssicherheit in der inova:solutions AG und bilden die Grundlage für die kontinuierliche Verbesserung des Informationssicherheits-Managementsystems (ISMS):

  • Unser Ziel ist es, unseren Kunden Softwarelösungen bereitzustellen, die höchsten Sicherheitsanforderungen genügen. Wir entwickeln und betreiben unsere Produkte so, dass die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen jederzeit gewährleistet ist. Die Sicherheit unserer Produkte und ihrer Betriebsumgebung ist ein zentraler Bestandteil unseres Qualitäts- und Informationssicherheitsanspruchs.
     
  • Wir stellen die Vertraulichkeit, Integrität und Verfügbarkeit unserer Unternehmensinformationen – einschließlich aller personenbezogenen Daten im Sinne des DSG – sicher, basierend auf wirksamem Risikomanagement, gesetzlichen, regulatorischen und vertraglichen Anforderungen sowie den geschäftlichen Erfordernissen.
     
  • Wir stellen die erforderlichen Ressourcen bereit, um unser Informationssicherheits-Managementsystem (ISMS) zu entwickeln, umzusetzen und kontinuierlich zu verbessern.
     
  • Wir richten unser Informationssicherheitsmanagement konsequent an der ISO/IEC 27001 aus, mit dem Ziel, die Zertifizierung zu erreichen und dauerhaft aufrechtzuerhalten.
     
  • Wir steuern Drittanbieter, die Informationen verarbeiten, speichern oder übertragen, effektiv, um Informationssicherheitsrisiken zu minimieren und beherrschbar zu machen.
     
  • Wir fördern eine Awareness der Informationssicherheit und des Datenschutzes durch gezielte Schulungen und kontinuierliche Sensibilisierung aller Mitarbeitenden.
4.       Grundsätze der Informationssicherheit

Verpflichtung
Die inova:solutions AG verpflichtet sich zur Umsetzung der definierten Ziele der Informationssicherheit und der dafür zutreffenden Anforderungen gemäss ISO/IEC 27001.

Compliance
Die inova:solutions AG hält sich in der Bearbeitung von Informationen an die gesetzlichen, brancheneigenen und unternehmensinternen Vorgaben und Regulatorien.

Verantwortung - Informationssicherheit ist Sache aller
Alle internen und externen Personen, die Zugang zu Kundendaten oder anderen Informationen der inova:solutions AG haben, sind im Rahmen ihres Aufgabenbereichs für die Einhaltung dieser Grundsätze und aller weiteren Richtlinien zur Informationssicherheit verantwortlich.

Wirtschaftlichkeit
Die Kosten für Informationssicherheitsmassnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dieser wird durch den Wert der zu schützenden Informationen und der IT-Systeme definiert. Eine Beeinträchtigung der Geschäftstätigkeit durch Sicherheitsmassnahmen ist unter Berücksichtigung der Risiken soweit wie möglich zu vermeiden.

5.       Rollen und Verantwortlichkeiten der Informationssicherheit

Die inova:solutions AG erlässt verbindliche Regeln zur Informationssicherheit für die gesamte Organisation und gibt sie den Mitarbeitenden bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Regeln sicher.

Verwaltungsrat
Der Verwaltungsrat (VR) gibt zusammen mit den Rolleninhaber:innen des General Company Circles (GCC) die Strategie vor und setzten die strategischen Ziele.

Lead inova
Der oder die Rolleninhaber:in sorgt dafür, dass strategische Vorgaben des VR zusammen mit den Rolleninhaber:innen des GCC operationalisiert werden.

"Information Security"-Gilde
Die Rolleninhaber:innen der "Information Security"-Gilde als zentrales Organ sorgen für die Operationalisierung der strategischen Vorgaben des VR undgestalten die Informationssicherheit der inova proaktiv und ganzheitlich, indem Risiken erkennt werden, Schutzmassnahmen umgesetzt und das Sicherheitsbewusstsein gestärkt wird, für den nachhaltigen Schutz der Werte und Resilienz der inova.

Information Security Strategist
Der oder die Rolleninhaber:in trägt die Verantwortung für die Strategische Ausrichtung und Governance-Verankerung des Informationssicherheits-Managementsystem in der gesamten Organisation.

Security Protector
Der oder die Rolleninhaber:in ist für die operative Umsetzung der Informationssicherheit und des Datenschutzes in der gesamten Organisation zuständig.

Compliance Guardian
Der oder die Rolleninhaber:in ist für die operative Umsetzung von Compliance-Themen in der gesamten Organisation verantwortlich. Dazu gehören die Pflege und Weiterentwicklung von internen Richtlinien, Prozessen und Standards. Darüber hinaus stellen sie sicher, dass interne Audits zur Überprüfung der Regelkonformität sowie zur Identifikation von Schwachstellen und Prozesslücken durchgeführt werden. Die Auditierung erfolgt jedoch durch ein unabhängiges Audit-Team.

Mitarbeitende
Alle Mitarbeitenden gewährleisten die Informationssicherheit durch verantwortungsbewusstes Handeln und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Weisungen und vertraglichen Verpflichtungen ein. Sie gehen mit den von ihnen genutzten IT-Systemen, Daten und Informationen korrekt und verantwortungsbewusst um.

Lieferanten und Drittparteien
Bei der Zusammenarbeit mit Dritten und bei der Auswahl von Lieferanten ist die Informationssicherheit ein wichtiges Kriterium; diese müssen die Vorgaben der inova:solutions AG umsetzen. Hierzu werden vertragliche Regelungen getroffen. Die inova:solutions AG behält sich das Recht vor, diese zu auditieren.

6.       Zuwiderhandlungen

Verstösse gegen diese Informationssicherheitspolitik oder damit verbundene Richtlinien und Weisungen werden gemäss den arbeitsrechtlichen und vertraglichen Regelungen geahndet. Je nach Schwere des Vorfalls können disziplinarische Massnahmen, Schulungsmassnahmen oder weitere rechtliche Schritte folgen.

7.       Inkrafttreten

Die ISMS-Politik tritt ab sofort in Kraft und wird als Teil des kontinuierlichen Verbesserungsprozesses regelmässig geprüft, aktualisiert und freigegeben.

Top