1. Unternehmen und Geschäftszweck
Die Pröll GmbH entwickelt, produziert und vertreibt weltweit anwenderspezifische, funktionale Druckfarben und Lacke für die Siebdruck- und Tampondrucktechnik.
Die Forschung und Entwicklung findet im Zentrallabor, die Produktion in zwei separaten Produktionshallen ausschließlich am Standort Weißenburg i. Bay. statt.
Der Vertrieb erfolgt durch die Vertriebstochtergesellschaften Pröll Services GmbH in Deutschland und Österreich, Proell, Inc., St. Charles, IL, in USA, Kanada und Mittelamerika, Proell Ink Trading Shanghai Co., Ltd. in China sowie durch selbständige Fachhändler in sonstigen Ländern.
Da das Unternehmen täglich mit sensiblen Daten und Produkten arbeitet, ist es von großer Bedeutung, ein umfassendes IT-Sicherheitskonzept zu implementieren. Die vorliegende IT-Sicherheitsleitlinie dient als Richtlinie für alle Mitarbeiter und soll sicherstellen, dass die IT-Systeme und Daten des Unternehmens optimal geschützt sind.
Aus Gründen der besseren Lesbarkeit wird in dieser Leitlinie auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Formulierungen gelten gleichermaßen für alle Geschlechter.
2. Geltungsbereich
Im Interesse der Kunden und einer funktionierenden Lieferkette ist neben der Produktion und Lieferung qualitativ hochwertiger Druckfarben und Lacke auch der Nachweis der Qualität und Sicherheit interner Prozesse erforderlich. Aus diesem Grund haben wir eine Informationssicherheitsleitlinie entwickelt, die dieses Erfordernis erfüllen soll. Die Leitlinie beinhaltet Richtlinien zur Sicherstellung der Informationsverarbeitung innerhalb unseres Unternehmens. Sie gilt für alle Bereiche und Abteilungen und dient somit als Direktive für das gesamte Unternehmen. Durch die Umsetzung dieser Leitlinie gewährleisten wir eine sichere Informationsverarbeitung und wollen somit das geforderte Qualitäts- und Sicherheitsniveau erreichen, was für einen erfolgreichen Wettbewerb notwendig ist.
3. Anforderungen, Risiken und Ziele
Ziele der IT-Sicherheit sind die Einhaltung der betreffenden gesetzlichen Vorschriften, insbesondere des Datenschutzes, der Schutz der Betriebsgeheimnisse, insbesondere des Rezeptur- und Fertigungs-Knowhows und der Geschäftsgeheimnisse aufgrund langjähriger Geheimhaltungsvereinbarungen mit Kunden bzw. Lieferanten sowie die Verhinderung von Betriebsunterbrechung bzw. Schäden durch elektronische Angriffe von außen (Cybersicherheit).
Vor diesem Hintergrund ist der Geschäftserfolg unseres Unternehmens davon abhängig, dass wir bestehende Risiken für die genannten Ziele erkennen, durch geeignete Maßnahmen mindern bzw. vermeiden und verbleibende Risiken geeignet behandeln.
4. Bedeutung der Sicherheit
Vor dem Hintergrund der externen und internen Anforderungen, vor allem aber den Sicherheitsanforderungen unserer Kunden, muss Informationssicherheit ein integraler Bestandteil unserer Unternehmenskultur sein.
Informationssicherheit stellt für die Pröll GmbH ein sehr wichtiges Qualitätsmerkmal der Datenverarbeitung dar, da alle wesentlichen strategischen und operativen Geschäftsprozesse im Unternehmen durch Informationstechnologie (IT) maßgeblich unterstützt werden.
Beeinträchtigungen hinsichtlich der Verfügbarkeit der unternehmenseigenen Applikationen können ebenso gravierende Auswirkungen nach sich ziehen wie Unregelmäßigkeiten in Bezug auf die Integrität und Vertraulichkeit der verarbeiteten bzw. benutzten Informationen. Die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, Anwendungen und IT-Systeme werden nicht nur durch Externe bedroht, sondern können auch durch interne Schwachstellen gefährdet werden.
Jeder Mitarbeiter / jede Mitarbeiterin muss sich der Notwendigkeit der Informationssicherheit bewusst sein und die grundsätzlichen Auswirkungen von Risiken auf den Geschäftserfolg kennen.
5. Zuständigkeiten
Nach Maßgabe dieser Leitlinie ist zunächst jede Organisationseinheit der Pröll GmbH für die Sicherheit der eigenen Daten und deren Verarbeitung verantwortlich ("Informationseigner"). Im Rahmen dieser Verantwortung wird die IT-Abteilung zusammen mit jeder Organisationseinheit eine Aufstellung deren Assets (Daten, Systeme und Prozesse) anfertigen, eine Risikoanalyse und -bewertung nach vorgegebenem einheitlichen Muster durchführen und in regelmäßigen Abständen sowie nach gravierenden Änderungen aktualisieren.
5.1 Geschäftsführung
Als oberstes Entscheidungsgremium ist die Geschäftsführung für die Verabschiedung dieser Informationssicherheitsleitlinie verantwortlich.
Sie hat sicherzustellen, dass das Informationssicherheitsmanagementsystem (ISMS) entsprechend dieser Richtlinie umgesetzt und regelmäßig aktualisiert wird. Hierfür werden der IT-Abteilung ausreichend Finanz- und Zeitressourcen zur Verfügung gestellt, um sich fortzubilden, zu informieren und die Sicherheitsziele des Managements zu erreichen. Die Geschäftsführung ist auch dafür zuständig, das ISMS mindestens einmal im Jahr (oder bei erheblichen Änderungen) zu prüfen und freizugeben. Diese Überprüfung dient dem Nachweis der Angemessenheit, Eignung und Wirksamkeit des ISMS. Die Gesamtverantwortung für die ordnungsgemäße und sichere Erfüllung von Aufgaben, einschließlich der Informationssicherheit, liegt bei der Unternehmensleitung.
5.2 IT-Abteilung
Zuständig für die Umsetzung ist der der Geschäftsführung direkt unterstellte IT-Administrator, der mit den im „Geschäftsbereichsorganigramm“ benannten Abteilungsleitern der Pröll GmbH sowie den Niederlassungsleitern bzw. Geschäftsführern der Vertriebstochtergesellschaften alle erforderlichen Maßnahmen der IT-Sicherheit durchzuführen hat. Dazu gehören insbesondere die Aktualisierung der Hard- und Softwareausstattung, die Ablaufsicherung des Datenverkehrs, die Sensibilisierung der Anwender zur Wahrung der Vertraulichkeit des Datenaustauschs und des Datenschutzes, die Aufdeckung von Gefahren bei der Internetnutzung, die Warnung vor Angriffen auf die IT-Infrastruktur und die regelmäßige Schulung aller Anwender in sicherheitsrelevanten Fragen.
Der IT-Abteilung obliegt die Aufgabe, mithilfe von geeigneten technischen, organisatorischen und infrastrukturellen Maßnahmen den Zugang zu sensiblen Systemen, Sicherheitszonen sowie kritischen Infrastruktureinrichtungen zu kontrollieren und zu beschränken. Dies umfasst auch den Zugriff auf wichtige Informationen und Anwendungen, der nur autorisierten Personen gestattet werden soll. Dabei werden auch die Eigentümer der Informationen in den Prozess einbezogen.
Die IT-Abteilung hat zudem die Verantwortung, die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität (soweit anwendbar) von Daten und Systemen sicherzustellen. Dies geschieht durch die Erstellung und Umsetzung eines Sicherheitskonzepts, welches auf Basis von Risikoeinschätzungen angemessene Maßnahmen vorsieht. Dadurch sollen unbefugte Zugriffe, Manipulationen oder Ausfälle verhindert werden.
5.3 Datenschutzbeauftragter
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes in einem eigenen DSMS.
5.4 Mitarbeiter
Die Mitarbeiter unseres Unternehmens sollen sich stets der Bedeutung der Informationssicherheit bewusst sein und aktiv an der Abwehr und Bekämpfung von materiellen bzw. immateriellen Schäden mitwirken. Sie sollen verantwortungsbewusst mit den Informationssystemen und den darauf gespeicherten und verarbeiteten Daten umgehen und auf die Wahrung der Betriebs- und Geschäftsgeheimnisse achten.
Die Mitarbeiter erhalten bei Bedarf für den jeweiligen Arbeitsplatz spezielle Sicherheitsregeln und haben regelmäßig an den angebotenen Sicherheitsschulungen teilzunehmen.
Bei Unregelmäßigkeiten sind die Mitarbeiter verpflichtet, unverzüglich die IT-Abteilung und ihre jeweiligen Vorgesetzten zu informieren. Es wird erwartet, dass jeder Nutzer von IT-Systemen die vorliegende Informationssicherheitsleitlinie kennt und beachtet.
6. Verpflichtungen
Die Leitung wird die Sicherheitsorganisation und den Sicherheitsprozess aktiv unterstützen.
Unser Unternehmen wird sich an dem Standard ISO 27001 und der IT-Grundschutz-Methodik orientieren und die Management-Elemente dieser Standards realisieren. Diese umfassen die Durchführung von regelmäßigen internen Audits, eine geeignete Steuerung der Dokumentation und der Aufzeichnungen, eine Managementbewertung und die Anwendung des Modells der kontinuierlichen Verbesserung (PDCA).
Jeder Mitarbeiter ist verpflichtet, die allgemeinen sowie die für den jeweiligen Arbeitsplatz geltenden Sicherheitsrichtlinien zu beachten und einzuhalten.
Die vorliegende Sicherheitsleitlinie gilt grundsätzlich nur unternehmensintern. Bei Bedarf wird die Geschäftsführung entscheiden, ob Dritte (z. B. Kunden, Vertragspartner, Lieferanten) einbezogen werden sollen.
Diese Leitlinie tritt mit Unterschrift der Geschäftsführung und unternehmensinterner Veröffentlichung in Kraft.
Weißenburg i. Bay., den 21. August 2024
Download - Informationssicherheitsleitlinie