CONTACT US
Wir, die think tank Business Solutions AG, Messerschmittstraße 7, 80992 München (folgend: think tank) haben ein Information Security Management System (ISMS) nach ISO 27001:2013 implementiert.
Das ISMS soll die Grundlage bilden, um vorhandene Risiken systematisch zu identifizieren und beherrschen zu können.
Das ISMS hat darüber hinaus die Funktion, die kontinuierliche Verbesserung der Schutzziele für Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit – zu gewährleisten.
Das ISMS der think tank gilt für alle Organisationseinheiten. Es sind daher alle Verfahren, Prozesse und Tätigkeiten des Unternehmens beinhaltet. Werden Dritte mit der Erbringung von Leistungen beauftragt, ist durch vertragliche Vereinbarungen sicher zu stellen, dass die Informationssicherheitsleitlinie in den Leistungsbeziehungen berücksichtigt wird.
 

Geltungsbereich des ISMS nach ISO27001:2013

 
Der Vorstand verantwortet die Informationssicherheit der think tank. Im Rahmen dieser Verantwortung erlässt die Vorstandschaft diese Informationssicherheitsleitlinie. Nach Maßgabe dieser Leitlinie ist nach der Vorstandschaft jeder Bereich der think tank für die Sicherheit und einen angemessenen Schutz der Informationen zuständig. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch Teil unserer Verpflichtungen gegenüber unseren Kunden. Jeder Mitarbeiter muss sich daher an diese Leitlinie und die daraus abgeleiteten Standards halten. 
 
 

Zielgruppe

Die vorliegende Leitlinie gilt verbindlich für alle Mitarbeiter der think tank. Alle Mitarbeiter sind seitens der Vorstandschaft aufgefordert, Informationssicherheit auf Basis dieser Leitlinie und nach ISO 27001, Datenschutz nach BDSG und EU-DSGVO und materielle Sicherheit nach Kräften aktiv im jeweiligen Tätigkeitsbereich umzusetzen.
 
 

Verantwortlichkeiten

Die Verantwortung für die Informationssicherheit tragen neben der Vorstandschaft als Gesamtverantwortliche zudem alle an den Geschäftsprozessen Beteiligten. Die Vorstandschaft unterstützt die Maßnahmen und Strategien der Informationssicherheit aktiv und treibt die Umsetzung der Sicherheitsmaßnahmen im Unternehmen voran.
 
Jeder Verantwortliche hat in seinem Bereich vor allem folgendes zu beachten:
  • Die Einschätzung und Festlegung der geschäftlichen Relevanz der von ihm verantworteten Informationen und Daten,
  • die Festsetzung und Genehmigung des Sicherheits- und Kontrollumfangs, um in angemessener Weise die Verfügbarkeit, Vertraulichkeit und Integrität der von ihm verantworteten Informationen und Daten zu gewährleisten,
  • die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der von ihm verantworteten Informationen und Daten implementiert werden,
  • die Sicherstellung, dass die Systeme, mit denen die von ihm verantworteten Informationen und Daten bearbeitet werden, regelmäßig hinsichtlich der Einhaltung der Informationssicherheitsleitlinie geprüft werden.

Alle Mitarbeiter sind bei der Erstellung, Nutzung und Verwaltung von Informationen und Daten verpflichtet, die Leitlinie und alle abgeleiteten Richtlinien einzuhalten. Die Mitarbeiter sind für sämtliche Maßnahmen verantwortlich, die sie bei der Nutzung von Informationen und den damit verbundenen Systemen ergreifen. Die Mitarbeiter müssen verstehen, dass Informationssicherheit ein zentraler Faktor der Unternehmensphilosophie darstellt und ein entsprechendes Sicherheitsbewusstsein entwickeln. Mitarbeiter, die eine Verletzung der Informationssicherheit und der damit verbundenen Informationssicherheitsstandards vermuten oder Kenntnis davon erlangt haben bzw. annehmen, dass Informationen nicht in geeigneter Weise geschützt sind, müssen dies unverzüglich ihrem Vorgesetzten und/oder dem Informationssicherheitsbeauftragten melden. Die Nichteinhaltung oder bewusste Verletzung der Unternehmensvorgaben kann entsprechend ihrem Umfang zu Disziplinarmaßnahmen, Entlassung und straf- und/oder zivilrechtliche Verfahren führen.

Sicherheitsbewusstsein

Aufgrund der Wichtigkeit der Informationssicherheit wird von jedem Mitarbeiter ein hohes Sicherheitsbewusstsein erwartet. Ihre Einhaltung wird überprüft. Sicherheitsbewusstsein ist durch folgendes Verhalten gekennzeichnet:

  • Erkennen, dass Informationssicherheit ein kritisches und wesentliches Element der Unternehmensphilosophie und des Unternehmenserfolgs ist,
  • stets vorhandenes Sicherheitsbewusstsein bei allen täglich anfallenden Arbeiten,
  • persönliche Verantwortlichkeit für proaktive sowie effektive reaktive Maßnahmen in Bezug auf sämtliche Risiken, Schwachstellen, Vorfälle für Mitarbeiter, Informationen, Vermögenswerte und die Fortführung der Geschäftstätigkeit im Notfall,

der Informationssicherheitsbeauftragte wird bei Unregelmäßigkeiten umgehend informiert.

Ziele

Da die Bedeutung der Informationssicherheit für die Durchführung der Geschäftsprozesse zentral ist, ergeben sich folgende zentrale, strategische Informationssicherheitsziele:

  • Schutz vertraulicher Daten sowohl von Kunden als auch des Unternehmens und dessen Mitarbeiter,
  • Verfügbarkeit sämtlicher Dienstleistungen und damit gegeben die Verfügbarkeit der involvierten Daten,
  • Integrität sämtlicher Dienstleistungen und damit gegeben die Integrität der involvierten Daten,
  • Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
  • Einhaltung der aus gesetzlichen, vertraglichen und aufsichtsrechtlichen Verpflichtungen resultierenden Anforderungen,
  • Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb des Unternehmens,
  • Etablierung und Erhaltung eines guten Rufs des Unternehmens bzgl. Informationssicherheit im öffentlichen Bewusstsein,
  • Reduzierung der im Schadensfall entstehenden Kosten.
  • Minimal- bzw. Need-to-know-Prinzip: Der Zugriff auf sicherheitskritische Systeme, Applikationen und Informationen ist auf einen minimalen Personenkreis einzuschränken. Dabei ist prinzipiell verboten, was nicht explizit erlaubt ist (Verbot mit Erlaubnisvorbehalt).
  • Einführung und fortlaufender Erhalt des ISMS in Anlehnung an den kontinuierlichen Verbesserungsgedanken im Sinne des PDCA-Modells (Plan-Do-Check-Act).

Bereitstellung ausreichender Ressourcen zur Erreichung der gesetzten Ziele.

Risikomanagement

Das Risikomanagement ist die Grundlage des ISMS nach ISO 27001. Die Risikoanalyse im Rahmen des ISMS dient der systematischen Betrachtung potentieller Risiken, gefolgt von deren Bewertung und gegebenenfalls der Einleitung von Gegenmaßnahmen. Die für die Informationstechnologie und -sicherheit existierenden Risiken werden festgehalten und nach einem vorgegeben Schema bewertet. Die Anwendung angemessener, wirtschaftlicher Maßnahmen, die Verlagerung geschäftlicher Risiken und das Senken bzw. das bewusste Hinnehmen von Risiken unterhalb eines festgelegten, akzeptablen Niveaus werden in der Risikoanalyse beschrieben und von der Vorstandschaft gegengezeichnet.
 
 

Kontinuierlicher Verbesserungsprozess

 
think tank Business Solutions AG Emotionale Intelligenz
Das ISMS auf Basis des PDCA-Modells wird implementiert, um die Informationssicherheit zu erhalten und kontinuierlich zu verbessern.

In den PDCA-Kreislauf fließen Verbesserungsmaßnahmen aus verschiedenen Quellen ein, die in ihrer Umsetzung fortlaufend dokumentiert werden.

Für unser drittes Event zur MucDigital, haben wir uns für das Format „Open Space“ entschieden. Sollte das für den ein oder anderen kein Begriff sein – kein Problem! – schnell erklärt: die Open-Space-Methode, ist ein Verfahren zur Moderation innerhalb großer Gruppen. Das Konzept erinnert an den Stehtisch in der Küche – jeder kann ein Thema einbringen, jeder kann die Moderation übernehmen, jeder kann zu einem anderen Tisch wechseln, wenn er dem Thema nichts mehr abgewinnen kann. Die Methode basiert auf den Grundwerten „Freiheit“ und „Selbstbestimmung“ und besteht darauf, dass die Gemeinschaft in Ihrer Entwicklung auf den Beitrag und das Mitdenken eines jeden Einzelnen angewiesen ist. Jeder kann sofort in die Diskussion einsteigen und mit seinem Wissen einen wertvollen Beitrag leisten (vgl. bildungsagenten.org).

Unsere Ausgangssituation war folgende:

  • drei Räume
  • 12 Teilnehmer
  • Zeitlich war eine dreiviertel Stunde pro Runde, insgesamt zwei Runden angesetzt.

Nach fünf Minuten Brainstorming darüber, was spannende Themen sein könnten, kamen folgende Zettel auf dem Flipchart zusammen:

  • Social Scoring in Unternehmen – Beispiel IBM
  • Data Privacy versus Intellectual Property
  • Der gläserne Bürger
  • Cyber Security in Unternehmen

Und los geht’s!

ERSTE Runde

Jeder lief in den für sich auserwählten ersten Raum und die Diskussionsrunden konnten starten.

Unterstützend für das Thema „Social Scoring in Unternehmen – Beispiel IBM“ wurden Folien an die Wand geworfen. Und schon kamen viele, viele Fragen auf: „Warum denken viele, das Social Scoring schlecht ist, gibt es nicht auch positive Seiten?“ „Welche Daten werden wirklich gemessen?“ „Wie verhindert man Manipulation?“ „Was ist der Vorteil für das Unternehmen?“ „Und was ist der Vorteil der Mitarbeiter?“ „Wie programmiert man das?“ „Und was sagt der Datenschutz dazu?“ „Ist das überhaupt erlaubt?“ ….

Vertreter verschiedenster Meinungen hatten nun die Möglichkeit, neue Argumente anzubringen, aber auch neue Ansichten und Einsichten zu erfahren. Auch für Neulinge in dem Thema, lieferte das Format „Open Space“ eine tolle Gelegenheit sich in das Thema einzuarbeiten.

Parallel zu dieser Veranstaltung fand eine Diskussion zu dem Thema „Data Privacy vs. Intellectual Property“ statt. Die Kernfrage zu diesem Thema war: Wie kann man den Datenschutz gewährleisten und zugleich den Freiraum des geistigen Eigentums schützen?

Das Datenmanagement und die Aufbewahrung der Kunden- und Mitarbeiterinformationen sind heute von grundlegender Bedeutung für das Wohlergehen von Unternehmen, zumal Kundeninformationen eines der wertvollsten Vermögenswerte der meisten Unternehmen sind. Datenschutzrichtlinien können jedoch auch unbeabsichtigt dazu führen, dass Bemühungen zur Durchsetzung von Rechten des geistigen Eigentums behindert werden. In verschiedensten öffentlichen Debatten und Rechtsstreitigkeiten kam es schon zu Spannungen zwischen Vorgaben zum Datenschutz und der Durchsetzung von Rechten des geistigen Eigentums. Diese Themen stehen sich teilweise konträr gegenüber und lösten auch in unserem Open Space eine hitzige Debatte aus – bei der es natürlich kein richtig oder falsch gab.

ZWEITE Runde:

Wie es der Zufall wollte, kamen nach und nach alle Teilnehmer für die letzte Runde in einem Raum zusammen und eine spannende Diskussion startete zum Thema „der gläserner Bürger“. Schnell wurden viele Vor- und Nachteile genannt und Risiken diskutiert. China als Referenzland war dabei, Blockchain, Cloud und Kryptowährung wurden angesprochen. Die Diskussion entwickelte sich bis hin zur Frage, welche, beziehungsweise ob Fotos der eigenen Kinder geteilt werden sollen und wenn ja auf welchen Plattformen oder in welchem Umfang das legitim wäre.

Alles in allem waren alle Teilnehmer sehr zufrieden mit dem Format – sowohl mit den gefundenen Themen, als auch mit den Antworten. Die bunte Mischung aus Experten, Neulingen und allem dazwischen, hat den spannenden Pfiff von Anfang bis Ende erhalten.
Wir freuen uns auf das nächste Open Space!

 

Quellen:

Ideenwerkstatt Bildungsagenten, „Open-Space – Die Kraft der Teilnehmer entfalten“

Unter: https://bildungsagenten.org/open-space-methode/ zuletzt geprüft am 31.07.2019

Die MucDigital wird vom Isarnetzwerk e. V. organisiert und findet vom 16. – 25. Mai 2019 statt. Im Rahmen des ehemals als Münchner Webwoche bekannten Events, werden viele verschiedene Veranstaltungen in ganz München angeboten, die sich auf das Thema Digitalisierung beziehen.
think tank wird dieses Jahr zum ersten Mal dabei sein und freut sich zu drei verschiedenen Events einladen zu können. Kommen Sie uns besuchen und lassen Sie sich begeistern! #MucDi

Austausch im tt Open Space über die Themen Cyber Security und Social Scoring

Aus Diskussionen am Kaffeetisch entstand die Moderationsmethode Open Space. Diese Form möchten wir gerne nutzen um mit Euch über das Thema „Social Scoring“ zu diskutieren. Keine Angst, wir werden zu Beginn die Methode genauer erläutern.

Wir freuen uns darauf Eure Meinungen zu hören und mit Euch in den Austausch zu gehen. Bringt gerne Themen mit, die Euch interessieren, die Euch unter den Nägeln brennen und die Ihr gerne diskutieren würdet.

Ein paar Themen haben wir schon mal zur Anregung schon gesammelt:

 

Meine Bewerbung

Social Scoring hat bereits eine lange Tradition bei der Auswahl von Bewerbern. Durch die neuen Social Media Plattformen wie Facebook, Xing, LinkedIn, Instagram, Snapchat, Twitter und wie sie alle heißen, hat das Thema jedoch eine neue Qualität bekommen. Heute ist der oder die PersonalerIn in der Lage eine Menge persönliche Informationen über den Bewerber zu sammeln, noch bevor überhaupt ein erstes Gespräch stattgefunden hat.

Hat mein Facebook-Profil wirklich Einfluss auf meine nächste Bewerbung? Und was ist mit meinem WhatsApp-Account? Ist das rechtens? Ist das richtig? Ist das fair?

 

Meine Karriere

An Hand eines Beispiels von IBM (offizieller Foliensatz) möchten wir mögliche Entwicklungen des Social Scoring von Mitarbeitern in großen Unternehmen diskutieren. Welchen Einfluss hat das Thema auf meine Karriere? Werde ich möglicherweise jetzt schon mit einem Punktesystem bewertet? Darf mein Arbeitgeber das?

 

Bin ich jetzt schon der gläserne Bürger?

Ansatzweise beeinflusst das Thema Social Scoring heute schon das Leben der Menschen in China. Ist das auch hier in Deutschland unsere Zukunft? Weiß meine Krankenkasse, dass ich seit drei Monaten keinen Sport gemacht habe? Werde ich in zehn Jahren möglicherweise von meiner Krankenkasse schlechter eingestuft, weil sie weiß, dass ich mit 20 geraucht habe? Wenn ich bei der Pflege meiner Oma helfe, darf ich dann zukünftig immer DB 1er Klasse fahren? Weiß mein Arbeitgeber, dass ich heute so müde bin, weil ich gestern noch morgens um 3 Uhr auf WhatsApp mit meinem besten Freund gechattet habe?

 

Wir freuen uns auf Euch, bringt gerne Eure Themen mit!

 

Registrieren

Cyber Security

 

Datum und Uhrzeit: Donnerstag 16. Mai 2019, 15:30-17:30 Uhr

Veranstaltungsort: think tank Business Solutions AG

Messerschmittstraße 7, 80992 München

Karte anzeigen

Teilnahme: hier können Sie sich kostenlos registrieren und an unserer Verantstaltung teilnehmen:

registrieren>>>

Moderator: Tobias Wild

Kontakt

Mit der Absendung des Formulars erkläre ich mich mit den Datenschutzbestimmung einverstanden

Kontakt

Allgemeine Informationen

Follow us

thinktank-monochrome-logo