ISMS-Richtlinie

1. Informationssicherheitspolitik

Die erfolgreiche Zertifizierung nach ISO 27001:2022 ist ein bedeutender Schritt für die SVA Basel-Landschaft (SVA BL) auf dem Weg von einer traditionellen Verwaltung hin zu einem leistungsstarken und sicherheitsbewussten Dienstleister. Die konsequente Umsetzung der Ziele der ISO Norm unterstützt die SVA BL bei ihren Projekten und Vorhaben. Die Werte der SVA BL sind in den Zielen der ISO Norm erkennbar. In Beziehung mit unseren Kundinnen und Kunden, Partnern und Lieferanten entsteht eine Zusammenarbeit auf Augenhöhe, die auf Offenheit, Transparenz und Sicherheit aufbaut. Gegen Innen wirken die Ziele als Orientierung, fördern einen korrekten und sicheren Umgang mit Informationen und Daten und schaffen Raum für die kontinuierliche Weiterentwicklung.

2. Geltungsbereich

Die SVA BL zertifiziert sich nach der ISO Norm 27001:2022 und stellt die Erfüllung der daraus resultierenden Anforderungen sicher. Dabei umfasst der Geltungsbereich der Zertifizierung die SVA BL als Unternehmen inklusive allen ihren Mitarbeitenden.

3. Ziele der Informationssicherheit

Die SVA BL hat sich folgende Ziele gesetzt:

  • Wir schützen unsere Informationen angemessen in Bezug auf Verfügbarkeit, Vertraulichkeit und Integrität:
    Verfügbarkeit: Wir haben Vorkehrungen getroffen, dass die SVA BL den Zugriff auf die Daten sicherstellen kann;
    Vertraulichkeit: Wir schützen die uns anvertrauten Informationen gemäss höchsten Sicherheitsstandards;
    Integrität: Wir haben technische und organisatorische Massnahmen eingeführt, welche die Unveränderbarkeit der Daten sicherstellt.
  • Wir erfüllen die gesetzlichen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
  • Wir nutzen die ISO 27001:2022 Norm als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung.

4. Begriffsdefinitionen

4.1. Informationssicherheit
Unter der Informationssicherheit verstehen wir alle Massnahmen, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.

  • Vertraulichkeit: Wir gewährleisten den Zugang zu Informationen nur für Zugangsberechtigte.
  • Integrität: Wir stellen die Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden sicher.
  • Verfügbarkeit: Wir gewährleisten den bedarfsorientierten Zugang zu Informationen und den zugehörigen Werten für berechtigte Benutzer/-innen.

4.2. Informationssicherheitsmanagementsystem (ISMS)
Unter einem ISMS verstehen wir sämtliche Vorgaben, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.

5. Das ISMS der SVA BL

Im Informationssicherheitsmanagementsystem (ISMS) dokumentieren wir alle Verfahren und Prinzipien, welche dazu dienen, die Informationssicherheit der SVA BL gegenüber unseren Anspruchsgruppen zu gewährleisten. Wir kommunizieren und schulen das ISMS und leben die damit verbundenen Werte und Anforderungen in unserem täglichen Tun, um eine hohe Akzeptanz zu gewährleisten. Die gemeinsame Reflektion und Weiterentwicklung erlaubt uns ein kollektives Lernen und Wachsen und unterstützt unsere Kultur.

6. Wichtigste Rollen im ISMS

Mitarbeitende
Für die Mitarbeitenden ist es selbstverständlich, das ISMS mit den dazugehörenden Inhalten zu kennen und sich im täglichen Tun nach Aussen und Innen entsprechend zu verhalten. Das Verfahren und die Prinzipien sowie die allgemeinen Grundsätze in datenschutz- und informationssicherheitsrelevanten Aspekten sind den Mitarbeitenden bekannt und sie orientieren sich daran.

Mitglieder der Geschäftsleitung
Die Mitglieder der Geschäftsleitung sind verantwortlich für die Kommunikation und stellen die zur Implementierung und Aufrechterhaltung eines wirkungsvollen ISMS notwendigen Ressourcen bereit. Sie sind Vorbild und schaffen und halten den Raum für eine Kultur des sorgfältigen, bewussten Umgangs mit sicherheitsrelevanten Fragen und für einen wirkungsvollen Prozess inkl. kontinuierlicher Verbesserung.

Führungskräfte
Führungskräfte sind Vorbilder und gewährleisten in ihren Verantwortungsbereichen die wirkungsvolle und nachhaltige Umsetzung des ISMS.

Chief Information Security Officer (CISO)
Der Chief Information Security Officer (CISO) steht für die Informationssicherheit in seinem zugewiesenen Geltungsbereich ein und trägt die fachliche Gesamtverantwortung für das ISMS. Er rapportiert direkt an die Geschäftsleitung.

Asset Owner
Die Asset Owner sind verantwortlich für den verantwortungsvollen, den ISMS Vorgaben entsprechenden, Gebrauch der anvertrauten Assets. Sie definieren die notwendigen Rahmenbedingungen und Prinzipien für den sicheren Umgang.

Risikoeigner
Die Risikoeigner steuern den Prozess zur Informationssicherheitsrisikobeurteilung und -behandlung der ihnen zugeteilten Risiken. Zu den Aufgaben gehört die Erstellung und Umsetzung von Massnahmen der Risikominimierung sowie die regelmässige Überprüfung deren Wirksamkeit.

7. Commitment

Die Mitarbeitenden gestalten das ISMS mit und sind Teil der Transformation der SVA BL hin zu einem kundenorientierten, modernen Dienstleister. Wir sind mit unseren Kolleginnen und Kollegen, Kundinnen und Kunden, sowie Partnern und Lieferanten gemeinsam auf der Reiseroute unterwegs. Dabei sind wir uns bewusst, dass wir in unseren Aufgabenbereichen mit sensitiven Daten arbeiten und fühlen uns darin kompetent. Wir erarbeiten Lösungen, die diese Aspekte mitberücksichtigen.

Mit unserem Verhalten und unserer sorgfältigen Vorgehensweise, tragen wir zum Vertrauen der versicherten Personen und Kunden, Partner und Lieferanten in die SVA BL bei.

Innerhalb der Unternehmung sind wir vernetzt. Wir unterstützen Kolleginnen und Kollegen bei der täglichen Umsetzung. Bei Unsicherheiten stellen wir unsere Fragen an die verantwortlichen Personen. Sehen wir Verbesserungspotenzial, so kennen wir die Ansprechpersonen und geben entsprechende Rückmeldungen.
 

8. Wirkung und Verbesserung

Ein effektives ISMS ist für die SVA BL entscheidend, um die Herausforderungen der Digitalisierung zu meistern und sich zu einem kundenorientierten, modernen Unternehmen zu entwickeln.

Das ISMS stellt in Verbindung mit unseren Leitsätzen, den Prinzipien unseres Tuns sowie unseren Werten das Fundament dar, um unsere Kunden mit bedürfnisgerechten Lösungen zu begeistern.

Als lernende Organisation ist es wichtig, dass die Prozesse und Verfahren in regelmässigen Abständen in angemessener Form, z. B. mittels internen und externen Audits, geprüft werden. Die Ergebnisse fliessen in die kontinuierliche Verbesserung mit ein.

Das Erlangen und die regelmässige Bestätigung der Zertifizierung ist an die Verpflichtung geknüpft, dass sich die SVA BL an die Vorgaben der ISO-Norm hält und diese für verbindlich erklärt. Im Umkehrschluss bedeutet das:

  • Die Mitarbeitenden sind sich bewusst, dass die Einhaltung der ISMS Vorgaben eine Verpflichtung darstellt, die sich aus der arbeitsrechtlichen Treuepflicht der SVA BL gegenüber ergibt. Schwerwiegende Verstösse stellen eine Verletzung dieser Verpflichtung dar und können arbeitsrechtliche Konsequenzen haben.
  • Die Lieferanten und Partner sind sich bewusst, dass sie mit der Unterzeichnung der Vertraulichkeitserklärung in die Verantwortung genommen werden, dass alle Mitarbeitenden ihrer Firma sich an die Vorgaben des Datenschutzes und der Informationssicherheit halten müssen. Schwere Verstösse gegen diese Vorgaben können rechtliche Konsequenzen nach sich ziehen.