Die erfolgreiche Zertifizierung nach der ISO Norm 27001:2013 ist ein wichtiger Meilenstein in der Transformation der SVA Aargau weg von der Verwaltung hin zu einer performanten und exzellenten Dienstleisterin. Die konsequente Umsetzung der Ziele der ISO Norm unterstützt die SVA Aargau bei ihren Projekten und Vorhaben. Die Werte der SVA Aargau sind in den Zielen der ISO Norm erkennbar: In Beziehung mit unseren Kundinnen und Kunden, Partnern und Lieferanten entsteht eine Zusammenarbeit auf Augenhöhe, die auf Offenheit, Transparenz und Sicherheit aufbaut. Gegen Innen wirken die Ziele als Orientierung, fördern einen korrekten und sicheren Umgang mit Informationen und Daten und schaffen Raum für die kontinuierliche Weiterentwicklung.
In einem nächsten Schritt wird es darum gehen, gemeinsam die ISMS-Policy weiter zu entwickeln.
Geltungsbereich
Die SVA Aargau zertifiziert sich nach der ISO Norm 27001:2013 und stellt die Erfüllung der daraus resultierenden Anforderungen sicher. Dabei umfasst der Geltungsbereich der Zertifizierung die SVA Aargau als Unternehmen mit all ihren Standorten und Mitarbeitenden.
Ziele der Informationssicherheit
Die SVA Aargau hat sich folgende Ziele gesetzt:
- Wir schützen angemessen die Informationen in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität.
- Wir erfüllen die gesetzlichen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
- Wir nutzen die ISO 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung.
Das ISMS der SVA Aargau
Im Informationssicherheits-Managementsystem (ISMS) dokumentieren wir alle Verfahren und Prinzipien, welche dazu dienen, die Informationssicherheit der SVA Aargau gegenüber unseren Anspruchsgruppen zu gewährleisten. Wir kommunizieren und schulen das ISMS und leben die damit verbundenen Werte und Anforderungen in unserem täglichen Tun, um eine hohe Akzeptanz zu gewährleisten und ISMS zu leben. Die gemeinsame Reflektion und Weiterentwicklung erlaubt uns ein kollektives Lernen und Wachsen und unterstützt unsere Kultur.
Begriffsdefinitionen
Informationssicherheit
Unter der Informationssicherheit verstehen wir alle Massnahmen, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.
- Vertraulichkeit: Wir gewährleisten den Zugang zu Informationen nur für Zugangsberechtigte.
- Integrität: Wir stellen die Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden sicher.
- Verfügbarkeit: Wir gewährleisten den bedarfsorientierten Zugang zu Informationen und den zugehörigen Werten für berechtigte*r Benutzer*in.
Informationssicherheits-Managementsystem (ISMS)
Unter einem ISMS verstehen wir sämtliche Vorgaben, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
Wichtigste Rollen im ISMS
Für die Mitarbeitenden ist es selbstverständlich, das ISMS mit den dazugehörenden Inhalten zu kennen und sich im täglichen Tun nach Aussen und Innen entsprechend zu verhalten. Das Verfahren und die Prinzipien sowie die allgemeinen Grundsätze in datenschutz- und informationssicherheitsrelevanten Aspekten sind den Mitarbeitenden bekannt und sie orientieren sich daran.
Die Mitglieder der Geschäftsleitung sind verantwortlich für die Kommunikation und stellen die zur Implementierung und Aufrechterhaltung eines wirkungsvollen ISMS notwendigen Ressourcen bereit. Sie sind Vorbild und schaffen und halten den Raum für eine Kultur des sorgfältigen, bewusssten Umgangs mit sicherheitsrelevanten Fragen und für einen wirkungsvollen Prozess inkl. kontinuierlicher Verbesserung.
Leader*innen sind Vorbild und gewährleisten in ihren Verantwortungsbereichen die wirkungsvolle und nachhaltige Umsetzung des ISMS.
Der Chief Information Security Officer (CISO) steht für die Informationssicherheit in seinem zugewiesenen Geltungsbereich ein und trägt die Gesamtverantwortung für das ISMS. Er berichtet direkt der Geschäftsleitung.
Die Asset Owner sind verantwortlich für den verantwortungsvollen, den ISMS Vorgaben entsprechenden Gebrauch der anvertrauten Assets. Sie definieren die notwendigen Rahmenbedingungen und Prinzipien für den sicheren Umgang.
Die Risk Owner steuern den Prozess zur Informationssicherheitsrisikobeurteilung und –behandlung der ihnen zugeteilten Risiken. Zu den Aufgaben gehört die Erstellung und Umsetzung von Massnahmen der Risikominimierung sowie die regelmässige Überprüfung deren Wirksamkeit.
Committment
Die Mitarbeitenden gestalten das ISMS mit und sind Teil der Transformation der SVA Aargau hin zu einem kundenorientierten, modernen Dienstleisterin. Wir sind mit unseren Kolleginnen und Kollegen, Kunden und Partnerinnen sowie Lieferanten gemeinsam auf der Reiseroute unterwegs. Dabei sind wir uns bewusst, dass wir in unseren Aufgabenbereichen mit sensitiven Daten arbeiten und fühlen uns darin kompetent. Wir erarbeiten Lösungen, die diese Aspekte mitberücksichtigen.
Mit unserem Verhalten und unserer sorgfältigen Vorgehensweise, tragen wir zum Vertrauen der versicherten Personen und Kunden, Partner und Lieferanten in die SVA Aargau bei.
Innerhalb der Unternehmung sind wir vernetzt. Wir unterstützen Kolleginnen und Kollegen bei der täglichen Umsetzung. Bei Unsicherheiten stellen wir unsere Fragen an die verantwortlichen Personen. Sehen wir Verbesserungspotenzial kennen wir die Ansprechpersonen und geben Rückmeldung.
Wirkung und Verbesserung
Ein gelebtes und wirkungsvolles ISMS ist für die SVA Aargau essentiell und Basis für alle kommenden Herausforderungen rund um die Digitalisierung und die Transformation in ein kundenorientiertes, modernes Unternehmen, dem von den Anspruchsgruppen Vertrauen entgegengebracht wird.
Das ISMS stellt in Verbindung mit unseren Leitsätzen, den Prinzipien unseres Tuns sowie unseren Werten das Fundament dar, um unsere Kundinnen mit bedürfnisgerechten Lösungen zu begeistern.
Als lernende Organisation ist es wichtig, dass die Prozesse und Verfahren in regelmässigen Abständen in angemessener Form, z.B. mittels internen und externen Audits, geprüft werden. Die Ergebnisse fliessen in die kontinuierliche Verbesserung mit ein.
Das Erlangen und die regelmässige Bestätigung der Zertifizierung ist an die Verpflichtung geknüpft, dass sich die SVA Aargau an die Vorgaben der ISO-Norm hält und diese für verbindlich erklärt. Im Umkehrschluss bedeutet es:
- Die Mitarbeitenden sind sich bewusst, dass die Einhaltung der ISMS Vorgaben eine Verpflichtung darstellt, die sich aus der arbeitsrechtlichen Treuepflicht der SVA Aargau gegenüber ergibt. So wie bei unseren Lieferantinnen oder Partnern auch, stellen wiederholte und/oder schwerwiegende Verstösse eine Verletzung dieser Verpflichtung dar, die arbeitsrechtliche Konsequenzen haben kann.
- Wo notwendig und angebracht, vereinbaren wir in der Zusammenarbeit mit Dritten Konventionalstrafen für den Fall der Verletzung der ISMS Vorgaben. Diese kommen bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die ISMS-Prinzipen und oder Verträgen zur Anwendung.