Compliance

Informationssicherheit

1. Informationssicherheit bei der glacier ac GmbH

Der Schutz von Informationen hat für uns oberste Priorität. Sollten Sie einen Informationssicherheitsvorfall feststellen oder einen Verdacht auf eine sicherheitsrelevante Beeinträchtigung haben, melden Sie diesen bitte umgehend.

2. Was gilt als Informationssicherheitsvorfall

Ein Vorfall kann alles sein, was auf eine mögliche Gefährdung der Informationssicherheit der glacier ac GmbH hindeutet. Dazu gehören offensichtliche sicherheitskritische Ereignisse, aber auch Verdachtsmomente oder ungewöhnliche Vorkommnisse, die Ihnen auffallen. Melden Sie alle Beobachtungen, die auf einen möglichen Missbrauch oder eine Schwachstelle hinweisen könnten, damit wir die Situation schnell prüfen und gegebenenfalls Maßnahmen ergreifen können.

Mögliche Beispiele für einen Vorfall (Liste nicht abschließend):

  • Unbefugter Zugriff auf Systeme oder Daten
  • Verdacht auf Phishing oder andere Angriffsversuche
  • Verlust oder Diebstahl von Geräten / Informationen der glacier ac GmbH
  • Technische Störungen mit sicherheitskritischen Auswirkungen auf Daten der glacier ac GmbH

3. Kontaktmöglichkeiten

glacier ac GmbH
Balanstraße 73 / Haus 21A
81541 München

Telefon: +49 (0) 89 52032530
E-Mail: datasec@glacier-ac.com

Vorgaben für die Einhaltung der Informationssicherheit bei der Zusammenarbeit mit Lieferanten

1 Allgemein

Dieses Dokument beschreibt den grundlegende Umgang mit Informationssicherheit bei Lieferanten, der Umgang mit Sublieferanten und die, für die Nutzung von Informationen und IT-Geräten (z. B. Desktop-Rechner, Notebooks, Smartphones, Tablets), zu beachtenden IT-Sicherheitsregelungen für die Lieferanten der glacier ac GmbH.

Die Vorgaben richtet sich an die Geschäftsleitung unserer Lieferanten, deren Mitarbeiter sowie deren Erfüllungs-/Verrichtungsgehilfen (im Folgenden Auftragnehmer genannt).

Die Geschäftsführung ist verpflichtet, dieses Dokument selbstständig an Ihre Mitarbeiter, Erfüllungsgehilfen und wenn vorhanden, an etwaige Sublieferanten, weiterzugeben.

2 Austausch von Informationen

Bei allen Gesprächen über vertrauliche oder geheime Informationen der glacier ac GmbH, inklusive Telefongespräche, ist darauf zu achten, dass diese nicht unbefugt mitgehört werden können.
Es ist darauf zu achten, dass alle notwendigen und geeigneten Vorkehrungen getroffen werden (z. B. Verschlüsselung), die vor Einsichtnahme, Veränderung und Löschung der Informationen durch Unbefugte (das sind auch Angehörige des Familien- und Freundeskreises) beim Transport schützen.

3 Physischer Transport von Medien

Generell gilt, dass Medien, die Informationen der glacier ac GmbH beinhalten, vor unbefugten Zugriff, Missbrauch oder Verfälschung während des Transports, auch über Organisationsgrenzen hinweg, geschützt werden müssen.

Es ist darauf zu achten, dass alle notwendigen und geeigneten Vorkehrungen getroffen werden (z.B. Verschlüsselung), die vor Einsichtnahme, Veränderung und Löschung der Informationen durch Unbefugte (das sind auch Angehörige des Familien- und Freundeskreises) beim Transport schützen. Datenträger sind verborgen zu transportieren. Datenträger mit geheimen Informationen werden grundsätzlich eskortiert durch einen Mitarbeiter des Lieferanten / Auftragnehmer transportiert. Dokumente müssen sichtgeschützt, also z.B. in einer Nicht-Klarsichtmappe transportiert werden.

4 Physischer Transport von Notebooks

Notebooks auf denen Informationen der glacier ac GmbH gespeichert sind, sind so zu transportieren, dass sie von außen nicht sichtbar sind. Darüber hinaus ist bei der Nutzung in der Öffentlichkeit darauf zu achten, dass andere keine Informationen am Bildschirm mitlesen und/oder die Eingabe geheimer Authentisierungsinformationen ausspähen können.

5 Umgang mit Informationssicherheitsvorfällen und Kommunikation

Schwerwiegende Informationssicherheitsereignisse (z. B. auftretende Störungen, Verlust von Daten, rechtswidriges Handeln, Cybercrime Angriffe) sind sofort an den Ansprechpartner für Informationssicherheit unter der E-Mailadresse datasec@glacier-ac.com oder Telefonnummer +49 (0) 89 52032530 zu melden. Beim Verdacht auf Verlust von vertraulichen oder geheimen Informationen muss dies ebenfalls an den Ansprechpartner für Informationssicherheit gemeldet werden.

6 Auditrechte in Bezug auf Informationssicherheit

Der Lieferant / Auftragnehmer räumt der glacier ac GmbH das jederzeit auszuübende Recht ein, nach vorheriger Anmeldung sämtliche Daten zu Geschäftsvorfällen in Bezug auf die Informationssicherheit zwischen dem Lieferanten / Auftragnehmer und der glacier ac GmbH bei dem Lieferanten / Auftragnehmer einzusehen und zu überprüfen sowie Maßnahmen der IT- und Datensicherheit zu überprüfen.

Mitarbeiter der glacier ac GmbH oder von der glacier ac GmbH beauftragte Dritte dürfen hierzu die Räume des Lieferanten / Auftragnehmers während der üblichen Geschäftszeiten betreten. Die Kosten der Überprüfung trägt der Lieferant / Auftragnehmer, wenn hierbei Verstöße gegen die Informationssicherheit und/ oder Vereinbarungen der jeweiligen Beauftragung festgestellt werden, es sei denn, solche Verstöße beruhen nicht auf einem Verschulden des Auftragnehmers.

7 Geheimhaltungsvereinbarung zwischen dem Lieferanten / Auftragnehmer und seinen Mitarbeitern

Der Lieferant / Auftragnehmer der glacier ac GmbH verpflichtet sich dazu, mit all seinen Mitarbeitern, die im Zuge der Zusammenarbeit Informationen der glacier ac GmbH erhalten oder auf diese zugreifen können, eine Geheimhaltungsvereinbarung (Separat oder als Teil des Arbeitsvertrages) abzuschließen. Der Nachweis der Einhaltung obliegt dem Lieferanten / Auftragnehmer und ist auf Verlangen der glacier ac GmbH jederzeit nachzuweisen.

8 Unterauftragnehmer

Beauftragt der Lieferant/Auftragnehmer weitere Unterauftragnehmer (Subunternehmer), trägt er die volle Verantwortung für die Weitergabe und Umsetzung aller informationssicherheitsrelevanten Vorgaben. Der Lieferant ist verpflichtet, sicherzustellen, dass die Vorgaben durch den Subunternehmer eingehalten werden.

Auf Verlangen der glacier ac GmbH muss der Lieferant die Einhaltung der Vorgaben nachweisen.

Bei nachweislich schwerwiegenden Pflichtverletzungen oder wesentlichem Fehlverhalten des Subunternehmers oder dessen Erfüllungsgehilfen behält sich die glacier ac GmbH das Recht vor, den Subunternehmer abzulehnen.

Zusätzlich kann die glacier ac GmbH eine außerordentliche Kündigung aus wichtigem Grund aussprechen und/oder Schadensersatzansprüche geltend machen.

9 Einhaltung der Informationssicherheit (Lieferkette)

Der Lieferant / Auftragnehmer hat im Rahmen der Beauftragung von Unterauftragnehmern sicherzustellen, dass die Anforderungen der glacier ac GmbH an die Einhaltung der Informationssicherheit auch durch den Unterauftragnehmer eingehalten werden. Dies schließt auch den Abschluss von Geheimhaltungsvereinbarung mit Sublieferanten ein. Der Nachweis der Einhaltung obliegt dem Lieferanten / Auftragnehmer und ist auf Verlangen der glacier ac GmbH jederzeit nachzuweisen.

Ist der Lieferant / Auftragnehmer berechtigt, Unteraufträge zu erteilen, so haftet er hierfür in vollem Umfang, unabhängig von etwaigen vertraglichen oder gesetzlichen Haftungsbeschränkungen oder -ausschlüssen in Bezug auf diese.

Hinweisgeberschutzgesetz

1. Meldung von Hinweisen nach dem Hinweisgeberschutzgesetz

Haben Sie Kenntnis von möglichen Verstößen oder bedenklichen Aktivitäten in der glacier ac GmbH? Sie sind Mitarbeiter, Praktikant, Freiberufler, Auftragnehmer, Geschäftspartner oder Lieferant? Dann möchten wir Sie ermutigen, ihren Hinweis zu melden. Ihre Stimme ist uns wichtig.

2. Sicher und Vertraulich

Wir garantieren, dass Ihre Identität geschützt bleibt und Ihre Informationen vertraulich behandelt werden. Gemäß dem Hinweisgeberschutzgesetz sichern wir Ihnen zu, dass keine Vergeltungsmaßnahmen gegen Sie ergriffen werden. Wir möchten Sie dabei ermutigen, Ihren Namen zu nennen, um Ihnen Feedback zu den gemeldeten Hinweisen geben zu können. Alle Hinweise für die glacier ac GmbH werden extern durch eine neutrale Stelle ausgewertet und bearbeitet. Damit stellen wir sicher, dass beim Nachgehen von Hinweisen keine Interessenskonflikte vorliegen.

3. Meldungen von Verstößen

So können Sie einen Hinweis melden

  • Online-Formular: Nutzen Sie das Microsoft Forms, um Ihren Hinweis zu übermitteln. Dabei können Sie ihre Hinweise anonym oder unter Angaben einer Kontaktadresse hinterlassen. Microsoft Forms
  • Meldung via Telefon auf Mailbox: Für diejenigen, die es bevorzugen, ihre Hinweise telefonisch zu übermitteln, wird eine spezielle Mailbox angeboten. Telefonnummer: +49 89 716722118

Welche Verstöße können Sie melden?

Das Hinweisgeberschutzgesetz ist dafür da, Sie zu schützen, wenn Sie bei der glacier ac GmbH auf bestimmte Missstände hinweisen. Hier sind die Arten von Verstößen, die Sie melden können:

  • Finanzielle Unregelmäßigkeiten: Betrug, Korruption, Veruntreuung, Finanzmanipulation.
  • Verstöße, die mit einem Bußgeld bestraft werden können: Hierzu zählen Regelverletzungen, die besonders wichtig für die Sicherheit und das Wohlergehen der Mitarbeiter sind. Beispiele dafür sind:
    • Verstöße gegen Arbeits- und Gesundheitsschutzregeln.
    • Nichtbeachtung des Mindestlohngesetzes.
  • Verstöße gegen Strafgesetze: Wenn Sie feststellen, dass im Unternehmen Gesetze gebrochen werden, können und sollten Sie dies melden. Das umfasst alle Arten von strafbaren Handlungen nach deutschem Recht.

Wichtig zu wissen: Wenn es um Probleme geht, die weder eine Straftat noch einen Verstoß mit Bußgeld darstellen, fällt dies normalerweise nicht unter das Hinweisgeberschutzgesetz. Das heißt, in solchen Fällen bietet das Gesetz keinen besonderen Schutz für die Meldung.

Was passiert nach Ihrer Meldung?

Bestätigung: Bei einer Meldung über Microsoft Forms erhalten Sie eine automatische Rückmeldung vom System, dass Sie uns erreicht haben.

Untersuchung: Jeder Hinweis wird ernst genommen. Wenn nötig, wird eine interne Untersuchung eingeleitet.

Rückmeldung: Innerhalb einer angemessenen Frist von maximal 3 Monaten werden sie über den Fortschritt und das Ergebnis der Untersuchung informiert. Dies ist nur dann möglich, wenn Sie uns ihre Kontaktdaten bei der Meldung zur Verfügung gestellt haben.

Welche Verstöße können Sie melden?

Das Hinweisgeberschutzgesetz ist dafür da, Sie zu schützen, wenn Sie bei der glacier ac GmbH auf bestimmte Missstände hinweisen. Hier sind die Arten von Verstößen, die Sie melden können:

  • Finanzielle Unregelmäßigkeiten: Betrug, Korruption, Veruntreuung, Finanzmanipulation.
  • Verstöße, die mit einem Bußgeld bestraft werden können: Hierzu zählen Regelverletzungen, die besonders wichtig für die Sicherheit und das Wohlergehen der Mitarbeiter sind. Beispiele dafür sind:
    • Verstöße gegen Arbeits- und Gesundheitsschutzregeln.
    • Nichtbeachtung des Mindestlohngesetzes.
  • Verstöße gegen Strafgesetze: Wenn Sie feststellen, dass im Unternehmen Gesetze gebrochen werden, können und sollten Sie dies melden. Das umfasst alle Arten von strafbaren Handlungen nach deutschem Recht.

Wichtig zu wissen: Wenn es um Probleme geht, die weder eine Straftat noch einen Verstoß mit Bußgeld darstellen, fällt dies normalerweise nicht unter das Hinweisgeberschutzgesetz. Das heißt, in solchen Fällen bietet das Gesetz keinen besonderen Schutz für die Meldung.

Mit unserer jahrelangen Erfahrung
begleiten wir Sie zu Ihrer Zertifizierung. Für Ihre ideale Informationssicherheit.
DatenschutzerklärungImpressumCompliance
Informationssicherheit
TISAXISO27001NIS2
Gesetzliche Umsetzung
Umsetzung DatenschutzHinweisgeberschutz
Nachhaltigkeit
Über uns
Blog

HINWEIS: TISAX® ist eine eingetragene Marke der ENX Association