1. Vorwort


Die Innsbrucker Soziale Dienste GmbH. ist wie jedes Unternehmen von Informationen und exakten Daten abhängig. Deren Qualität entscheidet schließlich mit über unseren Erfolg, der mit der Lebens-qualität unserer BewohnerInnen, KlientInnen und sonstiger KundInnen untrennbar verbunden ist. Informations- und Datensicherheit sind deshalb bei ISD Führungsaufgabe. Die Einbeziehung der Geschäftsführung gewährleistet, dass Sicherheitsthemen jederzeit die Aufmerksamkeit des Managements finden.



2. Strategie


Sicherheit ist keine rein technische Angelegenheit. Sie zu schaffen und zu leben, ist Aufgabe von Menschen: Sicherheit beginnt im Kopf; im Unternehmen fängt sie bei der eigenen Belegschaft, also bei jeder und jedem Einzelnen von uns an. Es ist uns allerdings auch bewusst, dass die unterstützende Technik ein unverzichtbares Hilfsmittel zur Erfüllung unserer Arbeit ist und deshalb genauso Teil der Sicherheitsstrategie des Unternehmens ist.


2.1 Sicherheitsziele

Daten und Informationen (elektronisch oder auch nur auf Papier) müssen so geschützt werden, dass

  • - die Vertraulichkeit in angemessener Weise gewahrt ist,
  • - die Richtigkeit (Authentizität u. Integrität) der Daten und Informationen gewährleistet ist,
  • - sie bei Bedarf den dazu Berechtigten verfügbar sind und
  • - alle gesetzlichen und vertraglichen Verpflichtungen erfüllt werden.

Ziele sind nur dann erreichbar, wenn sie verstanden werden. Aufklärung über diese Ziele ist deshalb DIE wesentliche Voraussetzung für richtiges und zielgerichtetes Handeln. Das Unternehmen bekennt sich dazu, ALLE MitarbeiterInnen in geeigneter Weise über die Ziele der Datensicherheit zu informieren. Eine Voraussetzung zur dauerhaften Zielerreichung in allen anderen Bereichen ist es auch, eine entsprechende Sensibilität für Sicherheitsbedrohungen zu schaffen und zu erhalten.


2.2 Verbindliche Regelungen, Sicherheitsbewusstsein, Evaluation

Im Sinne der angestrebten Sicherheitsziele ist es nötig, Regelungen zu erlassen, die für alle Mitarbeiterinnen und Mitarbeiter bindend sind. Darüber hinaus werden auch verbindliche Standards für bestimmte Abteilungen oder größere Einheiten definiert. Alle Regelungen sind als betriebsspezifische Ergänzung zu den gesetzlich auferlegten Verpflichtungen (zB aus Datenschutzgesetz, Gesundheitstelematikgesetz und anderen Gesetzen aus dem Medizin- bzw. Pflegebereich) anzusehen und werden bei Bedarf aktualisiert.

Weil es aber bei aller Sorgfalt nicht möglich ist, jede erdenkliche Situation zu regeln, ist es erforderlich, das Sicherheitsbewusstsein laufend zu schärfen. Schließlich ist uns aber auch klar: Ohne interne und externe Leistungsüberprüfungen lässt sich Sicherheit auf konstant hohem Niveau nicht gewährleisten.


2.3 Einbeziehung Dritter

Auch manche Dritte (vor allem Lieferanten von Software und IT-Dienstleister) müssen sich unseren Sicherheitsbestimmungen unterwerfen.


2.4 Privacy Statement für die ISD-Homepage

Wir verpflichten uns, die Privatsphäre aller Personen zu schützen, die unsere Website nutzen und die persönlichen Daten, die uns Besucher hinterlassen, vertraulich zu behandeln. Persönliche Informationen werden grundsätzlich nicht an Dritte weitergegeben.


2.5 Umgang mit Sicherheitsvorfällen

Im besten Sicherheitsnetz der Welt können mitunter Störungen auftreten. Eine klare Regelung bestimmt deshalb auch, was ein Sicherheitsvorfall ist und wie wir damit umgehen, um Schaden vom Unternehmen abzuwenden bzw. daraus für die Zukunft zu lernen. Genaueres ist der Richtlinie für MitarbeiterInnen zu entnehmen.



Dr. Hubert Innerebner, Geschäftsführer

Innsbruck, im Dezember 2009
(letztes Änderungsdatum)