Als Unternehmen, das internetbezogene Dienstleistungen anbietet, stellt IIJ Europe Limited (im Folgenden das „Unternehmen“) seinen Kunden eine zunehmend zentrale soziale Infrastruktur, sichere,[1]zuverlässige und qualitativ hochwertige Dienstleistungen bereit Dadurch und in gemeinsamen Bemühungen mit seinen Kunden strebt es danach, den Weg zu einer neuen Netzwerkgesellschaft zu ebnen.
In diesem Zusammenhang erkennt das Unternehmen neben der Qualität seine wichtige Verantwortung an, die Informationssicherheit zu gewährleisten, indem es die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, die ihm von Kunden anvertraut wurden, sowie seiner eigenen Informationen bewahrt. Dementsprechend hat das Unternehmen ein angemessenes Informationssicherheitsmanagementsystem (ISMS) implementiert, das den Anforderungen von ISO/IEC 27001 entspricht. Dieses ISMS ist Teil des integrierten Managementsystems des Unternehmens, das neben ISO/IEC 27001 auch ISO 9001 (Qualität) und ISO 22301 (Geschäftskontinuität) entspricht.
Somit verfolgt das Unternehmen einen unternehmensweiten Ansatz für das Risikomanagement einschließlich Informationssicherheit, Qualität und Geschäftskontinuität, der den in ISO 31000 (Risikomanagement) festgelegten Risikomanagementprinzipien und -richtlinien entspricht. Die Richtlinien des Unternehmens[1]stellen[2]einen Verhaltenskodex für alle im Unternehmen dar. Das Unternehmen erklärt hiermit, dass alle Mitarbeiter ihre Pflichten nach ethischen Standards unter vollständiger Einhaltung dieser Richtlinien erfüllen. Insbesondere:
- Das Unternehmen hält alle relevanten Gesetze und Vorschriften sowie vertraglichen Verpflichtungen ein.
- Der Geschäftsführer des Unternehmens übernimmt die Verantwortung eines Chief Information Security Officers (CISO) und leitet das Integrated Management System Forum (IMSF), das die Interessen des Unternehmens bezüglich der Informationssicherheit, Qualität und Geschäftskontinuität verfolgt und überwacht.
- Das Unternehmen verpflichtet sich, die Kompetenz und das Bewusstsein seiner Mitarbeiter sowie ihren Beitrag zur Qualität, Informationssicherheit und Geschäftskontinuität sicherzustellen und auf die Auswirkungen ihrer Nichtbeachtung aufmerksam zu machen.
- Das Unternehmen hat eine umfassende Reihe von Risikobehandlungsplänen implementiert, die es dabei unterstützen, Risiken zu verwalten und seine Risikoexposition innerhalb akzeptabler Grenzen zu halten. Diese Pläne werden regelmäßig überprüft und bei Bedarf überarbeitet, um mit den Veränderungen der Bedrohungslandschaft, der Technologie und des Geschäftsumfelds Schritt zu halten.
- Das Unternehmen führt regelmäßige interne und externe Audits und Managementüberprüfungen durch und widmet sich der kontinuierlichen Verbesserung.
- Im Falle eines Vorfalls reagiert das Unternehmen umgehend, um potenzielle Schäden zu minimieren und sich schnell zu erholen, wie in den Vorfallsmanagementprozessen und Geschäftskontinuitätsplänen beschrieben.