TEMA-Q GmbH_Unternehmen_Schaubild_Übersicht Anzahl Mitarbeiter_durchgeführte Gespräche_über 30 Jahre Erfahrung in Customer Experience_weltweite Durchführung in 90 Ländern mit Muttersprachlern
TEMA-Q GmbH_Unternehmen_Unsere Geschichte_Foto Gebäude der TEMA-Q GmbH

Unsere Geschichte

TEMA-Q Technik und Management für Qualität wurde 1990 von einem ehemaligen Qualitätsmanager der Automobilbranche mit nur einer Handvoll Mitarbeitern gegründet.

In den folgenden Jahren hat TEMA-Q viele neue Kunden gewonnen, ist stetig gewachsen und in das großzügige Gebäude der historischen Okermühle am Ortsrand von Meinersen (NI) gezogen. Hier sind mittlerweile ca. 80 Mitarbeiter beschäftigt. Neben der Geschäftsleitung und den Projektleitern sind dies in erster Linie die Interviewer unseres CATI-Studios, die Datenerfasser, die Codierer, IT-Spezialisten und die Buchhaltung.  Auszubildende z.B. zum Fachangestellten für Markt- und Sozialforschung oder zur Fachkraft für Bürokommunikation gehören ebenfalls für die Dauer der Ausbildung zu unserer Stammbesetzung und werden in der Regel nach Abschluss gerne übernommen.

Unsere Datenerfassung bietet seit 2008 ihre Leistungen als TEMA-TEXT auch extern an.

Lag bei der Gründung der Schwerpunkt noch stark auf der Qualitätssicherung in der Automobilindustrie, bieten wir nun schon seit langem ein breites Spektrum innovativer Customer Experience und Marktforschungs-Lösungen für zahlreiche Branchen an und sind zu einem Spezialisten für Customer Experience Management (kurz CEM oder CX) geworden.

Dabei sind wir einem immer treu geblieben: Unsere Verfahren konsequent darauf auszurichten, anschauliche und konkret umsetzbare Ergebnisse zu liefern.

Bei TEMA-Q beschränkt sich Marktforschung nicht auf das Erheben von bloßen Fakten und Zahlen. Mit unseren Erlebnisberichten im Originalwortlaut (Voice of Customer) decken wir auch Ursachen auf, die nicht auf den ersten Blick zu erkennen sind. Wichtige KPIs können so erarbeitet werden und Ihr Unternehmen kann kundenzentriert und erfolgsorientiert handeln.“

TEMA-Q GmbH_Unternehmen_Unsere Mission + Unsere Vision_Foto eines Geschäftsmannes mit Touch Tablets und Symbolen von Business Icons auf globale Schnittstelle

Unsere Mission – Unsere Vision

Das Wissen um die Wünsche und Meinung der Kunden war noch nie so wichtig wie heute. Es ist die Grundlage für Unternehmen jeder Größe und Branche, um richtige Entscheidungen für die Unternehmensstrategie treffen zu können.

Unsere Mission

Wir unterstützen Unternehmen weltweit bei Aufbau, Konzeption und Betrieb von innovativen Kundenfeedbacksystemen. Die Basis bilden Erlebnisberichte, die eine einmalige Transparenz, Detailliertheit und Authentizität bieten. Gekoppelt mit unseren Analyseverfahren liefern wir unseren Auftraggebern ein ganzheitliches Bild. Damit kann jeder Unternehmensbereich zielgenau und effizient auf die Wünsche und Probleme der Kunden reagieren.

Unsere Vision

Unsere Vision ist es, der führende Anbieter von intelligenten Kundenfeedbacksystemen zu sein und unseren Kunden weltweit die Möglichkeit zu bieten, erfolgreicher zu werden und so ihre Kunden zufriedener zu machen, die Mitarbeiter glücklicher und damit die Welt ein bisschen besser.

TEMA-Q GmbH_Unternehmen_zeigt eine Gruppe von Mitarbeitern

Unser Qualitätsversprechen

Die Qualität unserer Projekte hängt von der Qualität unserer Mitarbeiter ab. Die intensiven, telefonischen Gespräche mit den Kunden, in denen wir die Voice of Customer (VoC) so detailliert wie möglich erfassen, erfordern Feingefühl, ausgezeichnete Umgangsformen und ein Basiswissen in den Branchen, in denen wir arbeiten.

Von Anfang an haben wir bei TEMA-Q deshalb auf eine sorgfältige Einarbeitung der neuen Mitarbeiter besonderen Wert gelegt. Sie werden intensiv auf ihre Aufgaben vorbereitet, für die Beantwortung individueller Fragen steht die Projektbetreuung immer zur Verfügung.  Auch langjährige Mitarbeiter werden kontinuierlich fortgebildet und verfügen über umfangreiches Branchenwissen im Bereich unserer Studien, von dem unsere Kunden insbesondere im Bereich der Konzeption profitieren.

Wir legen Wert darauf, dass dies nicht nur in der Projektleitung und -steuerung erfolgt, sondern bei allen Mitarbeitern. So bleiben unsere Leistungen immer auf dem aktuellen Stand von Technik und Methodik.

Unsere Projektleitung besteht aus einem Team mit technischem, betriebswirtschaftlichem, sozialwissenschaftlichem, naturwissenschaftlichem und marketingspezifischem Hintergrund. Unsere Kunden profitieren von diesem interdisziplinären Know-how, das wir für jedes Projekt passend zusammenstellen.

Schließlich setzt gute Marktforschung auch eine qualitativ hochwertige Datenerhebung voraus. Dies ist nur durch gut ausgebildete und zuverlässige Interviewer zu erreichen. TEMA-Q arbeitet deswegen ausschließlich mit gut geschulten und langfristig beschäftigten Interviewern zusammen.

Zertifiziert nach DIN EN ISO/IEC 27001

DIN EN ISO/IEC 27001 ist ein Sicherheitsstandard, der Sicherheitsmanagementverfahren und umfassende Sicherheitskontrollen festlegt. Diese Zertifizierung basiert auf der Entwicklung und Implementierung eines strengen Sicherheitsprogramms. Hierzu zählt auch die Entwicklung und Implementierung eines Informationssicherheits-Managementsystems (ISMS), das festlegt, wie TEMA-Q die Sicherheit kontinuierlich auf ganzheitliche und umfassende Weise verwaltet. Dieser internationale Sicherheitsstandard legt fest, dass TEMA-Q Folgendes erfüllt:

  • Wir bewerten unsere Sicherheitsrisiken systematisch unter Berücksichtigung der Auswirkungen von Bedrohungen und Schwachstellen.
  • Wir entwerfen eine umfassenden Palette von IT-Sicherheitskontrollen und anderen Formen des Risikomanagements zum Bewältigen von Sicherheitsrisiken für Unternehmen und Architektur und setzen diese um.
  • Wir führen einen allumfassenden Managementprozess ein, um zu gewährleisten, dass die IT-Sicherheitskontrollen unsere IT-Sicherheitsvorgaben durchgängig erfüllen.

Die Zertifizierung wird von unabhängigen externen Auditoren durchgeführt. Die Einhaltung dieser international anerkannten Standards und Richtlinien ist ein Beweis für unser Engagement für Informationssicherheit auf allen Ebenen von TEMA-Q.

Link Zertifikat

Informationssicherheit und Compliance

Wir betrachten Informationssicherheit als eine unabdingbare Voraussetzung für die Qualität unserer Lösungen. Von der Informationssicherheit unserer Lösungen hängt viel ab. Dies bringen wir durch die folgende Selbstverpflichtung zum Ausdruck:

  1. Wir verpflichten uns, die vorgegebenen Regelungen zur Informationssicherheit von Stakeholdern und Gesetzgeber einzuhalten und die von Behörden und anderen Organisationen bereitgestellten Informationen zur kontinuierlichen Verbesserung der Informationssicherheit zu nutzen.
  2. Wir unterstützen alle relevanten Führungskräfte bei der Durchsetzung von Informationssicherheit in ihrem Verantwortungsbereich.
  3. Wir bilden alle Mitarbeiter, die Tätigkeiten im Anwendungsbereich der Informationssicherheit durchführen, so aus, dass sie sicher und bewusst im Sinne der Informationssicherheit agieren können.
  4. Wir schaffen notwendige technische und organisatorische Voraussetzungen, die es uns ermöglichen, Informationssicherheit zu leben.
  5. Wir möchten erreichen, dass Informationssicherheit bei uns allen nicht als „lästige Mehrarbeit“ begriffen wird, sondern als wichtig und wesentlich für unsere Kunden. Und dass wir zu jeder Zeit – trotz aller Regeln in diesem Bereich – unseren Kopf einschalten müssen und uns nicht darauf verlassen dürfen, dass in jeder Situation das Befolgen der festgelegten Regeln ausreicht. Wenn wir vor der Wahl stehen, etwas richtig sicher zu machen oder eine Regel zu befolgen, dann machen wir es lieber richtig sicher – und passen danach ggf. die Regel an.
  6. Wir wollen in unserer Informationssicherheit immer besser werden.

Unser Compliance-Unternehmensgrundsätze unterstützen uns, bei der täglichen Arbeit und besonders in kritischen Situationen verantwortungsbewusst, angemessen und rechtskonform zu handeln.

Näheres zur Informationssicherheit und zur Compliance bei TEMA-Q finden Sie über die folgenden Links:

1 Zusammenfassung und Zweck des Dokuments 

Dieses Dokument ist die Informationssicherheitsleitlinie der Technik und Management für Qualität GmbH, Hauptstraße 3, 38536 Meinersen – kurz TEMA-Q GmbH

Es stellt verbindlich für uns, die Mitarbeiterinnen und Mitarbeiter der TEMA-Q GmbH, dar,

  • in welchem Kontext wir uns mit unserer Firma bewegen und inwiefern Informationssicherheit dabei eine Rolle spielt
  • welche Informationssicherheitspolitik wir gemeinsam verfolgen
  • welche interessierten Parteien welche Wünsche an die Informationssicherheit haben, die wir bieten
  • welche Informationssicherheitsziele wir daher verbindlich für uns festgelegen
  • welchen Anwendungsbereich unser Informationssicherheitsmanagementsystem (ISMS) umfasst – d.h. wo und bei welchen Tätigkeiten wir uns verbindlich an alle Regelungen zur Informationssicherheit halten
  • welche Rollen und Verantwortlichen es bei uns gibt, die sich um Informationssicherheit kümmern
  • welche Regelungen wir etabliert haben, um unsere Informationssicherheitsziele zu erreichen und die Anforderungen aus der ISO 27001 zu erfüllen

2 Kontext der Organisation 

Das Mission Statement der TEMA-Q GmbH lautet:

Wir unterstützen Unternehmen weltweit bei Aufbau, Konzeption und Betrieb von innovativen Feedbacksystemen. Die Basis bilden Erlebnisberichte, die eine einmalige Transparenz, Detailliertheit und Authentizität bieten. Gekoppelt mit unseren Analyseverfahren liefern wir unseren Auftraggebern ein ganzheitliches Bild.

Das Vision Statement der TEMA-Q GmbH lautet:

Unsere Vision ist es, der führende Anbieter von intelligenten Feedbacksystemen zu sein und unseren Kunden weltweit die Möglichkeit zu bieten, erfolgreicher zu werden und so ihre Kunden zufriedener zu machen, die Mitarbeiter glücklicher und damit die Welt ein bisschen besser.

Aus unserem Mission Statement ergibt sich der folgende externe und interne Kontext, den wir beachten müssen:

  • Externe Themen:Wir bieten Feedbacksysteme an, die bei unseren Kunden zur internen Steuerung von Prozessen verwendet werden. Von daher ist es fundamental, dass das Feedback zuverlässig und in einem hohen Qualitätsstandard erhoben wird, auch bei internationalen Projekten. Das Feedback wird von TEMA-Q über verschiedene IT-Systeme (intern / extern) bereitgestellt, die wegen der Vertraulichkeit und Wichtigkeit der Daten einen hohen Sicherheitsstandard und eine hohe Verfügbarkeit aufweisen müssen. Besonderen Stellenwert hat auch die Verarbeitung personenbezogener Daten.
  • Interne Themen:Die Qualität unserer Projekte hängt von der Qualität unserer Mitarbeiter ab. Wir legen deshalb auf eine sorgfältige Einarbeitung und Fortbildung der Mitarbeiter besonderen Wert. Sie werden intensiv auf ihre Aufgaben vorbereitet, für die Beantwortung individueller Fragen steht die Projektbetreuung immer zur Verfügung. Auch langjährige Mitarbeiter werden kontinuierlich in allen relevanten Themen geschult, um ein umfangreiches Fach- und Branchenwissen aufzubauen, von dem unsere Kunden profitieren. Die Unternehmenssprache bei TEMA-Q ist grundsätzlich Deutsch, für nicht Deutsch sprechende Mitarbeiter werden rollenbasiert entsprechende Dokumente und Schulungen in Englisch angeboten.

3 Informationssicherheitspolitik 

Wir betrachten Informationssicherheit als eine unabdingbare Voraussetzung für die Qualität unserer Lösungen. Von der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) unserer Lösungen hängt viel ab. Dies bringen wir durch die folgende Selbstverpflichtung zum Ausdruck:

  1. Wir verpflichten uns, die vorgegebenen Regelungen zur Informationssicherheit von Stakeholdern und Gesetzgeber einzuhalten und die von Behörden und anderen Organisationen bereitgestellten Informationen zur kontinuierlichen Verbesserung der Informationssicherheit zu nutzen.
  2. Wir unterstützen alle relevanten Führungskräfte bei der Durchsetzung von Informationssicherheit in ihrem Verantwortungsbereich.
  3. Wir bilden alle Mitarbeiter, die Tätigkeiten im Anwendungsbereich der Informationssicherheit durchführen, so aus, dass sie sicher und bewusst im Sinne der Informationssicherheit agieren können.
  4. Wir schaffen notwendige technische und organisatorische Voraussetzungen, die es uns ermöglichen, Informationssicherheit zu leben.
  5. Wir möchten erreichen, dass Informationssicherheit bei uns allen nicht als „lästige Mehrarbeit“ begriffen wird, sondern als wichtig und wesentlich für unsere Kunden. Und dass wir zu jeder Zeit – trotz aller Regeln in diesem Bereich – unseren Kopf einschalten müssen und uns nicht darauf verlassen dürfen, dass in jeder Situation das Befolgen der festgelegten Regeln ausreicht. Wenn wir vor der Wahl stehen, etwas richtig sicher zu machen oder eine Regel zu befolgen, dann machen wir es lieber richtig sicher – und passen danach ggf. die Regel an.
  6. Wir wollen in unserer Informationssicherheit immer besser werden!

Für die o.g. Dinge stellen wir Ressourcen und ein Informationssicherheitsmanagementsystem bereit.

3.1 Wie wir unsere Informationssicherheit verbessern 

Wir verbessern unsere Informationssicherheit mit dem folgenden Ansatz:

  1. Wir planenVerbesserungen durch die Identifizierung und das Management von Risiken, Korrektur- und Präventivmaßnahmen und die planmäßige Ermittlung von Vorfällen und Ereignissen.
  2. Wir verbessernuns, indem wir das umsetzen, was wir in Schritt 1 geplant haben.
  3. Wir überprüfen, ob unsere Verbesserungen das bewirken, was sie bewirken sollen, indem wir die Wirksamkeit der von uns eingeführten Maßnahmen überprüfen, interne Audits durchführen und unsere Zielvorgaben für die Informationssicherheit messen.
  4. Wir reagierenauf die Ergebnisse der Kontrollen und fahren auf dieser Grundlage mit Schritt 1 fort.

4 Interessierte Parteien 

Basierend auf unserem Kontext gibt es bei uns die folgenden an Informationssicherheit interessierten Parteien:

Interessierte
Partei
Erwartungen hinsichtlich…
Vertraulichkeit Integrität Verfügbarkeit
Unternehmen / Organisationen, die unsere Kunden sind (extern) Die Ergebnisse unsere Untersuchungen und sonstigen Daten müssen unbedingt vertraulich bleiben. Für alle Bereiche ist es absolut notwendig, dass alle Daten nach einem definierten Verfahren bearbeitet werden und die Bearbeitungsschritte immer zu 100% nachvollziehbar sind. Die durch uns zur Verfügung gestellten Anwendungen werden dauerhaft genutzt. Ausfallzeiten sollten minimiert werden.
Kunden der Unternehmen / Organisationen

(extern)

Die Daten enthalten sensible personen-bezogene Daten, die unbedingt vertraulich bleiben müssen. Die Daten dürfen nur nach den gesetzlichen Vorschriften verarbeitet werden. Die Verfügbarkeit ist wichtig, aber nicht systemkritisch, sofern die Verfügbarkeit zeitnah wieder hergestellt werden kann.
Gesetzgeber / Verbände

(extern)

Einhaltung aller Gesetze und Vorgaben, insbesondere die Beachtung der Vertraulichkeit von personenbezogenen Daten. Die relevanten Gesetze sollten in einer aktuellen Version vorliegen. Die relevanten Gesetze müssen verfügbar sein.
Kriminelle / Cyberkriminelle Kriminelle bzw. Cyberkriminelle können versuchen, auf unsere Informationen zuzugreifen, um der TEMA-Q GmbH zu schaden. Um das zu verhindern, müssen die internen Informationen vor nicht autorisierten Zugriffen geschützt sein. Kriminelle bzw. Cyberkriminelle können versuchen, auf unsere Informationen zuzugreifen um der TEMA-Q GmbH durch Datenmanipulationen zu schaden. Um zu verhindern, dass Informationen verfälscht oder gelöscht werden, müssen die Informationen vor nicht autorisierten Zugriffen geschützt werden und Änderungen nachvollziehbar sein. Kriminelle bzw. Cyberkriminelle können versuchen, die Verfügbarkeit unserer Systeme zu stören und damit der TEMA-Q GmbH zu schaden. Um zu verhindern, müssen die Systeme vor nicht autorisierten Zugriffen geschützt werden und über entsprechende Lösungen die Verfügbarkeit der Systeme sichergestellt werden.
Mitarbeiter/-innen

(intern)

Die Sicherheit der Arbeitsplätze hängt davon ab, dass schützenswerte Informationen vertraulich bleiben. Die Sicherheit der Arbeitsplätze hängt davon ab, dass schützenswerte Informationen nicht verfälscht werden können, da dies zu Reputationsschäden führen kann. Die Sicherheit der Arbeitsplätze hängt davon ab, dass die relevanten Systeme und Informationen zu einem hohen Grad verfügbar sind.
Geschäftsführung und Gesellschafter Der Fortbestand des Unternehmens hängt davon ab, dass schützenswerte Informationen vertraulich bleiben. Der Fortbestand des Unternehmens hängt davon ab, dass schützenswerte Informationen nicht verfälscht werden, da dies zu erheblichen Reputationsschäden führen kann. Der Fortbestand des Unternehmens hängt davon ab, dass alle relevanten Systeme und Informationen zu einem hohen Grad verfügbar sind.

5 Informationssicherheitsziele 

Abgeleitet aus den Interessen der Stakeholder leiten wir die folgenden Informationssicherheitsziele ab:

  1. Vertraulichkeit: Wir streben an, dass Informationen, die im Zusammenhang mit unseren Feedbacksystemen verarbeitet werden, vertraulich sind und niemandem Unbefugten offengelegt werden.
    Dies werden wir daran messen, wie viele Vorkommnisse wir gemeldet bekommen, in denen Informationen in unberechtigterweise nicht vertraulich behandelt worden sind.
    Wir streben an:  0 im Jahr.
  2. Integrität:Wir streben an, dass Informationen, die im Zusammenhang mit unseren Feedbacksystemen verarbeitet werden, sicher sind gegen unbefugte und unbeabsichtigte Veränderung/Verfälschung.
    Dies werden wir daran messen, wie viele Vorkommnisse wir gemeldet bekommen oder in internen Tests feststellen, in denen Informationen in unberechtigterweise verändert wurden bzw. verändert werden konnten.
    Wir streben an: 0 im Jahr.
  3. Verfügbarkeit:Bei der Verfügbarkeit unterscheiden wir zwischen der internen und externen Verfügbarkeit.Intern: Wir streben an, das Informationssysteme, die für die Feedbacksysteme relevant sind, eine sehr hohe Verfügbarkeit aufweisen und die Ausfallzeiten sehr gering gehalten werden.
    Dies werden wir daran messen, ob wir es schaffen, eine sehr hohe Verfügbarkeit von mindestens 99,7% aufs Jahr gerechnet der für die Kundenfeedbacksysteme relevanten Daten und Systeme sicherzustellen. Jeder einzelne Ausfall soll kürzer als 120 min. sein.
    Wir streben an: 99,7% bzw. 24 Stunden im Jahr.Extern: Wir streben an, dass die ausgewerteten und analysierten Befragungsdaten in unserem Web-Tool für unsere Kunden möglichst jederzeit erreichbar ist.
    Dies werden wir daran messen, ob wir es schaffen, eine Verfügbarkeit unseres Web-Feedbacksystems für unsere Kunden zu erreichen, die 99,7% gerechnet über das Jahr (365 Tage) beträgt und bei der jeder einzelne Ausfall kürzer als 120 min. ist.
    Wir streben an: 99,7% bzw. 24 Stunden im Jahr.

6 Anwendungsbereich (Scope) 

Der Anwendungsbereich unseres Informationssicherheitsmanagementsystems umfasst die Planung, Durchführung und Bereitstellung unserer Feedbacksysteme und Marktforschungsprojekte mit den dazugehörigen Daten, Tools und Dienstleistungen. Diese sind in unserer  Prozesslandschaft unter „Kernprozessen“ näher beschrieben.

Hierzu verwenden wir sowohl On-Premises-Software als auch Cloud-Lösungen jeweils unter Berücksichtigung der bestmöglichen Sicherheit und Verfügbarkeit der Daten.

Als „Daten“ werden die folgenden Informationsarten betrachtet:

  • Personenbezogene Daten von Befragten
  • Ergebnisse / Daten aus Befragungen und Studien
  • Vertrauliche Daten von Auftraggebern
  • Konzepte, Methoden von Produkten und Studien
  • Firmengeheimnisse
  • Quellcode

6.1 Ausschlüsse 

Explizit nicht im Anwendungsbereich unseres Informationssicherheitsmanagementsystems sind:

  1. Informationsverarbeitung bei unseren Kunden:Dies können wir nicht zusichern, da wir die technischen und organisatorischen Maßnahmen dort weder beeinflussen noch monitoren können und diese wiederum entscheidend für die Informationssicherheit sind.
  2. Netzwerkverfügbarkeit beim Kunden:Wir sorgen für eine Hochverfügbarkeit der Netzwerkverbindung „nach außen“ und sichern diese über technische und organisatorische Maßnahmen ab. Die Verfügbarkeit von Netzwerken am Standort des Kunden können wir jedoch nicht sicherstellen.
  3. Produkte und Dienstleistungen, die nicht im direkten Zusammenhang mit unseren Feedbacksystemen oder Marktforschungsprojekten stehen.

7 Rollen und Verantwortlichkeiten 

Wesentliche Rollen im Bereich unseres Informationssicherheitsmanagementsystems sind:

Rolle Name(n) Zuständigkeiten
Geschäftsführung

(„Oberste Leitung“)

Martin Plötz

Jürgen Mohr

Gesamtverantwortung für Informationssicherheit

Verantwortlich und Inhaber aller Informationssicherheitsrisiken

Informationssicherheits­beauftragter Olaf Steinkirchinger Verantwortlich für das Informationssicherheitsmanagementsystem, für Kompetenzaufbau im Thema Informationssicherheit, Unterstützung und erster Ansprechpartner bei allen Fragen rund um Informationssicherheit
Kommunikation nach außen zu allen InformationssicherheitsbelangenBerichtet an die Geschäftsführung
Projekt-/Teamleiter Wird projektweise zugeordnet Verantwortlich für informationssichere Bearbeitung aller projektrelevanter Daten

Alle weiteren Rollen und Verantwortlichkeiten ergeben sich aus den einzelnen Prozessen.

Zusammenfassung und Zweck des Dokuments 

Dieses Dokument stellt dar,

  • welche technischen und organisatorischen Maßnahmen aus ISO 27001 Annex A die Fa. TEMA-Q umsetzt (und wieso);
  • welche technischen und organisatorischen Maßnahmen aus ISO 27001 Annex A die Fa. TEMA-Q nicht umsetzt (und wieso nicht).

Das Dokument ist öffentlich und kann allen Interessenten (Kunden, Auditoren, Interessenten) bei Bedarf ausgehändigt werden. Rückfragen dazu beantwortet der Informationssicherheitsbeauftragte gerne.

Angewendete und nicht angewendete technische und organisatorische Maßnahmen 

Grundsätzlich implementiert TEMA-Q alle Maßnahmen aus Annex A der ISO 27001, da sie Informationssicherheitsrisiken senken. Für den Fall, dass bestimmte Maßnahmen darüber hinaus noch aus anderen Gründen umgesetzt werden (bspw. aus vertraglichen Gründen gegenüber Kunden oder aus gesetzlichen Gründen, die in unserer Branche gelten oder aus intrinsischen Gründen), ist dies im Begründungstext vermerkt und dort zu entnehmen.

Maßnahme aus ISO 27001 Annex A Anwendung* Begründung für Anwendung oder Ausschluss*
A.5.1.1 Ja Rollenspezifische Leitfäden ermöglichen ein effektives Zusammenspiel aller an der Sicherstellung der Informationssicherheit beteiligten Mitarbeiter und Externen.
A.5.1.2 Ja Regelmäßige Updates der Leitfäden sorgen dafür, dass neueste Entwicklungen und Aufgaben enthalten sind und die Leitfäden nach wie vor effektiv und angemessen sind.
A.6.1.1 Ja Rollenzuweisungen helfen uns festzulegen, wer in welchen Situationen welche Verantwortlichkeiten bezüglich Informationssicherheitsmaßnahmen hat.
A.6.1.2 Ja Aufgabentrennung setzen wir soweit möglich um, um dafür zu sorgen, dass ein System von gegenseitiger Absicherung bei sicherheitskritischen Aufgaben entsteht. Sie endet allerdings dort, wo sie zu Inflexibilität führt und mit der vorhandenen Personaldecke nicht geleistet werden kann.
A.6.1.3 Ja Kontakte zu relevanten Behörden versorgen uns frühzeitig mit Informationen zu Schwachstellen, Gefahren und gesetzgeberischen Entwicklungen, die für Informationssicherheit relevant sein könnten.
A.6.1.4 Ja Kontakte zu relevanten Interessenvereinigungen versorgen uns frühzeitig mit Informationen zu Schwachstellen, Gefahren und anderen Entwicklungen, die für Informationssicherheit relevant sein könnten.
A.6.1.5 Ja Dadurch, dass wir geplant Informationssicherheitsanforderungen in unseren Projekten betrachten, können wir diese gezielt und frühzeitig einsteuern und umsetzen.
A.6.2.1 Ja Mobilgeräte stellen ein leicht zu nutzendes Einfallstor für Angriffe und Sicherheitslücken dar. Daher regeln wir, wie sie eingesetzt werden dürfen und wie nicht.
A.6.2.2 Ja Ähnlich wie Mobilgeräte sind Telearbeitsplätze nicht vollends “kontrollierbar” und können ein Einfallstor für Angriffe und Sicherheitslücken sein. Daher regeln wir, wie in Telearbeit gearbeitet werden soll, um Sicherheit zu schaffen.
A.7.1.1 Ja Wir sind darauf angewiesen, dass wir nur Mitarbeiter einstellen, die in der Lage sind, unsere Sicherheitsanforderungen einzuhalten. Daher überprüfen wir genau, wen wir einstellen (oder als Freiberufler für uns arbeiten lassen).
A.7.1.2 Ja Vereinbarungen zur Informationssicherheit, die Mitarbeiter einhalten müssen, sind nur dann verlässlich einhaltbar, wenn alle Seiten zu jeder Zeit Einblick nehmen können in das, worauf man sich geeinigt hat. Daher setzen wir hier auf vertragliche Regelungen.
A.7.2.1 Ja Informationssicherheit wird nur dann ernst genommen, wenn die Geschäftsführung dahintersteht und die Einhaltung auch nachhaltig einfordert. Daher ist die Geschäftsführung bei uns in der Pflicht.
A.7.2.2 Ja Um sicherzustellen, dass unsere Mitarbeiter Informationssicherheit auch umsetzen können, setzen wir auf Schulungen in diesem Bereich und entwickeln jeden Mitarbeiter so weiter, dass er die an ihn gestellten Aufgaben bzgl. der Informationssicherheit auf sicher erfüllen kann.
A.7.2.3 Ja Wenn Mitarbeiter ihren Pflichten in der Informationssicherheit nicht nachkommen, ist uns das nicht egal. Wir reden dann darüber und weisen darauf hin. Das sorgt dafür, dass die Wichtigkeit des Themas erkannt wird.
A.7.3.1 Ja Da wir wissen, dass Informationssicherheit am Ende der Beschäftigung von Mitarbeitern nicht einfach aufhört. sorgen wir dafür, dass wir die über das Arbeitszeitende hinaus bestehenden Pflichten ebenfalls regeln.
A.8.1.1 Ja Geräte (und andere Assets) können nur dann sicher betrieben werden, wenn sie erfasst sind.
A.8.1.2 Ja Die Absicherung von Geräten (und anderen Assets) ist nur möglich, wenn sich für jedes Asset jemand verantwortlich fühlt. Daher stellen wir dies sicher.
A.8.1.3 Ja Die Absicherung von Geräten (und anderen Assets) ist nur möglich, wenn für jedes Gerät klar ist, welcher Gebrauch zulässig – d.h. “sicher” ist. Daher stellen wir sicher, dass Assets nur sicher verwendet werden.
A.8.1.4 Ja Damit Geräte nicht unbeaufsichtigt sind, wenn der für sie verantwortliche Mitarbeiter das Unternehmen verlässt, gibt es Pflicht zur geregelten Rückgabe.
A.8.2.1 Ja Unterschiedliche Informationsarten sind unterschiedlich kritisch. Daher haben wir die Informationsarten klassifiziert, die bei uns schutzbedürftig sind.
A.8.2.2 Ja Damit jedem schnell klar ist, welche Informationen wie klassifiziert sind, sind diese gekennzeichnet.
A.8.2.3 Ja Damit Geräte (und anderen Assets) so behandelt werden, wie dies vorgesehen ist (und durch unsachgemäßen Gebrauch nicht unabsichtlich die Informationssicherheit gefährdet ist), gibt es für alle wichtigen Geräte Regeln, wie diese genutzt werden dürfen.
A.8.3.1 Ja Wechseldatenträger können schnell verloren gehen. Daher haben wir geregelt, wie und unter welchen Bedingungen sie eingesetzt werden dürfen.
A.8.3.2 Ja Wenn Datenträger entsorgt werden, können noch kritische Informationen auf ihnen gespeichert sein. Daher haben wir geregelt, wie eine sichere Entsorgung zu geschehen hat.
A.8.3.3 Ja Wenn kritische Informationen auf transportablen Datenträgern gespeichert sind, ist das Risiko höher, dass diese kompromittiert werden als auf nicht-transportablen Datenträgern. Daher haben wir den Transport strikt geregelt.
A.9.1.1 Ja Eine Zugangssteuerungsrichtlinie regelt bei uns, wer aus welchem Grund auf welche Geräte und Informationen Zugriff erhalten kann. Damit stellen wir sicher, dass Zugriff auf Geräte und Informationen nicht willkürlich geschieht.
A.9.1.2 Ja Wir sichern den Zugriff auf unsere Netze ab, damit Informationen, die in diesen fließen, nicht kompromittiert werden oder die Netzwerke selbst durch zu viel Last unsere Verfügbarkeitsanforderungen nicht halten können.
A.9.2.1 Ja Damit Benutzer korrekt und sauber angelegt und wieder gelöscht werden, haben wir einen Prozess, mit dessen Hilfe wir Benutzer registrieren oder deregistrieren.
A.9.2.2 Ja Damit registrierte Benutzer korrekt und sauber Rechte erhalten, haben wir einen Prozess, mit dessen Hilfe wir Rechte an Benutzer vergeben und entziehen.
A.9.2.3 Ja Damit nicht absichtlich oder unabsichtlich durch privilegierte Zugänge (Admin-Accounts) die Informationssicherheit kompromittiert wird, schränken wir solche Zugänge ein auf diejenigen Personen, die sie benötigen.
A.9.2.4 Ja Wir teilen geheime Authentisierungsinformationen (Passwörter u. dgl.) über einen geregelten Prozess zu, damit sichergestellt ist, dass sie während der Zuteilung auch geheim bleiben.
A.9.2.5 Ja Alle Mitarbeiter, die bei uns für Geräte (und andere Assets) zuständig sind, überprüfen regelmäßig, ob die gewährten Zugangsrechte noch erforderlich sind. So stellen wir sicher, dass Unbefugte keinen Zugriff mehr haben.
A.9.2.6 Ja Wenn Mitarbeiter (oder Freelancer, die für uns arbeiten), ihren Aufgabenbereich wechseln oder uns verlassen, passen wir ihre Zugangsrechte an oder löschen diese, damit sie nicht unbefugt Zugriff zu schutzwürdigen Informationen haben.
A.9.3.1 Ja Wir verpflichten alle Benutzer, ihre Zugangsdaten geheim zu halten, damit nicht Unbefugte diese nutzen können und damit Zugriff auf schutzwürdige Informationen haben.
A.9.4.1 Ja Wir beschränken nach dem Need-to-know-Prinzip den Zugang zu Informationen auf diejenigen Mitarbeiter, die zur Ausübung ihrer Tätigkeit zu diesen Informationen Zugang haben müssen – alle anderen bekommen keinen Zugang. Damit stellen wir so gut wie möglich sicher, dass niemand, der eigentlich keinen Zugriff zu schutzwürdigen Informationen braucht, diese unabsichtlich oder absichtlich unsicher behandelt.
A.9.4.2 Ja Damit geheime Authentisierungsinformationen nicht nach deren Eingabe in Informationssysteme kompromittiert werden, nutzen wir ausschließlich sichere Anmeldeverfahren, in denen die Authentisierungsinformationen sicher transportiert werden.
A.9.4.3 Ja Damit Passworte nicht erraten oder per brute force ausgespäht werden können, stellen wir über systemseitige und organisatorische Richtlinien sicher, dass diese sicher sind (lang genug, komplex genug).
A.9.4.4 Ja Wir schränken die Verwendung von privilegierten Hilfsprogrammen („Ausführen als…“) so stark wie möglich ein, denn diese Programme können ein Einfallstor für Angriffe sein, wenn Schadsoftware plötzlich mit Admin-Rechten arbeiten kann.
A.9.4.5 Ja Unser Sourcecode-Repository ist ebenfalls ein System, auf das wir nur gem. unserer Zugangssteuerungsrichtlinie Zugriff gewähren, damit keine Unbefugten Sourcecode zweckentfremden oder verändern können.
A.10.1.1 Ja Wir haben eine Richtlinie, nach der wir Informationen verschlüsseln – sowohl bei der Speicherung als auch beim Versand. Darüber stellen wir sicher, dass wir kritische Informationen geeignet gegen Ausspähen schützen.
A.10.1.2 Ja Wir haben eine Richtlinie für den Gebrauch von kryptographischen Schlüsseln, denn verschlüsselte und authentifizierte Informationen sind nur so sicher wie die Aufbewahrung und Verwendung ihrer Schlüssel.
A.11.1.1 Ja Wir haben bei uns physische Sicherheitszonen definiert, in denen bestimmte Regelungen zur Informationssicherheit gelten. So sorgen wir dafür, dass sicherheitskritische Informationen in unseren Räumlichkeiten nicht kompromittiert werden können.
A.11.1.2 Ja Wir sorgen dafür, dass unsere Sicherheitszonen so geschützt sind, dass man nicht einfach unbefugt in sie eindringen kann. Auf diese Weise verbessern wir die Sicherheit der Informationen und Geräte in den Zonen.
A.11.1.3 Ja Wir schützen unsere Büros, Räume und Einrichtungen, damit hier keine schützenswerten Informationen kompromittiert werden können.
A.11.1.4 Ja Wir kümmern uns um einen angemessenen Schutz vor Naturkatastrophen, bösartigen Angriffen und Überfällen, damit wir durch diese Vorkommnisse keine schützenswerten Informationen verlieren.
A.11.1.5 Ja Wir haben Vorgehensweisen etabliert, die für Arbeiten in Sicherheitsbereichen zur Anwendung kommen, damit wir hier nicht unabsichtlich die Sicherheit von schutzbedürftigen Informationen kompromittieren.
A.11.1.6 Ja Wir haben Zutrittsstellen zu unseren Räumlichkeiten definiert und überwachen diese, damit keine Unbefugten an diesen Stellen eindringen können und die Informationssicherheit kompromittieren können.
A.11.2.1 Ja Damit wichtige Geräte und andere Betriebsmittel nicht ausfallen, sorgen wir dafür, dass sie sicher aufgestellt sind.
A.11.2.2 Ja Versorgungsleitungen (Strom, Wasser etc.) konzipieren und schützen wir so, dass Ausfälle und Leckagen möglichst nicht passieren oder wenn doch, dass diese dann die Sicherheit der schutzbedürftigen Informationen nicht kompromittieren.
A.11.2.3 Ja Datenübertragungsleitungen schützen wir, um sicherzustellen, dass diese nicht unterbrochen oder angezapft werden und somit schutzbedürftige Informationen nicht kompromittiert werden.
A.11.2.4 Ja Damit Geräte, die für die Informationssicherheit wichtig sind, nicht ausfallen, sorgen wir dafür, dass diese gem. der vorgesehenen Intervalle fachkundig gewartet werden.
A.11.2.5 Ja Wer Geräte oder andere Assets von ihren vorgesehenen Orten entfernen will, muss dies vorab absprechen. So stellen wir sicher, dass wir immer wissen, wo wichtige Geräte sich aufhalten und erkennen ihren Verlust frühzeitig, so dass wir reagieren können.
A.11.2.6 Ja Wenn Geräte entfernt werden (und außerhalb ihres eigentlichen Standorts betrieben werden), haben wir Regeln, die festlegen, wie sie gesichert werden müssen, damit schutzbedürftige Informationen, die mit ihnen verarbeitet werden, nicht kompromittiert werden.
A.11.2.7 Ja Geräte, die Speichermedien enthalten, löschen wir, bevor wir sie entsorgen oder recyclen. Dadurch stellen wir sicher, dass keine schutzbedürftigen Informationen (inkl. urheberrechtlich geschützt) auf ihnen gespeichert sind.
A.11.2.8 Ja Damit Unbefugte nicht Zugriff zu unbeaufsichtigten, für die Informationssicherheit wichtigen Geräten nehmen können, schützen wir solche Geräte, wenn sie nicht durch Mitarbeiter beobachtet werden, auf angemessene Weise: Durch Wegschluss, durch Sperren und durch andere angemessene Maßnahmen.
A.11.2.9 Ja Damit schutzbedürftige Informationen nicht bei Mitarbeitern kompromittiert werden können, gilt bei uns eine “Clean Desk Policy”.
A.12.1.1 Ja Wenn Informationssicherheit davon abhängt, dass Bedienabläufe an Geräten oder Systemen genau eingehalten werden, dann dokumentieren wir diese Bedienabläufe.
A.12.1.2 Ja Wir sorgen dafür, dass wichtige Prozesse, Informationssysteme o.ä. nicht “mal eben so” geändert werden, weil dies die Informationssicherheit gefährden kann.
A.12.1.3 Ja Wenn die Auslastung bestimmter Ressourcen (Systeme, Mitarbeiter) wichtig für die Informationssicherheit sind, so monitoren wir diese, um frühzeitig Trends zu Überlastungen erkennen und diesen entgegen wirken zu können.
A.12.1.4 Ja Wir trennen Entwicklungs-, Staging- und Produktivsysteme bewusst, damit nicht Änderungen an dem einen unvermutete Konsequenzen auf die Informationssicherheit der jeweils anderen haben können.
A.12.2.1 Ja Wir setzen auf allen Systemen, auf denen dies angemessen möglich ist, Maßnahmen gegen Schadsoftware um, damit die Systeme gegen böswillige Angriffe gehärtet sind und die Informationssicherheit aufrechterhalten können.
A.12.3.1 Ja Damit wichtige Informationen nicht verloren gehen, haben wir eine Backuprichtlinie für alle Informationen, deren Verfügbarkeit schutzbedürftig ist.
A.12.4.1 Ja Um entweder im Vorfeld oder forensisch auswerten zu können, welche Ereignisse auf unsere Systeme einwirken, loggen wir alle wichtigen Ereignisse.
A.12.4.2 Ja Die Log-Informationen werden wiederum gesichert, damit diese nicht bewusst oder unbewusst verfälscht, gelöscht oder offengelegt werden können.
A.12.4.3 Ja Dasselbe gilt auch für die Log-Informationen, die sich aus Admintätigkeiten ergeben.
A.12.4.4 Ja Um Log-Informationen zur Analyse korrekt verwenden zu können, synchronisieren wir die Uhren aller Systeme, die Log-Informationen erzeugen.
A.12.5.1 Ja Damit kritische Informationssysteme nicht unvermittelt ausfallen oder nicht so arbeiten wie benötigt, sorgen wir dafür, dass auf ihnen nicht einfach so neue oder geänderte Software installiert wird.
A.12.6.1 Ja Wir holen Informationen zu technischen Schwachstellen der bei uns verwendeten Systeme ein, damit wir diese zügig abstellen können und schützenswerte Informationen nicht kompromittiert werden.
A.12.6.2 Ja Eine softwareseitig und organisatorisch umgesetzte Installationsrichtlinie sorgt dafür, dass das Risiko eines unbewussten Installierens von Schadsoftware sinkt.
A.12.7.1 Ja Wenn unsere Produktivsysteme auditiert werden sollen, werden wir dafür sorgen, dass dies nicht in den Hauptgeschäftszeiten geschieht, so dass wir die Verfügbarkeit unserer Systeme für unsere Kunden auch während des Audits sicherstellen können.
A.13.1.1 Ja Wir konzipieren und verwalten die von unseren Systemen verwendeten Netzwerke, damit diese nicht unvermittelt ausfallen oder dem zu erwartenden Verkehr nicht gewachsen sind.
A.13.1.2 Ja Wir überlegen uns, welche Netzwerkleistung wir (intern wie extern) benötigen und sorgen dafür, dass diese zur Verfügung stehen, um nicht überrascht zu werden.
A.13.1.3 Ja Wir trennen, soweit nötig, diejenigen Netzwerke, in denen unsere Mitarbeiter arbeiten und diejenigen Netzwerke, in denen unsere produktiven Systeme operieren, damit sich diese nicht gegenseitig stören können.
A.13.2.1 Ja Damit Mitarbeiter wissen, wie sie welche Informationen bei deren Datenübertragung schützen müssen, haben wir Übertragungsrichtlinien etabliert, auf die jederzeit zurückgegriffen werden kann.
A.13.2.2 Ja Wir treffen mit unseren Partnern Vereinbarungen, wie kritische Geschäftsinformationen übertragen werden, damit diese beim Transfer angemessen geschützt sind.
A.13.2.3 Ja Schützenswerte Informationen sichern wir auch, wenn wir diese in elektronischen Nachrichten versenden. Das tun wir, weil der schnelle Austausch via Nachrichten/Chats wichtig für uns ist und vielfach eingesetzt wird – und gerade deswegen sicher sein muss.
A.13.2.4 Ja Unsere Geheimhaltungsvereinbarungen sind immer up to date, damit wir sicherstellen, dass wir immer und aktuell das geheim halten, was uns wichtig ist.
A.14.1.1 Ja Wir analysieren, welche Informationssicherheitsanforderungen wir an die bei uns entwickelten (oder von uns zugekauften) Systeme stellen, damit wir diese umsetzen können.
A.14.1.2 Ja Wir schützen unsere Onlinesysteme so, dass sie sicher sind vor betrügerischen Angriffen, die dazu führen, dass wir unsere Verträge mit unseren Kunden nicht einhalten können.
A.14.1.3 Ja Wir schützen alle Transaktionen, die unsere Kunden mit unseren Anwendungen durchführen, damit diese vollständig, unverfälscht, authentisch und vertraulich bleiben.
A.14.2.1 Ja Wir haben eine Richtlinie für Softwareentwicklung und verpflichten alle, die für uns Software entwickeln, diese anzuwenden, damit Software sicher entwickelt wird.
A.14.2.2 Ja Wir ändern weder die Systeme, mit deren Hilfe wir Software entwickeln, noch unsere entwickelten Softwareprodukte „einfach so“, sondern nur nach gründlicher Prüfung dessen, was wir ändern – weil wir wissen, dass Änderungen auch Informationssicherheitslecks bedeuten können. Und das wollen wir vermeiden.
A.14.2.3 Ja Wenn wir die in der Entwicklung verwendeten Betriebssysteme updaten, überprüfen wir, ob unsere Entwicklungssysteme danach noch fehlerfrei funktionieren – weil wir wissen, dass nicht fehlerfreies Verhalten zu Informationssicherheitslecks führen kann.
A.14.2.4 Ja Wir updaten Softwarepakete nicht deswegen, „weil es geht“, sondern weil wir die Notwendigkeit sehen. Wir prüfen die neuen Pakete vorab.
A.14.2.5 Ja Wir haben Grundsätze für die Entwicklung sicherer Systeme. Diese wenden wir an, damit die von uns entwickelten Systeme auch sicher sind.
A.14.2.6 Ja Da auch über Entwicklungsumgebungen Sicherheitsrisiken in entwickelte Systeme eingeschleust werden können, sorgen wir dafür, dass wir die von uns verwendeten Entwicklungsumgebungen so gut wie möglich absichern.
A.14.2.7 Ja Wir lagern Entwicklungstätigkeiten an Partner aus. Diese überwachen wir, weil wir sicherstellen wollen, dass die dort entwickelten Systeme so sicher sind, wie wir sie benötigen.
A.14.2.8 Ja Wir testen alle Sicherheitsfunktionen der Systeme, die wir entwickeln, damit wir sicher sind, dass sie auch funktionieren wie gedacht.
A.14.2.9 Ja Wir führen darüber hinaus Abnahmetests für alle Systeme durch, die wir anschaffen oder entwickeln, damit wir sicherstellen können, dass deren Sicherheitsfunktionen nicht nur im Einzelfall, sondern auch im Gesamtkontext funktionieren.
A.14.3.1 Ja Da wir wissen, dass Testdaten manchmal aus Produktivdatenbanken entstammen, sorgen wir dafür, dass unsere Testdaten sorgfältig geschützt sind.
A.15.1.1 Ja Wenn Dienstleister von uns auf Werte unserer Organisation zugreifen müssen, so regeln wir dies vorab, um sicherstellen zu können, dass hierbei keine Sicherheitslücken entstehen.
A.15.1.2 Ja Wir schließen mit allen für die Informationssicherheit relevanten Dienstleistern Verträge ab, die die Pflichten der Dienstleister bzgl. der Informationssicherheit enthalten.
A.15.1.3 Ja In den Verträgen nehmen wir Regelungen auf in Bezug auf Informationssicherheitsrisiken, die bei Dienstleistern auftreten oder auftreten können, weil wir Informationssicherheitsrisiken auch dann vermeiden möchten, wenn sie bei unseren Dienstleistern auftreten.
A.15.2.1 Ja Wir überprüfen kontinuierlich, ob sich unsere Dienstleister an die mit ihnen vereinbarten Regelungen zur Informationssicherheit halten, damit wir uns in diesem Punkt sicher sein können.
A.15.2.2 Ja Dienstleistungen unserer Zulieferer können sich ändern: dies behalten wir im Auge, damit wir die Regelungen zur Informationssicherheit in dem Fall mit unseren Dienstleistern anpassen können.
A.16.1.1 Ja Wir haben ein Verfahren festgelegt, dass es uns ermöglicht, schnell und zuverlässig auf Informationssicherheitsvorfälle zu reagieren. Das ist uns wichtig, um Informationssicherheitsvorfälle schnell klären zu können.
A.16.1.2 Ja Wir sorgen dafür, dass Informationssicherheitsereignisse und -vorfälle so schnell wie möglich über die o.g. Verfahren gemeldet und bearbeitet werden, weil das dafür sorgt, dass wir möglichst schnell Sicherheit wiederherstellen, falls sie doch einmal kompromittiert sein sollte.
A.16.1.3 Ja Unsere Mitarbeiter und Dienstleister halten wir dazu an, Informationssicherheitsvorfälle und -ereignisse zügig zu melden, damit wir diese schnell und effektiv behandeln können.
A.16.1.4 Ja Jedes Informationssicherheitsereignis (d.h. jeden Verdacht, dass die angestrebte Informationssicherheit kompromittiert ist), bewerten wir darauf, ob es sich um einen Vorfall handelt (d.h. die Sicherheit ist nachweislich kompromittiert worden), um adäquat darauf reagieren zu können.
A.16.1.5 Ja Wir sorgen dafür, dass wir adäquat auf erkannte Informationssicherheitsvorfälle reagieren, damit diese so schnell wie möglich wieder abgestellt werden.
A.16.1.6 Ja Wir sorgen dafür, dass wir gezielt aus früheren Informationssicherheitsvorfällen lernen, damit diese in der Zukunft möglichst nicht noch einmal vorkommen.
A.16.1.7 Ja Bei akuten Informationssicherheitsvorfällen sind alle Mitarbeiter und auch Dienstleister angehalten, Beweismaterial zu sammeln, um die Bewertung des Vorfalls zu vereinfachen oder später rekonstruieren zu können.
A.17.1.1 Ja Wir haben bestimmt, in welchen Ausnahmesituationen wir welchen Grad an Informationssicherheit aufrechterhalten wollen, damit wir dies gegenüber unseren interessierten Parteien und insb. Vertragspartnern kommunizieren können und uns auf die Aufrechterhaltung der festgelegten Informationssicherheit fokussieren können.
A.17.1.2 Ja Wir legen Verfahren fest, mit denen wir die Informationssicherheit in den festgelegten Ausnahmesituationen sicherstellen können, um bei Bedarf reagieren zu können.
A.17.1.3 Ja Wir testen die o.g. Verfahren, um sicherstellen zu können, dass diese auch funktionieren, wenn wir sie benötigen.
A.17.2.1 Ja Wir planen diejenige Infrastruktur, die wir benötigen, so redundant, dass die Risiken, die durch Ausfall entstehen, auf ein akzeptables Maß gesenkt werden können.
A.18.1.1 Ja Wir sammeln alle für uns geltenden gesetzlichen, vertraglichen und regulatorischen Regelungen mit Bezug zu Informationssicherheit, damit wir wissen, welche Anforderungen wir aus dieser Sicht erfüllen müssen.
A.18.1.2 Ja Es gibt Verfahren, die bei uns sicherstellen, dass wir urheberrechtlich geschützte Werke bestimmungsgemäß bzw. vertragsgemäß verwenden.
A.18.1.3 Ja Dokumente werden bei uns so aufbewahrt, wie dies durch für uns geltende Gesetze, Verträge und andere regulatorische Vorgaben gefordert ist, so dass der Informationssicherheit in diesem Bereich Rechnung getragen wird.
A.18.1.4 Ja Wir halten uns in Bezug auf personenbezogene Daten an die DSGVO.
A.18.1.5 Ja Wir halten uns an alle für uns geltenden gesetzlichen Regelungen zur Kryptographie – sowohl minimale als auch maximale erlaubte Kryptographie, um den gesetzeskonformen Betrieb unserer Softwareprodukte durchgehend sicherstellen zu können.
A.18.2.1 Ja Wir lassen unsere Regelungen zur Informationssicherheit durch unabhängige externe Stellen überprüfen (bspw. Zertifizierungsorganisationen), um sicherzustellen, dass wir nichts Wichtiges übersehen.
A.18.2.2 Ja Wir überprüfen intern, ob sich alle unsere Mitarbeiter auch an die vorgegebenen Regelungen zur Informationssicherheit halten, damit diese nicht nur Lippenbekenntnisse bleiben.
A.18.2.3 Ja Wir überprüfen auch die bei uns verwendeten Informationssysteme darauf, ob diese alle Sicherheitsrichtlinien einhalten, damit hier nicht unbeabsichtigt Informationssicherheitslecks entstehen.

Anwendung: Ja, wenn die Annex A-Maßnahme angewendet wird. Nein, wenn nicht.
Begründung für Anwendung oder Ausschluss: Der Grund, aus dem die Maßnahme angewendet wird oder nicht ausgeschlossen wird.

Wettbewerbs- und Kartellrecht Wir treten im Markt als ehrlicher und pflichtbewusster Wettbewerber auf und versichern, dass wir uns ohne Einschränkung zur Einhaltung des geltenden Wettbewerbs- und Kartellrechts bekennen. Wir lehnen jede wettbewerbs- oder kartellrechtswidrige Absprache oder Vereinbarung mit anderen Unternehmen ab, die eine Einschränkung oder Verhinderung des Wettbewerbs bezwecken oder bewirken.

Korruption und Bestechung Wir akzeptieren weder Korruption noch Bestechung. Unsere Geschäftsbeziehungen beruhen ausschließlich auf der Grundlage objektiver Kriterien. Dies sind neben Qualität, Zuverlässigkeit und fairer Preise auch die Berücksichtigung ökologischer und sozialer Standards sowie die Grundsätze guter Unternehmensführung. Ebenso verpflichten wir uns, alle wichtigen landesspezifischen Antibestechungs- und Antikorruptionsgesetze und -vorschriften zu befolgen.

Interessenkonflikte Im Rahmen ihre Beschäftigung erwarten wir von allen Mitarbeitern Unbescholtenheit und Zuverlässigkeit. Sie handeln ausschließlich im Interesse unseres Unternehmens. Um Interessenskonflikte zu vermeiden, werden immer private oder eigene wirtschaftliche Interessen von den wirtschaftlichen Interessen der TEMA-Q GmbH getrennt. Auch bei Personalentscheidungen oder Geschäftsbeziehungen zu Dritten gelten ausschließlich sachliche Kriterien.

Umgang mit Firmeneigentum und dem Eigentum von Geschäftspartnern Alle Mitarbeiter von TEMA-Q haben das Betriebsvermögen unseres Unternehmens einschließlich aller materiellen und immateriellen Vermögenswerte zu schützen. Dazu gehören neben geistiges Eigentum auch sämtliche von unseren Mitarbeitern entwickelten Verfahren, Produkte und Entwürfe, die bei TEMA-Q zur Anwendung kommen. Das Betriebsvermögen soll vollständig für Unternehmenszwecke genutzt werden. Darüber hinaus anerkennen wir die erteilten Schutzrechte Dritter.

Geldwäsche und Handelskontrollen Wir dulden in keiner Weise Aktivitäten in Zusammenhang mit Geldwäsche. Wir prüfen sorgfältig die Identität von Kunden, Dienstleistern, Beratern und anderen Dritten, mit denen wir Geschäftsbeziehungen pflegen oder vorbereiten.

Schutz von Informationen Wir schützen alle Unternehmensinformationen sowie die Informationen unserer Geschäftspartner und behandeln diese vertraulich. Vertrauliche Informationen gehören zu unseren wertvollsten Vermögenswerten. Betriebs- und Geschäftsgeheimnisse dürfen nicht an Dritte weitergegeben und schon gar nicht öffentlich gemacht werden. Wir betrachten Informationssicherheit als eine unabdingbare Voraussetzung für die Qualität unserer Lösungen. Die Informationssicherheit und die Sicherstellung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ist für unserer Lösungen sehr wichtig. Dies bringen wir durch die unsere Informationssicherheitsleitlinie zum Ausdruck.

Datenschutz Die Wahrung der informationellen Selbstbestimmung und der Schutz der Privatsphäre sowie die Sicherheit der Datenverarbeitung sind für uns unentbehrliche Anliegen. Deshalb treffen wir alle notwendigen Maßnahmen, dass die Erhebung, Verarbeitung und Nutzung der unserem Unternehmen anvertrauten personenbezogenen Daten transparent, zweckgebunden, nachvollziehbar, sorgfältig und unter Beachtung der geltenden gesetzlichen Bestimmungen des Datenschutzrechts erfolgen. Wir verpflichten uns zur Gewährleistung eines angemessenen Standards bei der Absicherung der Informationsverarbeitung, sodass Vertraulichkeit, Integrität und Nachweisbarkeit der schützenswerten Informationen sichergestellt sind und eine unbefugte Nutzung verhindert wird.

Finanzberichterstattung Die Rechnungslegung und Finanzberichterstattung von TEMA-Q erfolgt ordnungsgemäß, korrekt, rechtzeitig, vollständig und transparent in Übereinstimmung mit den jeweiligen gesetzlichen Regelungen und Standards.

Kommunikation Bei der Außendarstellung wenden wir größtmögliche Sorgfalt an. Wir legen Wert auf eine klare und offene Kommunikation. Anfragen zu unserem Unternehmen oder zu Produkten werden von den dafür zuständigen Mitarbeitern beantwortet. In der Außendarstellung pflegen wir einen sachorientierten und höflichen Umgangston.

Umgang mit Behörden und Partnern Mit allen zuständigen Behörden streben wir ein offenes und kooperatives Verhältnis an und wollen dieses auch beibehalten. Informationen werden vollständig, wahrheitsgemäß, rechtzeitig und verständlich zur Verfügung gestellt.

Gesundheit und Arbeitssicherheit Höchste Priorität am Arbeitsplatz hat für uns die Sicherheit. Wir kümmern uns um sichere und hygienische Arbeitsbedingungen, die den geltenden gesetzlichen Vorgaben im Bereich Arbeitsschutz und Arbeitssicherheit entsprechen. Alle Mitarbeiter sollten die geltenden Gesetze, Vorschriften und unternehmensinternen Richtlinien zur Arbeitssicherheit und Gesundheit kennen.

Arbeitsbedingungen und Sozialstandards Wir halten die geltenden arbeitsrechtlichen Gesetze ein. Die den Mitarbeitern ausbezahlte Entlohnung muss alle gültigen Gesetze zu Löhnen und Gehältern erfüllen, einschließlich der Bestimmungen zu Mindestgehältern, Überstunden, gesetzlich festgelegten Vergünstigungen, Arbeitszeiten und bezahltem Urlaub.Die Beschäftigten von TEMA-Q tragen den Erfolg des Unternehmens durch fachliche Kompetenz, Erfahrungen, soziale Fähigkeiten und Engagement. Daher ist uns die Weiterentwicklung unserer Mitarbeiter sehr wichtig. TEMA-Q setzt verschiedene Maßnahmen ein, damit die Mitarbeiter die Strategie unseres Unternehmens unterstützen und in die Lage versetzt werden, unter den sich verändernden Rahmenbedingungen erfolgreich für unser Unternehmen zu arbeiten.

Vielfalt und das Prinzip der Gleichbehandlung TEMA-Q setzt sich für Vielfalt und Toleranz ein. Unser Ziel ist es, ein Höchstmaß an Produktivität, Innovation und Effizienz zu erreichen. Diskriminierende und belästigende Handlungen werden in unserem Unternehmen auf keinen Fall zugelassen, beispielsweise aufgrund sozialer oder nationaler Herkunft, des Geschlechts, der ethnischen Herkunft, der Religion, des Alters, aufgrund einer Krankheit oder Behinderung, der sexuellen Orientierung, der politischen Überzeugung oder anderer persönlicher Merkmale. Jeder Einzelne hat einen Anspruch auf faire und respektvolle Behandlung.

Vereinbarkeit von Beruf und Familie Wir streben an, einen angemessenen Ausgleich zwischen den wirtschaftlichen Interessen unseres Unternehmens und den privaten Interessen der Mitarbeiter zu finden; denn die hieraus erkennbare Zufriedenheit und Motivation der Mitarbeiter trägt im hohen Maße zum Unternehmenserfolg bei. Dabei ist eine Vertrauensbasis unverzichtbar für ein konstruktives und erfolgreiche Miteinander von Mitarbeiter und Unternehmen.

Menschenrechte Die Anerkennung der geltenden Vorschriften zum Schutz der Menschenrechte ist eine unerlässliche Komponente unserer unternehmerischen Verantwortung. Jeder Mitarbeiter respektiert die Würde und die persönlichen Rechte eines jeden anderen Mitarbeiters und Kollegen sowie Dritter, mit denen das Unternehmen in einer Geschäftsbeziehung steht.

Verbindlichkeit und Ansprechpartner Der von uns erstellte Verhaltenskodex ist verbindlich. Alle Beschäftige von TEMA-Q müssen sich an seine Vorgaben und Grundsätze halten. Die Verpflichtung zur Befolgung des Verhaltenskodex ergibt sich unmittelbar aus den in ihm vereinten geltenden Gesetzen, betrieblichen Regelungen, Unternehmensrichtlinien sowie Pflichten aus dem Arbeitsverhältnis.Verstöße gegen den Verhaltenskodex können arbeitsrechtliche Konsequenzen nach sich ziehen. Von unseren Lieferanten bzw. Vertragspartnern erwarten wir ebenfalls, dass sie sich gemäß den in diesem Kodex dargelegten Vorgaben verhalten.Die Anerkennung unseres Verhaltenskodex sowie gesetzlicher Bestimmungen und unternehmensinterner Richtlinien ist ein grundlegender Bestandteil für das Auftreten von TEMA-Q als glaubwürdiger und verlässlicher Partner.Unter Umständen erhalten Sie Kenntnis von Vorgängen, die mit unserem Verhaltenskodex nicht vereinbar sind. Sprechen Sie Ihre Fragen oder Bedenken offen bei Ihrem Vorgesetzten oder der Geschäftsführung an. Sie werden die erforderliche Unterstützung erhalten und Ihnen werden keine Nachteile entstehen! Jeder Mitarbeiter, der im guten Glauben um Rat fragt oder auf Fehlverhalten hinweist, entspricht den Regeln dieses Verhaltenskodex.