ISMS Policy

1. Kontext

1.1. Ausgangslage

Die SwissSalary Ltd. (nachfolgend «SwissSalary») hat ein Managementsystem für Informationssicherheit (nachfolgend «ISMS») etabliert, das die Anforderungen des Standards ISO/IEC 27001:2022 erfüllt und dessen Konformität durch eine entsprechende Zertifizierung nach ISO/IEC 27001:2022 bestätigt ist.

Die vorliegende ISMS-Policy ist zentraler Bestanteil des ISMS.

1.2. Geltungsbereich

Der Geltungsbereich des ISMS und damit der Zertifizierung umfasst die gesamten Geschäftstätigkeiten von SwissSalary an beiden Standorten Urtenen-Schönbühl und Sursee.

1.3. Kontaktperson

Kontaktpersonen für alle Fragen im Zusammenhang mit dem ISMS von SwissSalary sind der Compliance Officer ISMS und der Chief Information Security Officer (nachfolgend «CISO»).

1.4. Verantwortlichkeiten

Die ISMS-Policy wird vom Compliance Officer ISMS verantwortet und vom Executive Board freigegeben. Das Executive Board trägt die Gesamtverantwortung für die Informationssicherheit und stellt die erforderlichen Ressourcen bereit.

Alle Mitarbeitenden sind verpflichtet, die Vorgaben dieser ISMS-Policy einzuhalten und aktiv zum Schutz der Informationen, Systeme und Prozesse beizutragen.

2. Begriffsdefinitionen

2.1. Informationssicherheit

Unter Informationssicherheit werden sämtliche Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, umgesetzt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer, personeller oder baulicher Natur sein.

  • Verfügbarkeit: Gewährleistung, dass berechtigte Benutzer bedarfsorientierten Zugang zu Informationen und den zugehörigen Werten erhalten.
  • Vertraulichkeit: Sicherstellung, dass nur autorisierte Personen Zugang zu Informationen haben.
  • Integrität: Wahrung der Unversehrtheit und Vollständigkeit von Informationen und sowie der eingesetzten Verarbeitungsmethoden.

2.2. ISMS

Ein ISMS umfasst sämtliche Regeln, Verfahren und Prozesse, die die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.

Die Umsetzung erfolgt auf Basis eines definierten Anwendungsbereichs und orientiert sich an einem strukturierten Framework. Die Dokumentation wird durch die Anwendbarkeitserklärung (SOA), Policies, Prozessbeschreibungen und weiteren Nachweisdokumenten sichergestellt

3. Stellenwert der Informationssicherheit

Informationssicherheit stellt für SwissSalary ein zentrales Qualitätsmerkmal dar und ist für das Unternehmen selbst sowie für Kunden, Partner und Mitarbeitenden von zentraler Bedeutung. Sämtliche strategischen und operativen Geschäftsprozesse unseres Unternehmens werden massgeblich durch Informationstechnologie unterstützt. Sicherheit wird dabei durch das abgestimmte Zusammenwirken von Menschen, Prozessen und Technik erreicht.

4. Ziele der Informationssicherheit

Informationssicherheit ist kein Selbstzweck. Neben den allgemeinen Schutzzielen – Schutz von Informationen im Kontext Verfügbarkeit, Vertraulichkeit und Integrität – verfolgt SwissSalary weitere auf die Geschäftstätigkeiten bezogene strategische, übergeordnete Informationssicherheitsziele:

  • Einhaltung aller gesetzlichen, regulatorischen, vertraglichen und internen Anforderungen
  • Nutzung von ISO/IEC 27001 als Werkzeug im Alltag zur Qualitätssicherung und zur konstanten Weiterentwicklung von SwissSalary

5. Organisation der Informationssicherheit

5.1. Das ISMS von SwissSalary

Das ISMS von SwissSalary dokumentiert sämtliche Verfahren und Regelungen, die der Gewährleistung der Informationssicherheit dienen. Die Anwendung dieser Regelungen ist zwingend und verbindlich für alle Mitarbeitenden.

Die ISMS-Policy bildet dabei die übergeordnete Leitlinie, in der die Grundsätze und strategischen Ziele der Informationssicherheit von SwissSalary festgelegt sind.

Die ISMS-Policy wird durch spezifische Richtlinien ergänzt, die eine einheitliche Umsetzung einzelner Themen in der Organisation sicherstellen. Seit mehreren Jahren ist das ISMS fester Bestandteil aller relevanten Prozesse, Dokumentationen und Arbeitsabläufe.

5.2. Rollen- und Verantwortlichkeiten

5.2.1. Executive Board

Das Executive Board ist das oberste operative Entscheidungsorgan von SwissSalary und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO sowie Compliance Officer ISMS.

5.2.2.CISO

Der CISO trägt die Verantwortung für die Einführung, Umsetzung, Überwachung, Steuerung, den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Er berichtet an das Executive Board sowie an den Compliance Officer ISMS.

5.2.3.Compliance Officer ISMS

Der Compliance Officer ISMS ist mitverantwortlich für die Einführung, Umsetzung, Überwachung, Steuerung, den Betrieb sowie die kontinuierliche Verbesserung des ISMS. Er ist hauptverantwortlich für die Organisation, Durchführung und Koordination externer Audits gemäss ISO/IEC 27001.

5.2.4.Asset Owner

Der Asset Owner trägt die Verantwortung für das zugewiesene Asset sowie seine Sicherung und regelmässige Überprüfung.

5.2.5.Asset Manager

Der Asset Manager trägt die Verantwortung für das zentrale Asset Management und stellt sicher, dass der Schutz der zugewiesenen Assets durch die Asset Owner erfolgt.

5.2.6.Risk Owner

Der Risk Owner trägt die Verantwortung für die Identifikation, Bewertung, Überwachung und Steuerung von Risiken und entscheidet über die zu treffenden Massnahmen für die Verwaltung und den Schutz der Risiken.

5.2.7.Risk Manager

Der Risk Manager trägt die Verantwortung für das zentrale Risk Management und verantwortet die Steuerung der Risiken und Prüfung der Massnahmen.

5.2.8. Supplier Manager

Der Supplier Manager verwaltet und überwacht die Lieferantenbeziehungen und stellt dabei sicher, dass das Lieferantenmanagement nach einem geregelten Prozess abläuft. Dies umfasst die Auswahl und Klassifizierung von Lieferanten nach vordefinierten Kriterien sowie die Festlegung von entsprechenden Massnahmen für die Bewirtschaftung.

5.2.9. Incident Manager

Der Incident Manager ist verantwortlich für die Erfassung, Priorisierung und Klassifizierung von Sicherheitsvorfällen (Incidents) und Nicht-Konformitäten innerhalb des ISMS. Er initiiert und bewertet Massnahmen zur Vorfallsbehandlung und sorgt für die kontinuierliche Verbesserung des Incident-Management-Prozesses sowie notwendige Anpassungen des ISMS

5.2.10. Internal IT Manager

Der Internal IT Manager ist verantwortlich für die Planung, Implementierung, Verwaltung und Überwachung der internen IT-Infrastruktur und -Systeme. Diese Rolle stellt sicher, dass alle IT-Systeme sicher, effizient und zuverlässig betrieben werden.

5.2.11. Business Continuity Manager

Der Business Continuity Manager ist verantwortlich für die Planung, Implementierung und Verwaltung der Geschäftsfortführungsmassnahmen im Rahmen des ISMS. Dies umfasst die Entwicklung von Plänen und Strategien zur Sicherstellung der Kontinuität kritischer Geschäftsprozesse im Falle von Störungen oder Katastrophen.

5.2.12. Change Owner

Der Change Owner ist verantwortlich für den Änderungsantrag (Request for Change, RFC), die Planung, Koordination und Umsetzung des zugewiesenen Changes im Einklang mit den Anforderungen der ISO/IEC 27001.

5.2.13. Change Manager

Der Change Manager trägt die Verantwortung für das zentrale Change Management und verantwortet die Steuerung der Risiken und Prüfung der Changes. Diese Rolle stellt sicher, dass alle Änderungen kontrolliert werden, um die Integrität, Verfügbarkeit und Vertraulichkeit der Informationssysteme auch bei Änderungen weiterhin zu gewährleisten.

5.2.14. Alle Mitarbeitenden

Alle Mitarbeitenden, die Tätigkeiten im Geltungsbereich des ISMS ausüben, tragen Verantwortung für die Informationssicherheit in ihrem jeweiligen Fachbereich.

Die Head ofs stellen sicher, dass die erforderlichen Ressourcen und Kompetenzen bereitgestellt werden. Sie setzen notwendige Sicherheitsmassnahmen in ihrem Verantwortungsbereich nachhaltig um, leiten ihre Mitarbeitenden an und sorgen für bedarfsgerechte Schulungen.

6. Kontrolle und Kontinuierliche Verbesserung

SwissSalary überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen werden dokumentiert und bilden eine zentrale Grundlage für die kontinuierliche Verbesserung des ISMS.

7. Einhaltung

Die Nichteinhaltung von Sicherheitsvorschriften und -weisungen führt zu einem Verstoss gegen die internen Regeln des Unternehmens und unterliegt den entsprechenden administrativen und rechtlichen Massnahmen.

Hiermit erklärt das Executive Board die Freigabe der ISMS-Policy. Diese tritt per 1. September 2025 in Kraft.

Unterschrift Mark Fahrni
Unterschrift ERST
Unterschrift ROLI