Erklärung zum Informationssicherheits-Managementsystem (ISMS)
Allgemeines Statement
Stellungnahme zum Informationssicherheits-Managementsystem (ISMS) bei baseVISION
Mit der Einführung von ISO 27001:2022 unterstreichen wir unser Engagement für Informationssicherheit, stärken das Vertrauen unserer Kunden und Partner und schützen unsere Informationswerte. Diese Norm bietet einen strukturierten Ansatz zur Behandlung von Informationssicherheitsrisiken und stellt sicher, dass wir sicher und effizient in der heutigen digitalen Welt agieren können. Die Sicherheit Ihrer Daten hat für uns oberste Priorität, und wir verpflichten uns, die höchsten Standards zu erfüllen, um sie zu schützen. Wir haben alle ISO-27001-Kontrollen implementiert, die jährlich durch eine offizielle externe Stelle auditiert werden.
Für weitere Informationen zu unseren Compliance-Massnahmen und wie wir Ihre digitalen Abläufe schützen, wenden Sie sich bitte an unseren CISO (ciso@basevision.ch).
Leadership
Bei baseVISION haben wir ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001:2022 eingeführt, um höchste Sicherheitsstandards für unsere Kund:, Partner und uns selbst sicherzustellen. Dies beginnt mit dem klaren Engagement der Unternehmensführung, die aktiv an der Etablierung, Aufrechterhaltung und kontinuierlichen Verbesserung unseres ISMS beteiligt ist. Durch die Ausrichtung unserer Informationssicherheitspolitik an unserer strategischen Ausrichtung zeigen wir unsere Entschlossenheit, Menschen, Daten und Infrastrukturen zu schützen.
Planung
Unser proaktiver Ansatz besteht darin, Informationssicherheitsrisiken und -chancen frühzeitig zu erkennen und zu bewerten. Dadurch entwickeln wir wirksame Strategien zur Risikominimierung und nutzen Chancen zur Verbesserung der Datensicherheit. Dieser Planungsprozess hilft uns, potenziellen Bedrohungen stets einen Schritt voraus zu sein und eine starke Sicherheitsposition aufrechtzuerhalten.
Mit schriftlicher Zustimmung des Kunden werden wir Vertragsdokumente an genehmigte Behörden weitergeben. Der Kunde hat baseVISION zu benachrichtigen, bevor Dokumente an Dritte weitergeleitet werden, die nicht im Dienstleistungsvertrag oder in der Leistungsbeschreibung (Statement of Work) vereinbart sind.
Support
Wir wissen, dass Verständnis und Engagement entscheidend für den Erfolg unseres ISMS sind. Wir stellen sicher, dass ausreichend Ressourcen, Kompetenzen, Bewusstsein und Kommunikation vorhanden sind. Durch jährliche Schulungen stellen wir sicher, dass unsere Mitarbeitenden gut ausgebildet sind, um Informationen sicher zu handhaben, und dass alle ihre Rolle im Rahmen der Informationssicherheit kennen.
Operation
Betriebliche Kontrollen sind ein zentraler Bestandteil unseres ISMS. Wir haben umfassende Prozesse implementiert, um unsere Informationssicherheitsziele zu erreichen – einschließlich der Umsetzung von Massnahmen zum Schutz von Informationswerten und dem effektiven Umgang mit Sicherheitsvorfällen. Dies gewährleistet, dass Daten geschützt sind und dass wir auf Vorfälle schnell reagieren können.
Leistungsbewertung
Wir führen regelmässige Leistungsbewertungen durch, um sicherzustellen, dass unser ISMS wirksam und relevant bleibt. Wir überwachen, messen, analysieren und bewerten die Leistung unseres ISMS kontinuierlich, um Verbesserungspotenziale zu identifizieren. Diese kontinuierliche Bewertung hilft uns, unsere Sicherheitsziele zu erreichen und ein hohes Schutzniveau für Informationen zu gewährleisten.
Verbesserung
Kontinuierliche Verbesserung ist ein Grundprinzip unseres ISMS. Wir setzen Prioritäten und ergreifen Korrekturmassnahmen zur Behebung von Abweichungen und zur ständigen Steigerung der Wirksamkeit unseres ISMS. Dieses Engagement ermöglicht es uns, neuen Bedrohungen einen Schritt voraus zu sein und unsere Sicherheitsposition langfristig zu stärken. Die Geschäftsleitung überprüft regelmässig Fortschritte und Ergebnisse.
Organisatorische Kontrollen
Wir haben robuste organisatorische Kontrollen etabliert, um Informationssicherheitsrisiken effektiv zu managen. Klare Richtlinien und Verfahren stellen sicher, dass wir Daten schützen und einen hohen Standard der Informationssicherheit aufrechterhalten können.
Personenbezogene Kontrollen
Unsere Mitarbeitenden sind unser wichtigster Wert, wenn es um die Aufrechterhaltung der Informationssicherheit geht. Wir legen grossen Wert auf Schulung und Sensibilisierung, damit alle Mitarbeitenden ihre Rollen und Verantwortlichkeiten verstehen. Regelmässige Schulungen und Sensibilisierungskampagnen halten unser Team über aktuelle Bedrohungen und Best Practices auf dem Laufenden. Unsere Personalabteilung stellt sicher, dass Sicherheitsaspekte über den gesamten Lebenszyklus berücksichtigt werden – von der Einstellung über die Beschäftigung bis hin zum Offboarding. Wir verfügen über robuste Prozesse und Kontrollen für Sicherheit und Vertraulichkeit.
Physische Kontrollen
Wir haben physische Kontrollen implementiert, um unsere Anlagen und Standorte zu schützen. Durch die Kontrolle und Überwachung des physischen Zugangs zu sensiblen Bereichen verhindern wir unbefugten Zugang und potenzielle Sicherheitsverletzungen.
Technische Kontrollen
Unsere technischen Kontrollen sind darauf ausgerichtet, unsere Informationssysteme und Daten zu schützen. Wir stellen sicher, dass sensible Informationen sicher gelöscht werden, wenn sie nicht mehr benötigt werden, um unbefugten Zugriff und Datenverluste zu vermeiden. Regelmässige Bewertungen und Penetrationstests stellen sicher, dass unsere Sicherheitsmassnahmen kontinuierlich überprüft und verbessert werden, um neuen Bedrohungen entgegenzuwirken.
Vorfallmanagement
Wir verfügen über einen robusten Incident-Response-Plan zur Erkennung, Behandlung und Behebung von Sicherheitsvorfällen. Das baseVISION SOC ist dafür ausgestattet, Vorfälle schnell und umfassend zu bearbeiten, um Störungen zu minimieren und Risiken zu begrenzen. Dieser proaktive Ansatz stellt sicher, dass potenzielle Bedrohungen umgehend bearbeitet werden und wir entsprechend handeln können.
Threat Intelligence
Wir nutzen Threat Intelligence, um aufkommende Bedrohungen frühzeitig zu erkennen und darauf zu reagieren. Durch das Sammeln, Analysieren und Handeln auf Basis von Bedrohungsdaten stärken wir unsere Sicherheitslage und verbessern unsere Fähigkeit, Ihre Daten zu schützen. Dieser vorausschauende Ansatz stellt sicher, dass wir potenziellen Risiken stets einen Schritt voraus sind.