Zum Inhalt springen

Informationssicherheitspolitik

Präambel

Die Plexada GmbH gestaltet die digitale Zukunft ihrer Kunden – durch sichere Cloud-Lösungen, wirksame Cybersicherheit und zukunftsorientiertes IT-Consulting. Dabei ist Informationssicherheit kein Beiwerk, sondern der Kern unseres Leistungsversprechens. Als Unternehmen, das Organisationen aus dem Gesundheitswesen, dem Bildungswesen, der Industrie und der öffentlichen Verwaltung dabei unterstützt, Cyberrisiken zu bewältigen, tragen wir eine besondere Verantwortung für den Schutz der uns anvertrauten Daten und Systeme.

Zur Wahrnehmung dieser Verantwortung betreibt die Plexada GmbH ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022. Dieses ISMS bildet den organisatorischen Rahmen, in dem wir Risiken systematisch identifizieren, bewerten und behandeln – mit dem Ziel, die drei zentralen Schutzziele der Informationssicherheit dauerhaft zu gewährleisten:

  • Vertraulichkeit – Informationen sind nur für befugte Personen zugänglich. Wir schützen die uns anvertrauten Daten unserer Kunden, Mitarbeitenden und Partner durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff.
  • Integrität – Informationen sind vollständig, korrekt und unverfälscht. Wir stellen sicher, dass Daten und Systeme vor unautorisierten Änderungen geschützt sind und Modifikationen nachvollziehbar bleiben.
  • Verfügbarkeit – Informationen und Systeme stehen den berechtigten Nutzern bei Bedarf zur Verfügung. Wir gewährleisten durch redundante Infrastruktur, Notfallpläne und kontinuierliches Kapazitätsmanagement einen zuverlässigen Betrieb.

Diese Politik definiert unser Bekenntnis zur Informationssicherheit – verankert in unserem Markenkern: kundenorientiert handeln, innovativ denken, nachhaltig schützen.

Unsere Leitprinzipien

Kundenorientiert: Wir stellen den Schutz der Informationen und Systeme unserer Kunden in den Mittelpunkt jeder Entscheidung. Informationssicherheit beginnt bei uns nicht mit einer Norm, sondern mit der Frage: Was brauchen unsere Kunden, um ihre digitale Transformation sicher zu gestalten? Die besonderen regulatorischen Anforderungen unserer Branchen – vom Patientendatenschutz im Gesundheitswesen bis zum Jugendschutz im Bildungsbereich – fließen direkt in unser Sicherheitskonzept ein.

Innovativ: Wir setzen auf moderne Technologien und aktuelle Sicherheitsstandards, um Bedrohungen nicht nur abzuwehren, sondern ihnen voraus zu sein. Dazu gehört die kontinuierliche Beobachtung der Bedrohungslage, der Einsatz zeitgemäßer Verschlüsselungs- und Authentifizierungsverfahren sowie die kritische Auseinandersetzung mit neuen Risiken – einschließlich solcher, die durch den Einsatz von Künstlicher Intelligenz entstehen oder verstärkt werden können.

Nachhaltig: Informationssicherheit ist für uns kein einmaliges Projekt, sondern ein dauerhafter Prozess. Wir investieren in den kontinuierlichen Aufbau von Kompetenz, in die systematische Verbesserung unserer Maßnahmen und in eine Sicherheitskultur, die von jedem Mitarbeitenden gelebt wird. Nachhaltigkeit bedeutet für uns auch, Risiken wie den Klimawandel und seine Auswirkungen auf unsere Infrastruktur aktiv in unsere Sicherheitsplanung einzubeziehen.

Ziele der Informationssicherheit

Ausgehend von den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit leiten wir unsere konkreten Informationssicherheitsziele direkt aus unseren Kernprozessen ab:

  1. Multiplatform Hosting – Verfügbarkeit und Vertraulichkeit als Fundament: Für unsere Kunden betreiben wir sichere Hosting-Umgebungen an unserem Rechenzentrumsstandort in Dortmund. Die Verfügbarkeit wird durch redundante Infrastruktur, geprüfte Notfall- und Wiederanlaufpläne sowie konsequentes Kapazitätsmanagement gewährleistet. Die Vertraulichkeit der gehosteten Daten sichern wir durch strikte Zugangskontrollen, Netzwerksegmentierung und durchgängige Verschlüsselung. Die Integrität der Systeme wird durch kontrollierte Änderungsprozesse und lückenlose Protokollierung sichergestellt.
  2. Cybersicherheit – Schutz durch Kompetenz und Transparenz: Als Berater für Cybersicherheit messen wir uns an unseren eigenen Standards. Unsere Sicherheitsmaßnahmen sind nachvollziehbar dokumentiert, regelmäßig überprüft und orientieren sich am Stand der Technik. Wir identifizieren, bewerten und behandeln Risiken systematisch und stellen sicher, dass die Wirksamkeit unserer Maßnahmen – bezogen auf alle drei Schutzziele – regelmäßig evaluiert wird.
  3. IT-Consulting – Integrität und Vertraulichkeit durch Vertrauen: In der Beratung unserer Kunden gehen wir verantwortungsvoll mit vertraulichen Informationen um. Die Integrität und Korrektheit aller Informationen – von der Projektdokumentation bis zur Systemkonfiguration – ist für uns nicht verhandelbar. Wir stellen sicher, dass Informationen nur von befugten Personen verändert werden können, Änderungen nachvollziehbar bleiben und vertrauliche Kundendaten jederzeit geschützt sind.

Anwendungsbereich

Diese Politik gilt für alle Mitarbeitenden der Plexada GmbH, für alle Geschäftsprozesse – sowohl Kern- als auch Unterstützungsprozesse –, für alle informationsverarbeitenden Systeme sowie für die Zusammenarbeit mit Lieferanten, Dienstleistern und Partnern. Sie umfasst den Standort Holzwickede, das Rechenzentrum Dortmund-Huckarde sowie alle Remote-Arbeitsplätze.

Verantwortung und Verpflichtung

Die Gesamtverantwortung für die Informationssicherheit liegt bei der Geschäftsleitung, vertreten durch Bernd Kusnier und Jörg Winner. Die operative Steuerung des ISMS obliegt dem Informationssicherheitsbeauftragten (ISB), der direkt an die Geschäftsleitung berichtet.

Wir verpflichten uns:

  • zur Einhaltung aller anwendbaren gesetzlichen, vertraglichen und regulatorischen Anforderungen – einschließlich des Geschäftsgeheimnisgesetzes, der DSGVO und branchenspezifischer Vorgaben,
  • zur risikoorientieren Auswahl und Umsetzung von Schutzmaßnahmen auf Basis dokumentierter Bewertungskriterien,
  • zur regelmäßigen Überprüfung und messbaren Verbesserung unserer Sicherheitsprozesse,
  • zur Bereitstellung angemessener Ressourcen für Informationssicherheit,
  • zur Schulung und Sensibilisierung aller Mitarbeitenden

Kontinuierliche Verbesserung

Unser ISMS ist als kontinuierlicher Verbesserungsprozess (KVP) angelegt. Erkenntnisse aus internen und externen Audits, aus der Behandlung von Sicherheitsvorfällen und aus der Beobachtung der Bedrohungslage fließen systematisch in die Weiterentwicklung unserer Maßnahmen ein. Unsere ISO 27001-Zertifizierung verstehen wir nicht als Ziel, sondern als Rahmen für eine Sicherheitskultur, die mit unserem Unternehmen wächst.

Inkrafttreten

Diese Informationssicherheitspolitik tritt mit Freigabe durch die Geschäftsleitung in Kraft und wird mindestens jährlich im Rahmen der Managementbewertung auf ihre Angemessenheit und Wirksamkeit überprüft.

Stand: 24.03.2026