1 Kontext der Organisation
Die GEMDAT OÖ GmbH & Co KG ein oberösterreichisches IT-Unternehmen mit Sitz in Linz. Das Unternehmen
hat sich auf bedarfsgerechte Softwarelösungen für die öffentliche Verwaltung spezialisiert. Das Unternehmen
bietet Beratung von ca. 60 Software-Lösungen an, welche teilweise selbst entwickelt wurden. Zusätzlich werden Seminare abgehalten, Hardware bereitgestellt und Betreuung angeboten. Die EDV-Lösungen sind auf die
unterschiedlichen Gemeindegrößen, -aufgaben und -bedürfnisse skalierbar abgestimmt.
Die GEMDAT OÖ GmbH & Co KG verfolgt konsequentes umweltbewusstes Handeln durch Ressourcenschonung, wie etwa Elektromobilität und eigener Photovoltaik-Anlage.
2 Anwendungsbereich
Die GEMDAT OÖ GmbH & Co KG erkennt die Notwendigkeit, die Sicherheit ihrer Informationen zu gewährleisten und hat sich dazu entschieden, ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO
27001 einzuführen und aufrechtzuerhalten.
Das ISMS der GEMDAT OÖ GmbH & Co KG umfasst den Geltungsbereich Inhouse-Software-Entwicklung und
Betreuung von Software-Produkten für Gemeinden sowie Rechenzentrumsbetrieb ab Software-Ebene.
3 Externe und interne Rahmenbedingungen
3.1 Externe Rahmenbedingungen
Die GEMDAT OÖ GmbH & Co KG berücksichtigt externe Faktoren, die sich auf ihre Fähigkeit auswirken können, die Sicherheit von Informationen zu gewährleisten. Dies beinhaltet rechtliche Anforderungen, regulatorische Vorgaben und die Erwartungen der interessierten Parteien.
3.2 Interne Rahmenbedingungen
Die GEMDAT OÖ GmbH & Co KG identifiziert interne Faktoren, die sich auf ihr Informationssicherheitsmanagement auswirken können. Dazu gehören die Unternehmensziele, Struktur, Kultur, Ressourcen und die
technologische Infrastruktur.
4 Grundsätze der Informationssicherheit
Die GEMDAT OÖ GmbH & Co KG setzt auf klare Grundsätze der Informationssicherheit, um die Vertraulichkeit,
Integrität und Verfügbarkeit aller Informationen im Unternehmen zu gewährleisten. Diese Prinzipien schützen
nicht nur unsere internen Informationen, sondern auch die Informationen unserer Kunden und Partner.
• Vertraulichkeit: Informationen müssen vor unbefugtem Zugriff und Weitergabe geschützt werden. Der
Zugang zu Informationen wird ausschließlich auf Personen beschränkt, die diese für ihre Aufgaben
benötigen.
• Integrität: Die Richtigkeit und Vollständigkeit von Informationen und deren Verarbeitungssystemen
muss jederzeit sichergestellt sein. Änderungen an Informationen und Systemen dürfen nur autorisiert
und nachvollziehbar erfolgen.
• Verfügbarkeit: Informationen und zugehörige Systeme müssen bei Bedarf verfügbar sein, um eine unterbrechungsfreie Geschäftstätigkeit zu gewährleisten.
5 Informationssicherheitsziele
• Alle Mitarbeiter:innen sollen die Informationen erhalten, die sie benötigen, um den entsprechenden
Tätigkeiten nachkommen zu können. Ein Übermaß an Informationsbereitstellung wird durch technische oder organisatorische Maßnahmen vermieden. Um Fehler und Manipulationen Einzelner schon
im Ansatz zu verhindern, sind miteinander unvereinbare Funktionen, Rollen und Verantwortungen zu
trennen. Die Funktionstrennung soll Durchführungstätigkeiten von der Kontrolle dieser Tätigkeiten
bezüglich ihrer operativen Wirksamkeit trennen.
• Die Einhaltung der Grundsätze sowie die operative Wirksamkeit des Informationssicherheitsmanagementsystems werden im Rahmen von internen und externen Audits sowie im Rahmen der regelmäßig
durchgeführten Risikoanalyse überprüft. Die Ergebnisse werden dokumentiert. Auf Grundlage der Dokumentation werden konkrete Maßnahmen abgeleitet.
• Die Wahl der konkret zu implementierenden Informationssicherheitsmaßnahmen erfolgt in einem angemessenen Verhältnis zu den Risiken. Bei der Umsetzung der Maßnahmen wird dem Stand der Technik Rechnung getragen. Der Stand der Technik ist als ein sich kontinuierlich entwickelnder Innovationsprozess periodisch zu überprüfen und anzupassen.
• Basierend auf den Ergebnissen von Überwachung, Überprüfung und Bewertung erfolgt eine kontinuierliche Verbesserung des ISMS,
• Mitarbeiter:innen wird regelmäßig das erforderliche Wissen zum bewussten Umgang mit Informationen durch Schulungen und Sensibilisierungsmaßnahmen vermittelt.
6 Durchsetzung und Sanktionierung
Die Geschäftsführung trägt die Verantwortung dafür, dass die Informationssicherheitsmaßnahmen entsprechend umgesetzt werden. Eine Einhaltung der Informationssicherheitsmaßnahmen wird aktiv kontrolliert. Wird
im Rahmen der Kontrolle festgestellt, dass Mitarbeiter:innen die Informationssicherheitsmaßnahmen nicht beachten, wird die Geschäftsführung diese Mitarbeiter:innen über deren Verpflichtung belehren. Gegebenenfalls
wird die Missachtung sanktioniert.
7 Verbindlichkeitserklärung
Die Informationssicherheitspolitik ist ein wesentlicher Bestandteil zum Erreichen der Unternehmensziele und
zur Umsetzung der festgelegten ISMS-Strategie. Die Informationssicherheitspolitik ist für alle Beschäftigten
sowie relevante Dritte verbindlich einzuhalten.