Datenschutzerklärung – Informationssicherheitsrichtlinie

Informationssicherheitsrichtlinie

1 Leitbild

Die NIPCON Group steht für ganzheitliche IT-, Druck- und Kommunikationslösungen, die Unternehmen helfen, ihre Prozesse effizient, sicher und nachhaltig zu gestalten. Unser Ziel ist es, die digitale Zukunft aktiv mitzugestalten und unsere Kunden auf dem Weg zur vollständigen Digitalisierung zu begleiten.
Wir legen großen Wert auf Verlässlichkeit, Innovation, Nachhaltigkeit, Kundenorientierung, Qualität und Sicherheit. Partnerschaft und Teamgeist prägen unsere Zusammenarbeit – sowohl intern als auch mit unseren Kunden.
Als verlässlicher Partner setzen wir auf moderne Technologien, individuelle Beratung und nachhaltige Lösungen. Wir schaffen Mehrwert durch praxisnahe Innovationen und hohe Servicequalität. Dabei achten wir stets auf einen verantwortungsvollen Umgang mit Ressourcen und die kontinuierliche Verbesserung unserer Leistungen.
Unsere Mitarbeiterinnen und Mitarbeiter sind der Schlüssel zum Erfolg. Wir fördern Know-how,
Weiterbildung und Eigenverantwortung, um gemeinsam die Zukunft unserer Kunden und unseres Unternehmens zu gestalten.
So verstehen wir uns als Partner für Digitalisierung, Effizienz und Nachhaltigkeit – heute und in Zukunft.

1.1 Informationssicherheitspolitik

Das Vertrauen unserer Kundinnen und Kunden ist für NIPCON die Grundlage jeder erfolgreichen
Zusammenarbeit.
Gerade im digitalen Zeitalter, in dem Informationen und Daten zentrale Werte darstellen, übernehmen wir besondere Verantwortung für deren Schutz und Sicherheit.
Wir wissen, dass die Integrität, Verfügbarkeit und Vertraulichkeit von Daten entscheidend für die
Stabilität unserer Prozesse, die Qualität unserer Dienstleistungen und den Erfolg unserer
Kundenprojekte ist. Deshalb setzen wir alles daran, Informationssicherheit in jedem Schritt unseres Handelns zu verankern.
Um dies zu gewährleisten, nutzen wir moderne Sicherheitskonzepte, aktuelle Technologien und
orientieren uns an international anerkannten Standards, insbesondere ISO/IEC 27001.
Unsere Maßnahmen sind risikobasiert, wirtschaftlich sinnvoll und stets darauf ausgerichtet, potenzielle Bedrohungen frühzeitig zu erkennen und wirkungsvoll zu minimieren.
Informationssicherheit ist für uns kein einmaliges Projekt, sondern ein kontinuierlicher Prozess und fester Bestandteil unserer Unternehmenskultur. Sie wird von unserem Managementteam aktiv gelebt, in unseren Strukturen und Abläufen verankert und durch regelmäßige Schulungen und Sensibilisierung an alle Mitarbeitenden weitergegeben.
Jede Mitarbeiterin und jeder Mitarbeiter trägt bei NIPCON Verantwortung für den sicheren Umgang mit Informationen. Gemeinsam schaffen wir eine Sicherheitskultur, die auf Vertrauen, Achtsamkeit und stetiger Verbesserung basiert.
So stellen wir sicher, dass Informationssicherheit bei NIPCON nicht nur ein Anspruch – sondern gelebte Realität ist.

1.2 Informationssicherheitsziele

Unser Ziel ist es, die Vertraulichkeit sensibler Informationen sicherzustellen, indem wir dafür sorgen, dass vertrauliche Kundendaten, interne Unternehmensinformationen sowie andere kritische Daten jederzeit vor unbefugtem Zugriff geschützt sind. Darüber hinaus streben wir die Sicherstellung der Integrität unserer Informationen an, um Manipulationen oder unautorisierte Veränderungen wirksam zu verhindern.
Ein weiteres wesentliches Ziel ist die Gewährleistung der Verfügbarkeit unserer Systeme und
Dienstleistungen. Hierzu setzen wir auf die konsequente Umsetzung von Backup- und
Redundanzlösungen, um Ausfallzeiten zu minimieren und einen störungsfreien Betrieb zu ermöglichen.
Langfristig verfolgen wir die Zertifizierung nach ISO 27001, um unsere Informationssicherheitsmaßnahmen objektiv bewerten und kontinuierlich verbessern zu können. Im Zentrum unseres Sicherheitsverständnisses steht zudem die fortlaufende Optimierung und
Aktualisierung unserer technischen und organisatorischen Schutzmaßnahmen, um aktuellen
Bedrohungen stets einen Schritt voraus zu sein.
Zur Absicherung der rechtlichen Rahmenbedingungen ist die vollständige Einhaltung aller relevanten Gesetze und Vorschriften im Bereich Datenschutz und Informationssicherheit ein grundlegendes Ziel.
Ebenso legen wir großen Wert darauf, neue Technologien sicher zu integrieren, indem potenzielle
Risiken frühzeitig identifiziert und in Entscheidungsprozesse eingebunden werden.
Ein zentraler Bestandteil unserer Sicherheitsstrategie ist die kontinuierliche Sensibilisierung und
Schulung unserer Mitarbeitenden, um deren Sicherheitsbewusstsein zu stärken und sie zu befähigen, potenzielle Sicherheitsvorfälle frühzeitig zu erkennen und zu verhindern.
Nicht zuletzt streben wir den Aufbau eines strukturierten und effektiven Incident-Managements an, das eine schnelle Reaktion auf Sicherheitsvorfälle ermöglicht, Schäden begrenzt und zur kontinuierlichen Verbesserung unserer Sicherheitslage beiträgt.

1.3 Informationssicherheitsstrategie

Informationssicherheit ist ein zentraler Bestandteil unserer Unternehmensstrategie und bildet die Grundlage für das Vertrauen unserer Kunden und Partner. Unser Ziel ist es, alle Informationen, Systeme und Prozesse wirksam zu schützen und gleichzeitig die Verfügbarkeit, Vertraulichkeit und Integrität unserer Daten sicherzustellen.
Um diese Ziele zu erreichen, haben wir folgende Maßnahmen umgesetzt:
 Einführung eines Informationssicherheits-Managementsystems (ISMS)
Wir haben ein ISMS auf Basis international anerkannter Standards – insbesondere der ISO/IEC
27001 – etabliert, um Informationssicherheit systematisch und nachvollziehbar im gesamten
Unternehmen zu verankern.
 Schulung und Sensibilisierung unserer Mitarbeiter
Durch gezielte Schulungs- und Awareness-Programme stellen wir sicher, dass alle Mitarbeiter
über aktuelle Kenntnisse, Best Practices und Verantwortlichkeiten im Bereich
Informationssicherheit verfügen.
 Klare Kommunikationsprozesse im Sicherheitsvorfall
Für den Fall von Sicherheitsvorfällen haben wir strukturierte Prozesse zur gesetzlich vorgeschriebenen Kommunikation mit Behörden, Kunden und Partnern eingerichtet, um
Transparenz und schnelle Reaktionsfähigkeit sicherzustellen.

Durch diese Maßnahmen schaffen wir eine nachhaltige Sicherheitskultur, die unsere Geschäftsprozesse stärkt, Vertrauen aufbaut und den langfristigen Erfolg der NIPCON Group unterstützt.

2 Geltungsbereich

Die Informationssicherheitsrichtlinie der NIPCON Group gilt für das gesamte Unternehmen sowie alle verbundenen Standorte und Tochtergesellschaften. Sie deckt sämtliche Aspekte unseres Geschäftsbetriebs ab, einschließlich Prozesse, Vermögenswerte und Informationen, die für die Erreichung unserer Unternehmensziele von zentraler Bedeutung sind.

Wir erwarten, dass alle Auftragnehmer und Geschäftspartner diese Richtlinie verstehen und einhalten, insbesondere bei der Anschaffung oder Einführung neuer IT-Systeme. Die Einhaltung dieser Anforderungen wird in unseren Einkaufsbedingungen, Planungsdokumenten sowie bei der Erstellung individueller Verträge berücksichtigt.

Ebenso verpflichten wir alle Mitarbeiterinnen und Mitarbeiter, die in dieser Richtlinie definierten
Grundsätze, Standards und Verhaltensregeln im Bereich Informationssicherheit konsequent einzuhalten, um die Sicherheit und Integrität unserer Systeme, Daten und Geschäftsprozesse zu gewährleisten.

3 Grundsätze

Die NIPCON Group hat ein umfassendes Informationssicherheitsmanagementsystem (ISMS)
implementiert, das auf international anerkannten Standards und Frameworks, insbesondere ISO/IEC 27001:2022, basiert und kontinuierlich weiterentwickelt wird. Unsere
Informationssicherheitsmaßnahmen und -prozesse stützen sich auf folgende Grundsätze:
 Abgestimmte Sicherheitsziele: Unsere Informationssicherheitsziele unterstützen die
Gesamtstrategie der NIPCON Group und fördern eine Unternehmenskultur mit hoher
Sicherheitsbewusstheit und Engagement aller Mitarbeiter.
 Risikobasiertes Vorgehen: Maßnahmen und Risikomanagementprozesse leiten sich aus unserer Informationssicherheitsrichtlinie ab. Wir kombinieren grundlegende Schutzmaßnahmen mit detaillierten Risikoanalysen, um ein angemessenes, risikoadaptiertes Sicherheitsniveau zu
gewährleisten.
 Stand der Technik: Die Auswahl und Implementierung von Sicherheitsmaßnahmen erfolgt
risikobasiert unter Berücksichtigung aktueller technischer Standards. Alle Maßnahmen werden
regelmäßig überprüft und im Rahmen unseres kontinuierlichen Verbesserungsprozesses
angepasst.
 Zugriffs- und Informationskontrolle: Mitarbeiter erhalten nur die Informationen, die für ihre
Aufgaben erforderlich sind. Technische und organisatorische Maßnahmen verhindern
Informationsüberfluss, und Rollen sowie Verantwortlichkeiten werden soweit möglich getrennt,
um Fehler oder Manipulationen zu vermeiden. Wo dies nicht möglich ist, werden
kompensierende Maßnahmen eingesetzt.
 Protokollierung und Nachvollziehbarkeit: Der Zugriff auf Informationen wird protokolliert und erfolgt ausschließlich innerhalb der zugewiesenen Aufgabenbereiche.
 Überprüfung und Audits: Interne und externe Audits sowie regelmäßige Risikoanalysen
gewährleisten die Einhaltung der Grundsätze und die Wirksamkeit des ISMS. Ergebnisse werden
dokumentiert und fließen in Verbesserungsmaßnahmen ein.
 Datenklassifizierung und Sensibilisierung: Informationen werden nach Vertraulichkeit,
Integrität, Verfügbarkeit und Datenschutzrelevanz klassifiziert. Mitarbeiter werden regelmäßig
geschult und sensibilisiert, um eine verantwortungsvolle Informationsverarbeitung
sicherzustellen.

 ISMS-Anwendung auf Systeme: Neue IT-Systeme werden gemäß ISMS-Anforderungen
umgesetzt; für bestehende Systeme existieren definierte Übertragungsprozesse.
 Leistungsmessung: Ein Leistungsmesssystem unterstützt die kontinuierliche Verbesserung des
ISMS durch Erfassung und Analyse relevanter Kennzahlen.
 Incident-Management: Prozesse für Sicherheitsvorfälle stellen sicher, dass Vorfälle erkannt,
bewertet und zeitnah behandelt werden, inklusive der erforderlichen Kommunikation.
 Drittanbieter-Management: Partner und externe Dienstleister werden sorgfältig überprüft, um
die Einhaltung unserer Sicherheitsstandards und Datenschutzanforderungen zu gewährleisten.
 Business Continuity und Notfallmanagement: Notfall- und Wiederherstellungspläne werden
regelmäßig erstellt, getestet und aktualisiert, um Störungen zu minimieren und die
Betriebsfähigkeit schnell wiederherzustellen.
 Kontinuierliche Verbesserung: Die laufende Überwachung, Analyse und Optimierung des ISMS sichert die Wirksamkeit unserer Maßnahmen und identifiziert kontinuierlich Potenziale zur
Verbesserung.

4 Durchsetzung und Sanktionierung

Unser Managementteam trägt die Verantwortung dafür, dass angemessene Maßnahmen zur
Informationssicherheit umgesetzt und aufrechterhalten werden. Es überwacht aktiv die Einhaltung dieser Maßnahmen und stellt sicher, dass alle Mitarbeiterinnen, Mitarbeiter und Partner ihre Sicherheitsverantwortung kennen. Bei Abweichungen oder Verstößen werden Betroffene informiert und, falls erforderlich, werden angemessene Maßnahmen ergriffen, um die Einhaltung sicherzustellen.

5 Verbindlichkeitserklärung

Das Management der NIPCON Group hat die Informationssicherheitsrichtlinie erlassen. Diese Richtlinie bildet die Grundlage für alle IT- und informationssicherheitsbezogenen Entscheidungen und Maßnahmen innerhalb des Unternehmens. Sie ist auf unsere übergeordneten Unternehmensstrategien abgestimmt und entscheidend für die Erreichung unserer Geschäftsziele sowie die Umsetzung unserer IT-Strategie. Die NIPCON Group verpflichtet sich, die Richtlinie konsequent umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern.
Die Informationssicherheitsrichtlinie, zugehörige Standards, Richtlinien und Arbeitsanweisungen sind für alle Mitarbeiterinnen und Mitarbeiter der NIPCON Group verbindlich, einschließlich derjenigen in Tochtergesellschaften. Die Richtlinie gilt zudem für externe Dienstleister und Partner, die für die NIPCON Group oder im Auftrag des Unternehmens tätig sind