POLITIK DER INFORMATIONSSICHERHEIT
RATENOW als "Technologieunternehmen, das sich der Entwicklung von Systemen zur kontinuierlichen Messung der Kunden- und Patientenerfahrung widmet", hat innerhalb der Organisation ein Managementsystem für die Informationssicherheit implementiert, dessen Hauptziel es ist, die Geschäftsziele und die Kundenzufriedenheit zu erreichen, indem die Informationssicherheit jederzeit durch etablierte Prozesse auf der Grundlage eines Prozesses der kontinuierlichen Verbesserung gewährleistet wird, wobei die Kontinuität der Informationssysteme sichergestellt, das Schadensrisiko minimiert und die Einhaltung der gesetzten Ziele sichergestellt wird, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu jeder Zeit zu gewährleisten.
Unsere Säulen bei der Erbringung unserer Dienstleistungen sind:
- Informationssicherheit gemäß den strengsten bankfachlichen/medizinischen Standards.
- Umfassende und fortschreitende Überwachung der Datenschutzbestimmungen
- Verwendung von genehmigten Datenaustauschprotokollen und Vertriebskanälen
- Technologie auf dem neuesten Stand der Technik
- Bedürfnisorientiertes technisches Team
Zu diesem Zweck verpflichtet sie sich zur Informationssicherheit gemäß der Referenznorm ISO/IEC 27001:2013, für die die Geschäftsleitung die folgenden Grundsätze festlegt:
- Kompetenz und Führung durch die Geschäftsleitung als Verpflichtung zur Entwicklung des Informationssicherheitsmanagementsystems.
- Bestimmung der internen und externen Stakeholder, die für das Informationssicherheitsmanagementsystem relevant sind, und Erfüllung ihrer Anforderungen.
- Verstehen des organisatorischen Kontextes und Erkennen von organisatorischen Chancen und Risiken in Bezug auf die Informationssicherheit als Grundlage für die Aktionsplanung, um diese anzugehen, zu übernehmen oder zu bewältigen.
- Sicherstellung der Zufriedenheit unserer Kunden, einschließlich der an der Unternehmensleistung Beteiligten, in allen Aspekten unserer Geschäftstätigkeit und deren Auswirkungen auf die Gesellschaft.
- Festlegung von Zielen und Vorgaben, die auf die Bewertung der Leistung im Bereich der Informationssicherheit sowie auf die kontinuierliche Verbesserung unserer Aktivitäten ausgerichtet sind, geregelt im Managementsystem, das diese Politik entwickelt.
- Einhaltung der Anforderungen der für unsere Tätigkeit geltenden Gesetze und Vorschriften, der mit Kunden und Interessenten eingegangenen Verpflichtungen und aller internen Regeln oder Richtlinien, denen das Unternehmen unterliegt.
- Gewährleistung der Vertraulichkeit der vom Unternehmen verwalteten Daten und der Verfügbarkeit der Informationssysteme, sowohl bei den den Kunden angebotenen Dienstleistungen als auch bei der internen Verwaltung, wobei unzulässige Änderungen der Informationen zu vermeiden sind.
- Sicherstellung der Fähigkeit, auf Notfallsituationen zu reagieren und das Funktionieren kritischer Dienste so schnell wie möglich wiederherzustellen. Festlegung geeigneter Maßnahmen für die Behandlung von Risiken, die sich aus der Identifizierung und Bewertung von Vermögenswerten ergeben.
- Motivierung und Schulung des gesamten in der Organisation tätigen Personals, damit es seine Arbeit korrekt ausführt und die Anforderungen der Referenznorm erfüllt, sowie Schaffung eines geeigneten Umfelds für den Betrieb der Prozesse.
- Aufrechterhaltung einer flüssigen Kommunikation sowohl intern, zwischen den verschiedenen Ebenen des Unternehmens, als auch mit den Kunden.
- Bewertung und Gewährleistung der technischen Kompetenz des Personals für die Ausübung seiner Funktionen sowie Gewährleistung einer angemessenen Motivation für die Teilnahme an der kontinuierlichen Verbesserung unserer Prozesse.
- Sicherstellung des ordnungsgemäßen Zustands der Einrichtungen und der entsprechenden Ausrüstung, so dass sie mit der Tätigkeit, den Zielen und dem Zweck des Unternehmens übereinstimmen.
- Eine kontinuierliche Analyse aller relevanten Prozesse zu gewährleisten, wobei in jedem Fall die entsprechenden Verbesserungen in Abhängigkeit von den erzielten Ergebnissen und den festgelegten Zielen festgelegt werden.
Diese Grundsätze werden von der Geschäftsleitung übernommen, die über die notwendigen Mittel verfügt und ihren Mitarbeitern ausreichende Ressourcen zur Verfügung stellt, um sie einzuhalten, und die sie durch diese Informationssicherheitspolitik der Öffentlichkeit bekannt macht.
Der Generaldirektor, Albert Esplugas Boter
27/06/2023