Ausgangslage und Geltungsbereich

​

Kunden, Lieferanten, Geschäftspartner und die AARECloud AG (AARECloud) selbst sind in hohem Masse von der Informations- und Kommunikationstechnik und ihrem sicheren und zuverlässigen Funktionieren abhängig. AARECloud bekennt sich zur Verantwortung für die Gewährleistung der Informationssicherheit und verpflichtet sich zur Erfüllung dieser Anforderung. Um dies nachweisen zu können, strebt die AARECloud eine möglichst rasche Zertifizierung nach der ISO Norm 27001:2013 an. Dabei umfasst der Geltungsbereich der Zertifizierung die gesamte Firma AARECloud AG.

Die AARECloud hat sich folgende strategische ISMS Ziele gesetzt:

 

• Schutz von Informationen unabhängig von ihrer Form im Kontext Verfügbarkeit, Vertraulichkeit und Integrität

• Erfüllung sämtlicher gesetzlicher, vertraglicher und internen Vorgaben

• ISO 27001 als Werkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen

​

Das ISMS der AARECloud

Im Informationssicherheits-Managementsystem der AARECloud werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der AARECloud gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult und unterstützt AARECloud dabei, ihrer gesetzlichen Verantwortung für die Informationssicherheit gerecht zu werden. Die Anwendung dieser Regelungen ist zwingend und verbindlich.

Kontinuierliche Verbesserung

Das ISMS der AARECloud wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.
 

Organisation und Verantwortlichkeiten
 

Interne Mitarbeitende / Generell

Alle Mitarbeitenden der AARECloud, welche Tätigkeiten im Geltungsbereich des ISMS verrichten, sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

 

CISO (Chief Information Security Officer)

Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung.
 

Asset Owner
 

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.
 

Risk Owner
 

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.
 

Lieferanten Manager
 

Der Lieferanten Manager bildet die Schnittstelle zwischen AARECloud und deren Lieferanten. Er ist verantwortlich für die Kommunikation der für die Tätigkeiten der Partnerfirmen / Lieferanten relevanten Sicherheitsanforderungen und die Unterzeichnung der hierzu notwendigen Verträge und Vertragsanhänge.
 

Projektleiter
 

Projektleiter werden mit der Leitung von Projekten im Umfeld von AARECloud betraut. Sie stellen sicher, dass die Massnahmen zur Informationssicherheit beim "Onboarding"- wie auch bei Migrations- und "Offboarding"-Projekten für Kunden von AARECloud wie auch bei internen Projekten von AARECloud eingehalten werden. 
 

Externe Mitarbeitende / Mitarbeitende von Dritten
 

Die Regelungen der AARECloud im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten. Werden Dritte mit der Erbringung von Leistungen beauftragt, wird durch vertragliche Vereinbarungen sichergestellt, dass die Informationssicherheitsleitlinie eingehalten wird.
 

Kontrollen
 

Die AARECloud überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.
 

Sanktionen
 

Die AARECloud vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.