Die Sicherheit und der Schutz von Informationsbeständen sind wesentliche Voraussetzung für die Erreichung der Geschäftsziele der Zucchetti SpA.
In Anbetracht dessen sind die Unternehmenstätigkeiten stets so durchzuführen, dass ein angemessenes Maß an Verfügbarkeit, Integrität und Vertraulichkeit der Informationen durch die Einführung eines formalen „Information Security Management System” (ISMS) gewährleistet ist, das im Einklang mit den von den betroffenen Parteien von Zucchetti erwarteten Erfordernissen steht und den geltenden Vorschriften entspricht.
Insbesondere wird das System angewendet:
- bei der digitalen Aufbewahrung von elektronischen Dokumenten, um eine langfristige Aufbewahrung zu gewährleisten;
- im Bereich des Rechenzentrums, um bewährte Verfahrensweisen bei der Verwaltung der Systeme und Infrastrukturen zu gewährleisten, die für die Verarbeitung der Kundengeschäftsdaten, die zwingenden Vorschriften unterliegen können, erforderlich sind;
- bei der Erbringung von treuhänderischen Dienstleistungen (Zeitstempel, Zertifikate für Abonnementschlüssel) mit der Funktion einer Zertifizierungsstelle.
Nachstehend werden die allgemeinen Ziele des ISMS aufgelistet, die vom zuständigen Koordinator verfolgt werden:
- auf dem Markt seine Fähigkeit nachweisen, fortlaufend sichere Produkte/Dienstleistungen anzubieten und so die Unternehmensziele zu maximieren;
- das Risiko von Verlust und Nichtverfügbarkeit von Kundendaten minimieren, durch die Planung und Verwaltung von Aktivitäten, die die Kontinuität des Service gewährleisten;
- eine geeignete Risikoanalyse durchführen, um den Wert der beteiligten Informationsressourcen und des daraus resultierenden Risikos zu bestimmen, anhand einer Bewertung der Schwachstellen und der damit verbundenen Gefahren;
- die geltenden Gesetze und Vorschriften, vertraglichen Anforderungen, Unternehmensregeln und -verfahren einhalten;
- die Zusammenarbeit, das Verständnis und die Sensibilisierung für das ISMS durch strategische Lieferanten fördern;
- die Grundsätze und Kontrollen der ISO/IEC 27001:2013 oder anderer Regeln/Richtlinien in Bezug auf die Geschäftstätigkeiten des Unternehmens einhalten.
Darüber hinaus gibt es auch die spezifischen Ziele des Aufbewahrungssystems:
- die Bedürfnisse der benannten Gemeinschaft durch eine geeignete Verarbeitung der Informationen (in Bezug auf ihren Wert, die rechtlichen Vorschriften, die Sensibilität und die Kritikalität) erfüllen;
- die Sicherheit der das Aufbewahrungssystem unterstützenden Informationssysteme überwachen und kontrollieren, um das Restrisiko zu minimieren, die Unternehmenskontinuität zu gewährleisten und die Anforderungen an die Privatsphäre und den Schutz personenbezogener Daten zu erfüllen;
- die Anweisungen im Sicherheitsplan und im Handbuch für die Aufbewahrung befolgen und umsetzen;
- Nachfolgepläne, Notfallpläne, Pläne zur Beauftragung durch Dritte im Falle einer Beendigung des Dienstverhältnisses,
deren Verwirklichung in der Verantwortung des Leiters des Aufbewahrungsdienstes liegt, voraussehen und gegebenenfalls umsetzen. Bei der Verfolgung dieser Ziele hat der Leiter des Aufbewahrungsdienstes die Befugnis, in Bezug auf spezifische Fragen zum Aufbewahrungssystem, eine oder mehrere Sicherheitsrichtlinien zu erstellen, wobei er sich verpflichtet, die Übereinstimmung mit dieser Richtlinie zu gewährleisten.
Um die Umsetzung der Ziele dieser Richtlinie zu erleichtern, wird eine interfunktionale Arbeitsgruppe eingesetzt, die alle Tätigkeiten verwaltet, die erforderlich sind, um die Informationssicherheit zu gewährleisten.
Zweck der Arbeitsgruppe ist es, die Sicherheit zu fördern, die Ziele zu identifizieren und festzulegen, die für die Schutzmaßnahmen erforderlichen Ressourcen bereitzustellen und verfügbar zu halten, das Personal zu schulen und das System regelmäßig oder bei wichtigen Anlässen zu prüfen.
Die Gruppe benennt aus ihren Mitgliedern eine Person, die für die Koordination des ISMS verantwortlich ist.
Das gesamte Personal ist im Rahmen seiner Verantwortlichkeiten verpflichtet, im ISMS festgestellte Vorfälle und Schwachstellen zu melden.
Die gesamte Organisation ist bestrebt, die Umsetzung, Inbetriebnahme und regelmäßige Überprüfung des ISMS zu unterstützen.
Die Unternehmensleitung verpflichtet sich, die Ziele dieser Richtlinie mit den geeigneten Mitteln und Ressourcen zu verfolgen.
