LEITLINIE ZUR INFORMATIONSSICHERHEIT

Zweck, Anwendungsbereich und Anwender

Zielsetzung dieser auf oberster Ebene angesiedelten Leitlinie ist die Definition des Zwecks, der Ausrichtung, der Grundlagen und der grundsätzlichen Regeln für ein Informationssicherheitskonzept. Anwender dieses Dokuments sind alle Mitarbeiter der Jung von Matt Gruppe. Auftragnehmer und Lieferanten, welche Dienstleistungen für die Jung von Matt Gruppe erbringen werden zur Einhaltung und Umsetzung der Leitlinie zur Informationssicherheit verpflichtet.

Geschäftsmodell 

Die Jung von Matt AG bietet über ihre Tochtergesellschaften neben der klassischen Werbung für ihre Kunden auch darüber hinaus gehende Dienstleistungen im Bereich Werbung an, wie z. B. die Entwicklung von Markenstrategien und Konzepte für digitale Plattformen. Die besondere Stärke unserer Gruppe besteht in der Integration von klassischen und den sogenannten „Neue Medien“. Viele Kunden werden bereits kommunikativ vollumfänglich betreut.

Der Wettbewerb verlangt neben der Entwicklung und Umsetzung qualitativ hochwertiger Kommunikationskonzepte auch den Nachweis der Qualität und Sicherheit interner Prozesse. Die vorliegende Informationssicherheitsleitlinie adressiert dieses Erfordernis im Hinblick auf die Sicherheit der Informationsverarbeitung innerhalb unserer Agentur. Sie gilt somit für die gesamte Gruppe.

Anforderungen, Risiken und Ziele

Das Vertrauen unserer Kunden und letztlich unser Geschäftserfolg beruhen darauf, dass wir insbesondere

  • die gesetzlichen Vorgaben und hier nicht zuletzt die Datenschutzgesetze einhalten (Compliance),

  • unsere Betriebsgeheimnisse schützen,

  • die Vertraulichkeit der Daten unserer Kunden wahren,

  • unsere Projekte und Dienstleistungen in der geplanten bzw. zugesicherten Zeit abwickeln,

  • unsere Dienstleistung sicher ausliefern und archivieren.

Vor diesem Hintergrund ist der Geschäftserfolg unserer Agentur davon abhängig, dass wir bestehende Risiken für die genannten Ziele erkennen, durch geeignete Maßnahmen vermeiden bzw. mindern und verbleibende Risiken geeignet behandeln.

Zu den Risiken zählen die unvollständige bzw. nicht korrekte Einhaltung von gesetzlichen Vorgaben, die unbefugte und ggf. unbemerkte Weitergabe von Betriebsgeheimnissen, die Verletzung von Vorgaben unserer Kunden aufgrund von Systemausfall, Datenverlust, unbefugter Preisgabe von Informationen.

Vor dem Hintergrund der externen und internen Anforderungen, vor allem aber den Sicherheitsanforderungen unserer Kunden muss Informationssicherheit ein integraler Bestandteil unserer Unternehmenskultur sein.

Jeder Mitarbeiter und jede Mitarbeiterin muss sich der Notwendigkeit der Informationssicherheit bewusst sein und die grundsätzlichen Auswirkungen von Risiken auf den Geschäftserfolg kennen. Bei Verstoß gegen die vom Unternehmen aufgestellten Informationssicherheitsrichtlinien sind arbeitsrechtliche Schritte von der Abmahnung bis hin zur Kündigung vorgesehen.

Diese Leitlinie wird auf das gesamte Informationssicherheitskonzept angewendet, und wie im Dokument zum Anwendungsbereich definiert.

AUFGABEN DER INFORMATIONSSICHERHEIT

Zielvorgaben und Messung

Die generellen Zielvorgaben des Informationssicherheitskonzepts sind die folgenden:

  • den Schutz der Agentur und ihrer Mitarbeiter vor Schäden erhöhen.

  • Wettbewerbsvorteile durch Sicherheitskonzepte erreichen.

  • gesetzliche und kundenindividuelle Vorgaben erfüllen.

Diese Ziele stimmen mit den Geschäftszielen und der Strategie der Agentur überein, da wir überwiegend für internationale Unternehmen arbeiten, für die aus den gleichen Überlegungen heraus Informationssicherheit eine hohe Bedeutung hat. Unser Beauftragter für Informationssicherheit kurz InSiBe ist für die Überprüfung dieser generellen Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich.

Maßnahmenziele für einzelne Sicherheitsmaßnahmen oder Gruppen von Sicherheitsmaßnahmen werden von den jeweiligen InSiBe in den Agenturen vorgeschlagen und von der Geschäftsleitung bzw. dem Vorstand genehmigt. Alle diese Zielvorgaben müssen mindestens einmal jährlich überprüft werden.

Die Jung von Matt AG bewertet und misst die Erfüllung dieser Zielvorgaben. Der InSiBe ist verantwortlich für die Festlegung der Methode, mit der die Erfüllung dieser Zielvorgaben gemessen wird. Die Bewertung/Messung wird mindestens einmal jährlich durchgeführt und der InSiBe analysiert und evaluiert die Messresultate und berichtet anschließend an den Prokurist der Jung von Matt AG in der Form von Input-Materialien für die Managementprüfung.

Anforderungen an Informationssicherheit

Diese Richtlinie und das gesamte Informationssicherheitskonzept müssen sowohl den rechtlichen und gesetzlichen Anforderungen, als auch den vertraglichen Verpflichtungen entsprechen, die für die Organisation auf dem Gebiet der Informationssicherheit maßgeblich sind.

Maßnahmen zur Informationssicherheit

Der Prozess bei der Auswahl von Maßnahmen ist der Methodik zur Risikoeinschätzung und Risikobehandlung definiert. Die gewählten Maßnahmen und deren Implementierungsstatus sind innerhalb dieses Dokuments aufgeführt.

Verantwortlichkeiten

Folgendes sind die grundsätzlichen Verantwortlichkeiten für das Management von Informationssicherheit:

  • Die Geschäftsleitung der Jung von Matt AG ist dafür verantwortlich, sicherzustellen dass die Informationssicherheit entsprechend dieser Richtlinie umgesetzt und instandgehalten wird und dass alle notwendigen Ressourcen verfügbar sind.

  • Die InSiBe ist für die Koordination des Betriebs des Informationssicherheitskonzepts verantwortlich, sowie für die Berichterstattung über die Leistungsfähigkeit.

  • Die Geschäftsleitung der Jung von Matt AG muss den Stand der Informationssicherheit mindestens einmal jährlich überprüfen (bzw. immer im Falle von erheblichen Änderungen) und ein Protokoll dazu erstellen. Zweck dieser Überprüfung durch das Management ist der Nachweis der Angemessenheit, Eignung und Wirksamkeit der Maßnahmen.

  • Die InSiBe ist für die Umsetzung von Informationssicherheits-Training und Programmen zur Bewusstseinsbildung (Awareness) für Mitarbeiter zuständig.

  • Der Schutz der Integrität, Verfügbarkeit und Vertraulichkeit der Werte unterliegt der Verantwortung des Eigentümers der jeweiligen Werte.

  • Alle Sicherheitsvorfälle oder Schwachstellen müssen an den InSiBe gemeldet werden.

  • Die InSiBe definiert, welche sich auf Informationssicherheit beziehenden Informationen mit welchen (sowohl internen als auch externen) interessierten Parteien kommuniziert werden, durch wen und wann.

  • Die InSiBe ist für die Aufstellung und Implementierung des Plans für Training und Awareness verantwortlich, dem alle Personen unterliegen, die eine Rolle im Informationssicherheits-Management innehaben.

Leitlinien-Kommunikation

Der InSiBe hat sicherzustellen, dass alle Mitarbeiter der Jung von Matt AG am Standort Hamburg, so wie entsprechenden externen Parteien mit dieser Leitlinie vertraut sind.

Unterstützung der Umsetzung

Hiermit erklären der Vorstand und der Prokurist der Jung von Matt AG, dass die Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.

Gültigkeit 

Dieses Dokument ist gültig ab dem 05.02.2020.