EGEROBOT
Informationssicherheits-Managementsystem

Informationssicherheits Richtlinie

ISO 27001:2022, DSGVO und datenschutzkonformes Informationssicherheits-Managementsystem

Letzte Aktualisierung: 2026-02-04

Zweck

EGEROBOT betrachtet Unternehmensinformationen als extrem wertvolles Gut. Informationen sind für die Nachhaltigkeit unserer Geschäftsaktivitäten von kritischer Bedeutung und müssen angemessen geschützt werden.

EGEROBOT zielt darauf ab, die Risiken zu minimieren, die hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen entstehen können, indem der ISO 27001:2022-Standard im Rahmen des Informationssicherheits-Managementsystems (ISMS) implementiert wird.

Unser primäres Ziel ist es, das Vertrauen der Organisationen und Institutionen, denen wir dienen, zu gewährleisten und die Sicherheit der von uns genutzten Informationswerte zu sichern.

Geltungsbereich

Das EGEROBOT Informationssicherheits-Managementsystem umfasst die gesamte Organisation, Geschäftspartner, Lieferanten und Kundenbeziehungen. Diese Richtlinie gilt für alle Informationsverarbeitungsaktivitäten einschließlich physischer Umgebungen, digitaler Systeme, Cloud-Infrastrukturen und Remote-Arbeitsumgebungen.

Verpflichtungen

Als EGEROBOT und unsere Mitarbeiter verpflichten wir uns, um alle Arten von Risiken für unsere Geschäftskontinuität, Informationswerte und personenbezogene Daten zu eliminieren und zu managen;

  1. 1Unser Informationssicherheits-Managementsystem zu dokumentieren, zu zertifizieren und kontinuierlich zu verbessern
  2. 2Die Vertraulichkeit, Integrität und Zugänglichkeit von Informationen von Kunden, Geschäftspartnern, Stakeholdern, Lieferanten oder anderen Dritten zu gewährleisten
  3. 3Die Einhaltung aller gesetzlichen Vorschriften und Verträge im Zusammenhang mit Informationssicherheit sicherzustellen
  4. 4Schulungen zur Entwicklung technischer und verhaltensbezogener Kompetenzen durchzuführen
  5. 5Die Vertraulichkeit kritischer Daten wie strategische Ziele, Lieferquellen, Kunden-, Stakeholder-, Geschäftspartner- und Mitarbeiterinformationen zu schützen
  6. 6Geeignete physische und elektronische Umgebungen für die Sicherheit von Informationswerten zu schaffen
  7. 7Die notwendigen Pläne und technische Infrastruktur für die Kontinuitätssicherung unserer IT-Services bereitzustellen
  8. 8Situationen, die der Informationssicherheit zuwiderlaufen, rechtzeitig zu erkennen und sofort zu reagieren
  9. 9Die im Datenschutzgesetz Nr. 6698 festgelegten Maßnahmen zu ergreifen
  10. 10Alle personenbezogenen Daten und Informationswerte von EGEROBOT zu schützen und die Informationssicherheit durch Management bestehender und potenzieller Risiken kontinuierlich zu verbessern

wir verpflichten uns.

Rechtlicher Rahmen und Standards

Diese Richtlinie wurde in Übereinstimmung mit folgenden nationalen und internationalen Vorschriften erstellt:

Internationale Standards

ISO/IEC 27001:2022Informationssicherheits-Managementsystem
ISO/IEC 27002:2022Informationssicherheitskontrollen
ISO/IEC 27701:2019Datenschutz-Informationsmanagement
ISO 22301:2019Business Continuity Management System

EU-Vorschriften

DSGVODatenschutz-Grundverordnung – EU 2016/679
NIS2-RichtlinieNetz- und Informationssystemsicherheit

Türkische Gesetzgebung

Gesetz Nr. 6698 KVKKDatenschutzgesetz
Gesetz Nr. 5651Regulierung von Internetpublikationen
Gesetz Nr. 5237 TStGBCyberverbrechen (Artikel 243-246)
Gesetz Nr. 6102 HGBHandelsbücher und Dokumentenaufbewahrungspflichten

Grundprinzipien

Die Informationssicherheitsrichtlinie von EGEROBOT basiert auf folgenden Prinzipien:

Vertraulichkeit

  • Informationen werden vor unbefugtem Zugriff geschützt
  • Können nicht absichtlich oder fahrlässig an Unbefugte weitergegeben werden
  • Datenklassifizierung und Zugriffskontrolle werden angewendet

Integrität

  • Die Genauigkeit und Konsistenz von Informationen wird gewährleistet
  • Schutzmechanismen gegen unbefugte Änderungen werden angewendet
  • Protokolldatensätze und Prüfpfade werden geführt

Verfügbarkeit

  • Rechtzeitiger Zugang zu Informationen durch autorisierte Benutzer wird gewährleistet
  • Vorkehrungen gegen Systemausfälle werden getroffen
  • Business Continuity Pläne werden umgesetzt

Security by Design

  • Systeme werden von der Entwurfsphase an mit Sicherheitsfokus entwickelt
  • Privacy by Design Prinzip wird angenommen

Moderne Bedrohungskategorien und Maßnahmen

Ransomware

  • Regelmäßige und isolierte Backup-Strategien
  • Datenverschlüsselung gegen Doppelerpressungsangriffe
  • Endpoint Detection and Response (EDR) Systeme

Social Engineering und Phishing

  • Mitarbeiter-Awareness-Schulungen
  • Verifizierungsprotokolle gegen KI-gestützte Deepfake-Bedrohungen
  • E-Mail-Sicherheitsfilter und SPF/DKIM/DMARC-Konfiguration

Advanced Persistent Threats (APT)

  • Verhaltensbasierte Bedrohungserkennung
  • Netzwerksegmentierung
  • Zero-Trust-Architektur

Lieferkettenangriffe

  • Drittanbieter-Risikobewertung
  • Software-Komponentenanalyse (SBOM)
  • Lieferanten-Sicherheitsaudits

IoT- und OT-Sicherheit

  • Isolation von industriellen Steuerungssystemen
  • IoT-Geräteinventar und Sicherheitsupdates
  • Netzwerkverkehrsüberwachung

Cloud-Sicherheitsrichtlinie

Allgemeine Prinzipien

  • Sicherheitszertifizierungen von Cloud-Dienstanbietern werden überprüft
  • Zero-Trust-Architektur wird angewendet
  • Daten werden bei Übertragung und Speicherung verschlüsselt

Zugriffskontrolle

  • Multi-Faktor-Authentifizierung (MFA) ist obligatorisch
  • Least-Privilege-Prinzip wird angewendet
  • Rollenbasierte Zugriffskontrolle (RBAC) wird verwendet

Konfigurationssicherheit

  • Cloud Security Posture Management (CSPM) Tools werden verwendet
  • Regelmäßige Konfigurationsaudits werden durchgeführt
  • API-Sicherheit wird gewährleistet

Remote-Arbeit Sicherheitsrichtlinie

Netzwerksicherheit

  • VPN-Nutzung ist obligatorisch
  • Sichere Heimnetzwerkkonfiguration wird empfohlen
  • Sensible Daten werden nicht in öffentlichen WLAN-Netzwerken verarbeitet

Gerätesicherheit

  • Geräte mit Zugriff auf Unternehmensdaten werden verschlüsselt
  • Aktuelle Antivirensoftware und Sicherheitspatches sind obligatorisch
  • Mobile Device Management (MDM) wird angewendet

Datenschutz

  • Sensible Daten werden nicht auf lokalen Geräten gespeichert
  • Cloud-basiertes File-Sharing wird verwendet
  • Bildschirmfreigabe- und Anzeigeregeln werden angewendet

Drittanbieter- und Lieferantensicherheit

Bewertung

  • Lieferanten-Sicherheitsbewertungen werden durchgeführt
  • ISO 27001-Zertifizierung oder Äquivalent wird gefordert
  • Regelmäßige Sicherheitsaudits werden durchgeführt

Vertragliche Anforderungen

  • Geheimhaltungsvereinbarungen (NDA) werden unterzeichnet
  • Auftragsverarbeitungsverträge (AVV) werden geschlossen
  • Sicherheitsverletzungs-Meldepflichten werden definiert

Incident Response und Verletzungsmanagement

Incident Response Plan

  • Verfahren zur Erkennung, Klassifizierung und Eskalation von Vorfällen
  • 24/7 Sicherheitsüberwachung
  • Incident Response Team (CSIRT) ist definiert

Datenschutzverletzungs-Meldung

  • KVKK: Meldung an die Datenschutzbehörde 'so bald wie möglich'
  • DSGVO: Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden
  • Betroffene Personen werden informiert

Nach dem Vorfall

  • Ursachenanalyse wird durchgeführt
  • Verbesserungsmaßnahmen werden umgesetzt
  • Lessons Learned werden dokumentiert

Business Continuity und Disaster Recovery

Business Continuity Plan (BCP)

  • Kritische Geschäftsprozesse werden identifiziert
  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) werden definiert
  • Alternative Arbeitsstandorte werden geplant

Disaster Recovery (DR)

  • Regelmäßige Backup- und Testverfahren
  • Geografisch verteilte Backups
  • Jährliche Disaster-Recovery-Übungen

Geschützte Vermögenswerte

Identitätsinformationen und personenbezogene Daten
Kunden- und Geschäftspartnerinformationen
Softwarepakete und Quellcodes
Server und Netzwerkinfrastruktur
Cloud-Ressourcen und Datenbanken
Geistige Eigentumsrechte
Geschäftsgeheimnisse und kommerzielle Informationen

Unterstützende Richtlinien

Clean-Desk- und Clear-Screen-Richtlinie
E-Mail-Nutzungsrichtlinie
Zugriffskontrollrichtlinie
Kryptografische Kontrollrichtlinie
Passwort-Management-Richtlinie
Mobile-Geräte-Nutzungsrichtlinie (BYOD)
Social-Media-Nutzungsrichtlinie
Datenklassifizierungsrichtlinie
Backup- und Wiederherstellungsrichtlinie
Änderungsmanagement-Richtlinie

Ziele

  1. 1Den Wert von Informationswerten durch angemessene Risikobewertung identifizieren
  2. 2Schwachstellen und potenzielle Bedrohungen verstehen
  3. 3Risiken auf akzeptable Niveaus reduzieren
  4. 4Nationale Gesetzgebung einhalten (KVKK, 5651, HGB)
  5. 5Internationale Vorschriften einhalten (DSGVO, ISO 27001:2022)
  6. 6Kundenvertragsbedingungen erfüllen
  7. 7Kontrollverfahren und Anweisungen einhalten
  8. 8Cybersicherheits-Reifegrad kontinuierlich erhöhen

Schulung und Awareness

  • Jährliche Informationssicherheitsschulung für alle Mitarbeiter
  • Einführungsschulung für neue Mitarbeiter ist obligatorisch
  • Phishing-Simulationen und Awareness-Tests werden durchgeführt
  • Rollenbasierte spezialisierte Sicherheitsschulungen werden organisiert
  • Schulungsaufzeichnungen werden dokumentiert

Verantwortlichkeiten

Obere Leitung

  • Genehmigt und unterstützt diese Richtlinie
  • Stellt notwendige Ressourcen bereit
  • Nimmt an jährlichen Review-Meetings teil

Chief Information Security Officer (CISO)

  • Koordiniert die Umsetzung der Richtlinie
  • Verwaltet Sicherheitsvorfälle
  • Führt Risikobewertungen durch
  • Berichtet an die Geschäftsleitung

Abteilungsleiter

  • Stellt die Richtlinienumsetzung in ihrer Abteilung sicher
  • Meldet Sicherheitslücken
  • Unterstützt die Mitarbeiter-Awareness

Alle Mitarbeiter

  • Halten die Informationssicherheitsrichtlinie ein
  • Melden Sicherheitsvorfälle
  • Nehmen an Schulungen teil
  • Melden verdächtige Situationen

Sanktionen

Jede vorsätzliche oder fahrlässige Handlung, die die Sicherheit von Informationen von EGEROBOT, seinen Kunden oder Lieferanten gefährdet:

  • Disziplinarmaßnahmen
  • Beendigung des Arbeitsverhältnisses
  • Rechtliche Schritte (Gesetz Nr. 5237 TStGB - Cyberverbrechen)
  • Schadensersatzansprüche

unterliegt.

Kontinuierliche Verbesserung (PDCA-Zyklus)

EGEROBOT wendet den Plan-Do-Check-Act (PDCA) Zyklus an, um das Informationssicherheits-Managementsystem kontinuierlich zu verbessern:

Planen (Plan)

  • Risikobewertung und Festlegung von Sicherheitszielen
  • Erstellung von Richtlinien und Verfahren
  • Ressourcenplanung

Umsetzen (Do)

  • Implementierung von Kontrollen
  • Durchführung von Schulungen
  • Dokumentation

Prüfen (Check)

  • Interne Audits
  • Leistungsmessung
  • Vorfallanalyse und Trendbewertung

Handeln (Act)

  • Korrekturmaßnahmen
  • Präventivmaßnahmen
  • Empfehlungen zur kontinuierlichen Verbesserung

Überprüfung

Diese Richtlinie:

  • Wird mindestens einmal im Jahr überprüft
  • Wird bei wesentlichen Änderungen, Sicherheitsvorfällen oder regulatorischen Updates überarbeitet
  • Wird in Management-Review (MR) Meetings bewertet

Kontakt

Kontaktieren Sie uns bei Fragen zur Informationssicherheit oder zur Meldung von Vorfällen.

Kontaktseite
Dieses Dokument ist Teil des EGEROBOT Informationssicherheits-Managementsystems.