信息和数据保护安全政策

前言

作为汽车和机械工程行业内以应用为导向的高精度密封解决方案的全球领先的开发商和制造商之一，KACO公司凭借其卓越的原材料和系统技能以及雄厚的创新实力而出众。因此，保护我们的机密信息和客户的机密信息至关重要。

IT和通信系统的可靠的可用性对于确保流畅的工作流程和数据可用性至关重要。

尤其需要注意以下几点：

信息和通信技术的重要性

信息处理在我们的任务执行中起着关键作用。信息技术（IT）显著支持着所有基本的战略和运营的功能与任务。IT系统的故障必须能够在短期内整体得到弥补。必须保留每个分区的功能作用。由于我们的核心能力在于创新产品的开发，因此保护这些信息免遭未经授权的访问和未经授权的修改至关重要。我们也同样重视个人数据的保护。

全面的目标

我们确保在所有技术和商业领域的数据和IT系统的可用性，从而将预期的停机时间减少到可以容忍的最低限度。应尽可能避免数据和IT系统中的故障和违规行为，并且只有在特殊情况下才可以接受（完整性）。机密性的要求针对于高度适用的法律法规。对于敏感的个人数据，开发或生产数据，最高机密性要求是适用的。

标准安全措施必须适用于对相关信息的保护，此外它还必须与需要保护的信息和IT系统的价值存在经济上合理的关系。必须防止由于缺乏IT安全性或关于人身权利和自由的高风险而造成的财务损失。

公司所有员工都需遵守相关法律（例如刑法，企业章程法，商业法，社会法，数据保护法律法规）和合同条款。所有员工都应了解，如果违反法律，将会给公司和相关责任人带来严重的财务和非物质后果。 任何不履行职责的行为都将被追究和处罚，违规行为将视情况而定、根据违规的严重程度给予纪律处分，甚至可能会被特殊解雇。

所有员工和公司管理层都必须意识到他们在处理信息和通信技术方面的责任，并尽其所能支持安全战略。

具体目标

延迟的或不正确的管理决策可能会产生深远的影响。因此，访问最新的控制数据对于管理的重要决策至关重要。在可用性和完整性方面，这些信息需要高度的安全性。

数据保护法和我们员工的利益要求对员工数据保密。因此，人事部门的数据和IT应用程序受到高度保密。这同样适用于我们的客户和业务合作伙伴的数据。

维持与客户和业务合作伙伴的外部通信以及访问客户数据库对于销售部门至关重要。经营业务不得延误甚至受到危害。特别是缺乏IT系统和数据的可用性，并且功能故障还会导致收入减少。对于销售人员而言，维护通信和不断访问正确的数据具有很高的保护需求。

研发部门的数据具有很高的机密性要求。它们的丢失、改动或被盗可能导致竞争劣势。通过技术措施和高度的员工关注度，可以保护机密信息并防止对其进行操纵。

在生产部门内，需确保系统的可用性和无缺陷性，因为它们会对产品质量产生负面影响，并导致停机，从而损害后续流程和最终的收入。因此应尽可能避免故障。

对于我们来说使用互联网获取信息和进行交流是理所当然的。电子邮件可以替代或补充其他办公室通信渠道。通过适当的措施，互联网使用的风险被持续降低。

信息安全与数据保护管理

为了满足信息安全和数据保护目标，我们成立了一个安全组织。已任命了IT安全和数据保护专员。专员直接向管理层汇报他的职务。

管理层给专员和行政管理人员提供足够的财务和时间资源，以定期进行自我深造和报告，并实现管理层设定的信息安全和数据保护目标。

行政人员和专员在他们的工作中得到了IT用户足够的支持。

IT安全专员必须尽早参与所有项目，以便在计划阶段考虑到与安全相关的方面。如果涉及个人数据，则同样适用于数据保护专员。

对于与安全相关的问题，IT用户必须遵循IT安全专员或数据保专员的要求。

安全措施

对于所有程序、数据、信息、IT应用和IT系统应指定负责人，授予这些负责人相应的由跨职能的团队所确定的保护要求的访问权限。

所有相应的职能需指定代理。
建筑物和场所会受到适当的访问控制的保护。对IT系统的访问受到适当的访问控制的限制。限制性的校正计划可处理对数据的访问。

所有IT系统都使用计算机病毒防护程序。所有网络访问均由合适的防火墙保护。配置和管理这些保护程序的方式应使其提供有效的保护并防止被操纵。要求IT用户通过一种注重安全的工作方式来支持这些安全措施，并在出现异常情况时通知他们。

即使采取所有安全措施也永远不可能完全排除数据的丢失。在这种情况下，全面的数据备份可确保在部分运营数据丢失或明显出现故障时，可以在短时间内恢复IT运营。信息和数据被统一标识并存储，以便于快速检索。

为了限制或防止由于紧急情况而造成的重大损失，必须迅速而持续地处理安全事件。应急措施建立在单独的应急预防计划中。我们的目标是即使在系统出现故障的情况下也能维持关键的业务流程，并在可容忍的时间内恢复故障系统的可用性。

如果将IT服务外包给外部的单位，我们将在服务等级协议中给出特定的安全要求。此外，我们需保留控制权。对于大型或复杂的外包项目，我们会创建带有具体措施规定的详细的安全计划。

Intranet上的有关信息安全和数据保护的法规对于所有员工均是适用的，并且会定期在培训中介绍。定期为所有IT用户提供正确使用信息和通信技术以及相关安全措施的培训。管理层支持所有需求相关的学习和培训。

安全性改善

定期检查管理系统的及时性和有效性。此外，定期检查安全措施，以确定相关员工是否知道这些安全措施，是否可以实施这些措施并将其融入到工作过程中。

管理层支持着安全级别的不断提高。员工被要求将可能的改进建议或缺陷说明传达给有关部门。

通过不断修订和遵守规定可以确保所需要的安全性和数据保护的水平。分析与目标的偏差来改善安全状况并使其与IT安全技术现有状态保持一致。