Qualität und Sicherheit

Ganzheitliches Qualitäts- und Informationssicherheitsmanagement

Qualität und Sicherheit sind für uns von herausragender Bedeutung. Weil uns Ihr Vertrauen wichtig ist und wir nach einem hohen Sicherheitsstandard streben, haben wir uns nach der DIN EN ISO/IEC 27001 zertifizieren lassen.


Zertifiziertes Managementsystem

Projektron verfügt über ein integriertes Managementsystem, das umfassende Qualitäts- und Informations­sicherheits­maßnahmen abdeckt. Seit 2008 betreiben wir ein Qualitätsmanagementsystem basierend auf ISO 9001, welches die gesamte Wertschöpfungskette und den Produktlebenszyklus abdeckt – von der Produktidee über die Entwicklung, Tests, Dokumentation bis hin zur Inbetriebnahme beim Kunden und dem Kundensupport. Im Jahr 2017 haben wir zusätzlich ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 implementiert.

Anfang 2018 erhielten wir die Zertifizierung nach ISO 27001 durch den TÜV SÜD und 2021 eine erneute Zertifizierung nach DIN EN ISO/IEC 27001:2017. Im Jahr 2024 wurde uns die Zertifizierung ISO/IEC 27001:2013 durch den TÜV Rheinland verliehen mit Geltungsbereich des Betriebs von Entwicklung, Support, IT-Dienstleistungen sowie der internen IT-Administration. Wir streben danach, ein exzellentes Unternehmen im Sinne des EFQM-Modells zu sein und planen die Zertifizierung nach ISO 9001.

Über alle Unternehmensbereiche hinweg gelten für uns die allgemeinen Ziele der Informationssicherheit:

  •  Vertraulichkeit
 
  •  Integrität 
 
  • Verfügbarkeit

Unsere Managementsysteme umfassen alle relevanten Bestimmungen und Richtlinien zu Datenschutz, Gesundheitsschutz, Umweltschutz, Arbeitsschutz und Brandschutz sowie zur Informationssicherheit. Das ISMS hat die Informationssicherheit organisatorisch im Unternehmen verankert und wichtige Prozesse wie das Risikomanagement etabliert.

Organisatorische Maßnahmen für Informationssicherheit

  •  

Mitarbeiterschulungen und Weiterbildungen

Alle Mitarbeiter werden regelmäßig zum Thema Informationssicherheit sensibilisiert und geschult. Diese Schulungen dienen der Auffrischung und Aktualisierung bei aktuellen Themen. Neue Mitarbeiter werden bereits während der Einarbeitung entsprechend geschult. Zusätzlich erhalten die Mitarbeiter bedarfsgerechte Weiterbildungen zur Sensibilisierung in Bezug auf Informationssicherheitsziele und -risiken.

  •  

Notfallmanagement und Systemaudits

Um auf Sicherheitsvorfälle zügig reagieren und mögliche Schäden begrenzen zu können, wurden Notfallversorgungskonzepte entwickelt und in Notfallhandbüchern festgehalten. Darüber hinaus werden jährliche Systemaudits durchgeführt, um eine strukturierte Sicherheitsbetrachtung aller IT-Services sicherzustellen. Der Fokus liegt dabei auf Risikobetrachtung, Zugriffsrechten und Verschlüsselung.

  •  

Datenschutz- und Informationssicherheitsmanagement

Projektron nutzt ein Datenschutzmanagementsystem (DSMS) gemäß der EU-Datenschutzgrundverordnung (EU DSGVO). Ein spezielles Team, bestehend aus ISMS-Beauftragten, arbeitet aktiv an der Informationssicherheit und den damit verbundenen Prozessen. Dieses Team kümmert sich fortlaufend um die Einhaltung der Sicherheitsziele. Zudem wurde ein Expertenteam im Unternehmen zusammengestellt, das sich mit aktuellen Themen der IT-Sicherheit und der Sicherheit in der Entwicklung auseinandersetzt.


Höchste Sicherheitsstandards – TISAX® Prüfverfahren durchlaufen

Die ENX Association unterstützt mit TISAX (Trusted Information Security Assessment Exchange) im Auftrag des VDA die gemeinsame Akzeptanz von Informationssicherheitsprüfungen in der Automobilindustrie. Die TISAX-Assessments werden von akkreditierten Prüfdienstleistern durchgeführt, die ihre Qualifikation in regelmäßigen Abständen nachweisen. TISAX und TISAX Prüfergebnisse sind nicht für die breite Öffentlichkeit bestimmt.

Für die Projektron GmbH haben Vertraulichkeit, Verfügbarkeit und Integrität von Informationen einen hohen Wert. Wir haben umfangreiche Maßnahmen zum Schutz von sensiblen und vertraulichen Informationen ergriffen. Deshalb folgen wir dem Fragekatalog der Informationssicherheit des Verbandes der Automobilindustrie (VDA ISA). Die Prüfung wurde von einem Prüfdienstleister, in diesem Fall dem TISAX-Prüfdienstleister TÜV SÜD Management Service GmbH durchgeführt. Das Ergebnis ist ausschließlich über das ENX Portal abrufbar.

Qualitätsmanagement

Die Kundenwünsche und Anforderungen zu Projektron BCS und unseren Dienstleistungen werden systematisch abgefragt und ausgewertet, sodass die Qualitätsansprüche unserer Kunden in der jeweilige Größe und Branche voll und ganz zu deren Zufriedenheit erfüllt sind. Die regelmäßige Erfassung und Analyse dient als Ansatzpunkt für die kontinuierliche Verbesserung unserer Produkte, Dienstleistungen und unserem Unternehmen als Ganzes. Damit entwickeln wir uns im Sinne einer lernenden Organisation laufend weiter.

IT-Administration

Auch unserer internen IT-Administration ist die Informationssicherheit ein wichtiges Anliegen. Wir orientieren uns zur Absicherung der Systeme am Stand der Technik und sichern diese fortwährend weiter ab.

Unsere Maßnahmen für die Absicherung unserer Systeme in der IT-Administration

Zentrale Softwareverteilung und Endpoint-Sicherheit

  •  

Zentrale Softwaredistribution

Auf den Betriebsrechnern wird benötigte Software zentral ausgespielt und auf dem neusten Stand gehalten.

 
  •  

Antivirus- und Antimalware-Software

Regelmäßig erfolgt eine Aktualisierung der ständig auf allen Endgeräten im Einsatz befindlichen Antivirus- und Antimalware-Programme.

  •  

Patch-Management

Regelmäßig werden Sicherheitsupdates und Patches für Betriebssysteme und Anwendungen eingespielt.

   
 

Netzwerk- und Perimetersicherheit

  •  

Redundante Netzwerktechnik

Internetleitung, Firewall und zentrale Switche sind redundant.

 
  •  

Firewalls

Zur Kontrolle des Datenverkehrs kommen Firewalls zum Einsatz.

  •  

Netzwerksegmentierung

Es erfolgt eine Trennung von Netzwerken in verschiedene Segmente, um den Zugriff auf kritische Systeme zu beschränken und die Ausbreitung von Angriffen zu verhindern.

 
  •  

VPN

Für mobiles Arbeiten stehen den Mitarbeitern VPN-Zugänge zur Verfügung. Die Nutzung von VPNs dient dem sicheren Fernzugriff auf interne Systeme.

 

Monitoring / Sicherheitsüberwachung

  •  
Interne Dienste werden permanent überwacht, um die Verfügbarkeit zu gewährleisten und bei Problemen schnell reagieren zu können.   
 

Zugangskontrollen und Authentifizierung

  •  

Least Privilege Principle

Die Gewährung von Zugriffsrechten erfolgt basierend auf dem Prinzip der minimalen Berechtigung, sodass Benutzer nur auf die Ressourcen zugreifen können, die sie tatsächlich benötigen.

 
  •  

Role-Based Access Control (RBAC)

Es wurden rollenbasierte Zugriffskontrollen implementiert, um den Zugang zu sensiblen Informationen zu beschränken.

 

Datenverschlüsselung und -sicherheit

  •  

Kryptografie

Die Empfehlungen der Technischen Richtlinien des BSI (BSI TR-02102) werden jährlich geprüft.

 
  •  

Interne Zertifizierungsstelle

Interne Dienste werden über eine eigene Zertifizierungsstelle verschlüsselt.

  •  

Verschlüsselung während der Übertragung

Verschlüsselungstechnologien kommen zum Einsatz, um Daten während der Übertragung zu schützen.

   
 

E-Mail-Sicherheit & Backups

  •  

E-Mail

Eingehender Mailverkehr wird überwacht und im Zweifelsfall zunächst in Quarantäne gestellt.

 
  •  

Backup & Wiederherstellung

Interne Dienste werden täglich gesichert und können schnell auf den Stand der letzten Sicherung wiederhergestellt werden. Der Wiederherstellungsprozess wird halbjährlich getestet.

 

Organisatorische Maßnahmen

  •  

Regelmäßige Schulungen

Wir führen Schulungen für IT-Mitarbeiter und Endbenutzer zu den neuesten Sicherheitsbedrohungen und Best Practices durch.

 
  •  

Security Awareness Programme

Wir führen kontinuierliche Programme zur Sensibilisierung der Mitarbeiter für Informationssicherheit durch.

  •  

Dokumentierte Sicherheitsrichtlinien

Sicherheitsrichtlinien und -verfahren werden erstellt, dokumentiert und regelmäßig aktualisiert.

 
  •  

Compliance

Wir stellen sicher, dass relevante gesetzliche und regulatorische Anforderungen sowie interne Sicherheitsrichtlinien eingehalten werden.

 

Prozessuale Maßnahmen

  •  

Incident Response und Notfallmanagement

Wir verfügen über Notfallpläne, die Maßnahmen zur Wiederherstellung der Systeme im Falle eines Vorfalls beinhalten. Zur Vorbereitung auf Sicherheitsvorfälle führen wir regelmäßig Übungen durch und überprüfen die Effektivität der Notfallpläne.

 
  •  

Risiko- und Schwachstellenmanagement

Regelmäßig führen wir Risikobewertungen durch, um potenzielle Bedrohungen zu identifizieren und zu bewerten. Zur Erkennung, Bewertung und Behebung von Schwachstellen in der IT-Infrastruktur implementierten wir einen Prozess.


Support

Für die technische Unterstützung unserer Kunden arbeiten wir mit dem hauseigenen Supportportal. Dabei achten wir stets auf die Qualität und vor allem die Sicherheit im Umgang mit Informationen.

Unsere Maßnahmen für die Sicherheit im Umgang mit Informationen im Support

Supportportal und Konfigurationsmanagement

  •  

Supportportal

Das Supportportal für Kunden dient dem sicheren Austausch von Informationen und dem Transfer von Daten. Die Kommunikation erfolgt über Tickets mit einer systeminternen Ablage für den Datenaustausch.

 
  •  

Konfigurationsversionierungsdienst (KVD)

Der Konfigurationsversionierungsdienst (KVD) ist ein zentraler Konfigurationsspeicher für Kunden und Projektron selbst. Die Konfigurationen werden dabei innerhalb eines SVN Repositorys verwaltet.

 

Authentifizierung und Zugriffskontrolle

  •  

Zugangsberechtigung

Die Ansprechpartner des Kunden verfügen über einen personalisierten Zugang auf das Supportportal.

 
  •  

Starke Authentifizierung

Für den Zugang zum Supportportal kommt eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz.

  •  

Rollenbasierte Zugriffskontrolle (RBAC)

Die Zuweisung von Zugriffsrechten erfolgt basierend auf den Rollen der Benutzer, um den Zugriff auf sensible Informationen zu beschränken.

 
  •  

Sichere Passwortrichtlinien

Wir haben Richtlinien für sichere Passwörter implementiert, einschließlich Mindestlänge, Komplexität und regelmäßiger Änderung.

 

Verschlüsselung und Datenschutz

  •  

Verschlüsselung

Zugriff auf das Supportportal ist nur über einen verschlüsselten Zugang möglich.

 
  •  

Datensparsamkeit

Es werden nur die zur Auftragsverarbeitung nötigen Kundendaten erhoben und im System gespeichert.

  •  

End-to-End-Verschlüsselung

Es wird sichergestellt, dass Daten während der gesamten Kommunikation über das Supportportal zwischen Kunden und Supportmitarbeitern verschlüsselt sind.

 
  •  

Datenschutzkonforme Prozesse

Es wurden Prozesse gemäß der Datenschutzgrundverordnung (DSGVO) und anderen relevanten Datenschutzgesetzen implementiert. Diese Prozesse werden konsequent eingehalten.

 

Mitarbeiterschulung und Sicherheitsinformationen

  •  

Sicherheitsinformationen für Kunden

Wir stellen sicherheitsrelevante Informationen für die Kunden regelmäßig innerhalb des Supportportals bereit.

 
  •  

Weiterbildung für unsere Mitarbeiter

Unsere Support-Mitarbeiter erhalten regelmäßig und bedarfsgerecht Weiterbildungen, die die Sicherheit der eingesetzten Software und Schnittstellen zu Drittsystemen betreffen, welche an Projektron BCS angebunden werden können.

  •  

Regelmäßige Schulungen

Supportmitarbeiter werden regelmäßig zu den Themen Informationssicherheit, Datenschutz und in der sicheren Handhabung von Kundendaten geschult und sensibilisiert.

 
  •  

Bewusstseinsprogramme

Wir führen kontinuierlich Programme zur Förderung des Sicherheitsbewusstseins und der Einhaltung von Sicherheitsrichtlinien durch.

 

Prozessuale Maßnahmen und Notfallmanagement

  •  

Protokollierung und Überwachung

Es erfolgt eine detaillierte Protokollierung aller Aktivitäten im Supportportal und eine regelmäßige Überprüfung der Logs auf verdächtige Aktivitäten.

 
  •  

Sicherheitsrichtlinien und -verfahren

Richtlinien und Verfahren zur Informationssicherheit im Supportportal werden konsequent durchgesetzt und fortlaufend angepasst. Zudem werden regelmäßig Sicherheitsüberprüfungen und Audits durchgeführt, um die Einhaltung der Sicherheitsstandards zu gewährleisten.

  •  

Incident Response und Notfallpläne

Wir befolgen einen klaren Prozesses zur Meldung, Analyse und Behebung von Sicherheitsvorfällen. Für den Fall eines Sicherheitsvorfalls bestehen Notfallpläne, die regelmäßig aktualisiert werden.

 
  •  

Kundendatenmanagement und -anonymisierung

Um den Schutz der Kundendaten zu erhöhen, anonymisieren oder pseudonymisieren wir Daten überall, wo es möglich ist.


Informationssicherheit in BCS-Entwicklung und -Hosting

Neben leistungsfähigen Geschäftsprozessen stellt eine sichere Softwareentwicklung den Kern für unser Unternehmen und unsere webbasierte Projektmanagementsoftware dar.

 

Maßnahmen zur Informationssicherheit in Produktentwicklung und Hosting

Mehr erfahren

Wenn Sie weitere Fragen zur Informationssicherheit bei der Projektron GmbH haben, zögern Sie nicht, uns zu kontaktieren. Wir lassen Ihnen gerne ein Dokument über unsere Maßnahmen zukommen.

E-Mail senden

Alle Referenzen Seitenanfang