Unternehmensleitlinie für Informationssicherheit

Auszüge aus der gültigen Version vom 2. Februar 2026

Diese Unternehmensleitlinie beschreibt Politik und Strategie der Finatix GmbH bzgl. des Themas Informationssicherheit. Ziel ist die Definition des Zwecks, der Ausrichtung, der Grundlagen und der grundsätzlichen Regeln für die Mitarbeiter der Finatix GmbH zur Informationssicherheit, die im Informationssicherheitsmanagementsystem dargestellt werden.

1. Geltungsbereich

Das Informationssicherheitsmanagementsystem (ISMS) und damit alle Informationssicherheitsrichtlinien gelten für das gesamte Unternehmen mit Sitz in Leipzig, Barfußgäßchen 12, für alle Mitarbeiter, basierend auf den Kerngeschäftsprozessen rund um die Themen IT-Beratung, Entwicklung von Softwareprodukten in Eigenverantwortung sowie Entwicklung von Software im Auftrag des Kunden.

Die Unternehmensleitlinie für Informationssicherheit sowie die Informationssicherheitsrichtlinien der Finatix GmbH werden in Confluence als ISMS verwaltet, veröffentlicht und von der Geschäftsleitung freigegeben. Die Richtlinien sind für alle, die diese Infrastruktur nutzen, Aufforderung und Verpflichtung zu gesetzeskonformem Verhalten und verantwortungsbewusstem Umgang mit der Informationssicherheits-Infrastruktur der Finatix GmbH. Sie werden allen Mitarbeitern, Kunden, Partnern und ggf. weiteren Personen oder Einrichtungen, d.h. allen interessierten Parteien, in geeigneter Weise zur Kenntnis gegeben.

1.1 Zertifizierter Bereich:

Entwicklung und Betrieb von Software-Anwendungen im Cloud-Umfeld

1.2 Beschreibung der Tätigkeiten im zertifizierten Bereich:

  • Entwicklung von Client-Server Anwendungen auf Basis gängiger Entwicklungsframeworks (Java Spring, Kotlin, C#/.NET, Angular, React, Vue.js u.a.)
  • Aufsetzen und Orchestrieren von Cloud-Diensten auf gängigen Cloud-Plattformen oder Private Clouds (Amazon Web Services, Microsoft Azure, Google Cloud Plattform u.a.)
  • Betrieb und technischer Support für Anwendungen, die auf Cloud-Plattformen oder on premise betrieben werden
  • Entwicklung modularer Softwareanwendungen in Microservice-Architekturen, Entwicklung von Schnittstellen und Benutzeroberflächen
  • Entwicklung von Datenanalyse-, Datenauswertungs- und Datenvisualisierungssoftware (Business Intelligence, Data Science, Machine Learning, Artificial Intelligence)

1.3 Nicht umfasste Tätigkeiten im zertifizierten Bereich:

  • Entwicklung von Hardware und Firmware
  • Aufsetzen und Hosting von Cloud-Infrastrukturen (eigene Cloud)
  • Support und Sicherstellung der Verfügbarkeit von Cloud-Plattformen

2. Interessierte Parteien

Interessierte Parteien der Finatix GmbH sind:

  • Gesellschafter
  • Geschäftsleitung
  • Kunden
  • Lieferanten
  • Mitarbeiter
  • Gesetzgeber
  • Behörden ohne BSI, BNetzA
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Bundesnetzagentur (BNetzA)
  • Geschäftspartner

2.3 Weitergabe der Richtlinien an externe Geschäftspartner bzw. interessierte Parteien

Die als intern definierten Richtlinien der Finatix GmbH können bei Bedarf und fallbezogen (ggf. auch in Auszügen) an externe Geschäftspartner weitergegeben werden. Die Weiterleitung erfolgt immer direkt über den Informationssicherheitsbeauftragten in Abstimung mit der Geschäftsführung. Bei relevanten Änderungen der Richtlinien des ISMS werden interessierte Parteien und Mitarbeiter informiert.

3. Bedeutung der Informationssicherheit

3.1 Informationssicherheitspolitik: Informationssicherheit als unverzichtbare Grundlage der Geschäftsprozesse

Informationen gehören zum wichtigen Kapital der Finatix GmbH. Informationen liegen in unterschiedlicher Form vor: als Papier, E-Mail, als gesprochenes Wort oder Know-how und insbesondere in digitaler Form in Verbindung mit informationsverarbeitenden IT-Systemen. Die Finatix GmbH ist somit als Dienstleister im IT-Bereich auf moderne Informations- und Kommunikationstechnik angewiesen, um ihre Geschäftsprozesse durchzuführen, die Leistungen für ihre Kunden zu erbringen und um mit Kunden und Geschäftspartnern zusammenarbeiten zu können. Somit sollten die informationsverarbeitenden IT Systeme immer verfügbar sein.

3.2 Erfüllung von Rechtsvorschriften und vertraglichen Anforderungen

Ferner bestehen Verpflichtungen zur Gewährleistung der Informationssicherheit aufgrund von Gesetzen, wie z. B. der DSGVO und durch vertragliche Verpflichtungen gegenüber Kunden, Mitarbeitern und Lieferanten.

3.3 Bedeutung der Informationssicherheit

Dem Schutz der Informationen und der Informations- und Kommunikationsinfrastruktur der Finatix GmbH vor Missbrauch, Manipulation, Störungen sowie dem Schutz der gespeicherten und verarbeiteten Informationen vor Manipulation oder Ausspähen – kurz: der Informationssicherheit – kommt daher für die Finatix GmbH eine existentielle Bedeutung zu.

3.4 Richtlinien zur Informationssicherheit im Unternehmen

Die Nutzung des Potenzials eines funktionierenden Informationssicherheitsmanagementsystems (ISMS) ist eine wichtige Aufgabe zur Erhaltung der Wettbewerbsfähigkeit und unterstützt die strategischen Ziele der Finatix GmbH bzgl. Informationssicherheit. Deswegen hat die Geschäftsleitung der Finatix GmbH gemeinsam mit dem Informationssicherheitsbeauftragten die nachfolgenden Punkte für den Umgang mit der Informationstechnik der Finatix GmbH beschlossen. Ferner finden sich im ISMS des Unternehmens eine Vielzahl von Richtlinien für die Sicherstellung der Informationssicherheit.

4. Klimawandel und Nachhaltigkeit

Die Organisation erkennt die potenziellen Auswirkungen des Klimawandels auf ihr Geschäftsfeld, ihre Prozesse und ihre Stakeholder an. Als Teil unserer Unternehmensstrategie verpflichten wir uns, regelmäßig zu prüfen, ob der Klimawandel ein relevantes Thema für unsere Tätigkeiten und langfristigen Ziele ist.

Hierfür werden etablierte Methoden genutzt, um systematisch zu analysieren, wie der Klimawandel:

  1. Die Geschäftsprozesse und Lieferketten beeinflusst.
  2. Die Erwartungen und Anforderungen unserer Stakeholder (Kunden, Partner, Investoren, Regulierungsbehörden) verändert.
  3. Neue Risiken und Chancen für unser Unternehmen schafft, beispielsweise in Bezug auf gesetzliche Anforderungen, Markttrends oder Innovationen.

Die Ergebnisse der Bewertung fließen in unsere strategischen Entscheidungen, die Festlegung unserer Ziele und die Gestaltung unserer Prozesse ein. So stellen wir sicher, dass wir nachhaltig und zukunftsorientiert agieren.

5. Informationssicherheitsziele und Maßnahmen zur Erhaltung der Informationssicherheit

Die Ziele der Informationssicherheit sind es, einen anhaltenden geschäftlichen Erfolg und einen kontinuierlichen Geschäftsbetrieb sicherzustellen. Daher erfolgt die Sicherstellung der Informationssicherheit im ureigenen Interesse der Finatix GmbH, aber auch im Sinne von deren interessierten Parteien, wie z B. Kunden, Mitarbeitern, Lieferanten und Geschäftspartnern.

Um Informationssicherheit in möglichst großem Umfang zu gewährleisten, ist das Management von angemessenen Sicherheitsmaßnahmen unter Berücksichtigung einer großen Bandbreite von Risiken erforderlich.

  • Die Finatix GmbH schützt ihre eigene Arbeitsfähigkeit, Vertrauenswürdigkeit und Zuverlässigkeit: Schutz der Reputation
  • Die Finatix GmbH schützt die Vertraulichkeit der verarbeiteten und gespeicherten Informationen ihrer Kunden, Geschäftspartner und Mitarbeiter.
  • Die Finatix GmbH schützt vertrauliche Informationen wie z.B. Geschäftsprozesse, Vertragsdaten oder sonstige Geschäftsgeheimnisse.
  • Die Finatix GmbH gewährleistet die Verfügbarkeit ihrer IT-Systeme, Programme und Informationen.
  • Die Finatix GmbH schützt die Integrität ihrer IT-Systeme, Programme und Informationen.
  • Die Finatix GmbH verhindert den Missbrauch ihrer IT-Systeme, Programme und Informationen vor zweckwidriger Nutzung bzw. Nutzung durch Unbefugte.

5.1 Schutzmaßnahmen

Die Schutzmaßnahmen umfassen

  • technische Maßnahmen (Software, Hardware, Konfiguration),
  • organisatorische Vorkehrungen (verbindliche Regeln und Vorgaben) und
  • personelle Maßnahmen (Schulungen, Mitarbeiterauswahl)

Die Schutzmaßnahmen sind an verschieden Stellen im Unternehmen zu finden, definiert und müssen umgesetzt/beachtet werden.

6. Organisationsstruktur und Verantwortlichkeit

Das Erreichen, Erhalten und ständige Verbessern eines angemessenen Informationssicherheitsniveaus erfordert ein kontinuierliches Engagement von allen mit der Informationsverarbeitung befassten Personen wie dem Management, den Mitarbeitern sowie den Administratoren.

.…

7. Fortlaufende Verbesserung

Die fortlaufende Verbesserung des angestrebten Informationssicherheits- und Datenschutzniveaus wird durch eine kontinuierliche Überprüfung der Regelungen sichergestellt.
Bei Verbesserungen wird prinzipiell nach Plan-Do-Check-Act vorgegangen.

Die Unternehmensleitlinie zur Informationssicherheit wird in regelmäßigen Abständen auf ihre Aktualität und Wirksamkeit hin überprüft und gegebenenfalls angepasst. Im Besonderen wird die Unternehmensleitlinie für Informationssicherheit bei Änderungen der Bedrohungslage aufgrund aktueller Ereignisse oder der Einführung neuer Technologien in der Finatix GmbH überprüft und angepasst. Unabhängig davon erfolgt eine Überarbeitung der Unternehmensleitlinie inkl. aller Richtlinien im ISMS einmal im Jahr.

8. Schulung des Bewusstseins zum Thema Informationssicherheit

Die Geschäftsleitung sowie die verantwortlichen Mitarbeiter der Finatix GmbH stellen durch bewusstseinsbildende Schulungs- und Sensibilisierungsmaßnahmen sicher, dass neu eingestellte Mitarbeiter ebenso wie bereits beschäftigte Mitarbeiter auf die Einhaltung der Unternehmensleitlinie für Informationssicherheit und der damit einhergehenden Richtlinien hingewiesen werden.

In regelmäßigen Abständen (mindestens einmal jährlich) werden alle Mitarbeiter in Schulungen auf die Problematiken und Gefährdungen in Zusammenhang mit Informationssicherheit und Maßnahmen zum Schutz vertraut gemacht.

9. Maßregelungen

Die Geschäftsleitung sowie leitende Angestellte stellen sicher, dass die Richtlinien zur Informationssicherheit durch alle Mitarbeiter befolgt werden. Mitarbeiter, die gegen diese Richtlinien verstoßen, können mit angemessenen Sanktionen auf Grundlage des Arbeitsrechts belegt werden.