Qualitäts- und Informationssicherheitsrichtlinie
In Übereinstimmung mit den Abschnitten 5.2 der ISO/IEC 27001:2022 und der UNI EN ISO 9001:2015.
Das Managementsystem
Die Erbringung qualitativ hochwertiger Dienstleistungen sowie die Sicherheit und der Schutz des Informationsvermögens sind eine unverzichtbare Voraussetzung für die Erreichung der Geschäftsziele von AtWorkStudio S.r.l. Die Anforderungen an die Informationssicherheit stimmen mit den Zielen der Organisation überein, und das Qualitäts- und Informationssicherheitsmanagementsystem (QISMS) ist das Instrument, das die Identifizierung bewährter Praktiken für die ständige Verbesserung der Unternehmensqualität, den Informationsaustausch, die korrekte Durchführung von Vorgängen und die Reduzierung informationsbezogener Risiken auf ein akzeptables Niveau ermöglicht.
Anwendungsbereich
Die Durchführung der Geschäftstätigkeiten muss stets ein angemessenes Maß an Verfügbarkeit, Integrität und Vertraulichkeit der Informationen gewährleisten, durch die Einführung eines formalen QISMS im Einklang mit den von den Stakeholdern der AtWorkStudio S.r.l. erwarteten Anforderungen und unter Einhaltung der geltenden Vorschriften. Das System gilt für die Bereitstellung von Cloud-IT-Diensten, die laufende Verwaltung der IT-Infrastruktur der Kunden und die Erbringung von Internetdiensten.
Ziele
Die allgemeinen Ziele des QISMS, die mit dem Engagement der Geschäftsleitung verfolgt werden, bestehen darin, den Stakeholdern die Erbringung qualitativ hochwertiger Dienstleistungen nach definierten und auf kontinuierliche Verbesserung ausgerichteten Prozessen nachzuweisen, den Kunden die Fähigkeit zur regelmäßigen Bereitstellung sicherer Dienste bei gleichzeitiger Maximierung der Geschäftsziele zu demonstrieren, das Risiko von Datenverlust und -nichtverfügbarkeit der Kunden durch Planung und Steuerung der Aktivitäten zur Gewährleistung der Dienstkontinuität zu minimieren, eine kontinuierliche und angemessene Risikoanalyse durchzuführen, die ständig Schwachstellen und Bedrohungen untersucht, die geltenden Gesetze und Vorschriften, vertraglichen Anforderungen und Unternehmensverfahren einzuhalten, die Zusammenarbeit und das QISMS-Bewusstsein bei strategischen Lieferanten zu fördern und die Grundsätze und Kontrollen der ISO 9001, ISO/IEC 27001, ISO/IEC 27017 und ISO/IEC 27018:2025 sowie die Vorschriften zum Datenschutz und zur Sicherheit personenbezogener Daten (DSGVO) einzuhalten.
Sicherheit der Cloud-Dienste
Für die Implementierung und Bereitstellung von Cloud-Diensten verpflichtet sich die Geschäftsleitung gemäß ISO/IEC 27017, Sicherheitsanforderungen zu übernehmen, die die Risiken aus der Multi-Tenancy-Verwaltung, den Zugriff auf die Cloud-Assets der Kunden durch das Personal des Dienstleisters, die Kontrolle administrativer Zugänge, die Mitteilungen an die Kunden bei Infrastrukturänderungen, die Sicherheit der Virtualisierungssysteme, den Schutz der Kundendaten in der Cloud-Umgebung, die Verwaltung des Lebenszyklus der Cloud-Konten und die Kommunikation von Datenschutzverletzungen berücksichtigen.
Schutz personenbezogener Daten
Das Unternehmen ist zudem ständig bemüht, die personenbezogenen Daten der betroffenen Personen zu schützen, insbesondere die seiner Kunden. Gemäß ISO/IEC 27018:2025 und in Übereinstimmung mit der DSGVO handelt AtWorkStudio S.r.l. als Auftragsverarbeiter und erklärt diesen Status und die damit verbundenen Pflichten in den Verträgen mit den Kunden und in der Benennung der für die Verarbeitung eingesetzten Auftragsverarbeiter.
Einbeziehung und kontinuierliche Verbesserung
Das gesamte Unternehmen und seine Partner sind an der Meldung etwaiger Abweichungen von den erwarteten Ergebnissen hinsichtlich der Dienstleistungsqualität, der Meldung von Informationssicherheitsvorfällen und jeder im QISMS festgestellten Schwachstelle beteiligt und verpflichten sich, die Implementierung, die regelmäßige Überprüfung und die kontinuierliche Verbesserung des Systems zu unterstützen.
Verpflichtung der Geschäftsleitung
Die Unternehmensleitung verpflichtet sich, mit angemessenen Mitteln und Ressourcen die Ziele dieser Richtlinie zu verfolgen, mit dem übergeordneten Ziel der kontinuierlichen Verbesserung der Qualität ihrer Arbeit und der Informationssicherheit bei der Erbringung ihrer Dienstleistungen.