Informationssicherheit

Informationssicherheit bei LeanMind

Die LeanMind GmbH betreibt ein Informationssicherheitsmanagementsystem (ISMS) nach dem Standard ISO 27001.

Anwendungsbereich / Scope

Der Anwendungsbereich des ISMS der LeanMind GmbH umfasst Entwicklung, Betrieb, Wartung und Vertrieb von Softwarelösungen sowie Beratung im Bereich Governance, Risk & Compliance (GRC).

Informationssicherheitsziele

Das ISMS ermöglicht und unterstützt die Bemühungen der LeanMind GmbH die eigenen Informationswerte und die eigene Infrastruktur zu schützen, sowie die Informationswerte unserer Kunden, die in unserer SaaS-Anwendung LENO enthalten sind. Die Geschäftsführung der LeanMind GmbH verpflichtet sich, ausreichende personelle und finanzielle Ressourcen bereit zu stellen, um das ISMS zu entwickeln, zu unterhalten und kontinuierlich zu verbessern.

Das grundsätzliche Ziel aller Anstrengungen im Bereich Informationssicherheit ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Informationswerte sicherzustellen:

  • Vertraulichkeit stellt sicher, dass Informationen nur dafür autorisierten Personen, Organisationen oder Prozessen offengelegt oder verfügbar gemacht werden (ISO 27000, 3.10)
  • Integrität stellt sicher, dass Informationen korrekt und vollständig sind (ISO 27000, 3.36)
  • Verfügbarkeit stellt sicher, dass Informationen für berechtigte Nutzer immer dann nutzbar sind, wenn sie benötigt werden (ISO 27000, 3.7)

Diese Informationssicherheitsziele sind für LeanMind als Betreiber der cloudbasierten Compliance-Lösung LENO geschäftskritisch:

  • Unternehmenskunden dokumentieren zum Beispiel Vertragsbeziehungen mit ihren Lieferanten in LENO. Der Inhalt dieser Verträge ist in der Regel vertraulich. Außerdem handelt es sich zum Teil um Daten mit Personenbezug. Diese müssen schon aufgrund geltender Rechtsvorschriften besonders geschützt und vertraulich behandelt werden.
  • Die Unternehmenskunden von LeanMind als Nutzer der Software LENO werden von Aufsichtsbehörden in ihrer jeweiligen Branche und Region überwacht. Sie müssen sich darauf verlassen können, dass Daten, die sie in LENO eingegeben haben, korrekt und vollständig gespeichert werden und nicht aufgrund von technischen Wartungsarbeiten oder einem fehlerhaften Berechtigungskonzept verändert, kompromittiert oder im schlimmsten Fall vernichtet werden.
  • Unternehmenskunden stellen hohe Erwartungen an die Verfügbarkeit ihrer Arbeitswerkzeuge wie zum Beispiel LENO. Nur so kann der Kunde bei sich effiziente Arbeitsprozesse implementieren und eine jederzeitige Auskunftsfähigkeit gegenüber Aufsichtsbehörden sicherstellen.

LeanMind hat diese übergeordneten Informationssicherheitsziele heruntergebrochen und darüber hinaus entsprechende KPI’s definiert. Diese werden regelmäßig gemessen und bewertet.

Maßnahmen zur Sicherstellung der Informationssicherheit

Die Maßnahmen zur Sicherstellung der Informationssicherheit sind im Statement of Applicability (SoA) dokumentiert. Dies ist ein internes Dokument, das wir externen Parteien nicht zur Verfügung stellen. Es bestehen keine Ausschlüsse von Maßnahmen aus dem Anhang A der ISO 27001.

Klassifizierung von Informationen

LeanMind klassifiziert Informationen nach einem dreistufigen Modell, um mit internen und externen Informationen einheitlich und verantwortungsvoll umzugehen. Jede Einstufung legt fest, wie Informationen behandelt, gespeichert und ggf. weitergegeben werden.

„Öffentlich / Public“
Diese Informationen sind frei zugänglich und dürfen ohne Einschränkungen geteilt werden.

„Intern / Internal“
Informationen, die nur für den internen Gebrauch vorgesehen sind. Sie werden sorgfältig behandelt und nur unter definierten Bedingungen extern weitergegeben.

„Vertraulich / Confidential“
Informationen mit besonderer Sensibilität. Sie unterliegen einem klar geregelten Umgang und werden nur gezielt und mit entsprechender Kennzeichnung weitergegeben.

So stellt LeanMind sicher, dass auch im Austausch mit externen Partnern stets nachvollziehbar ist, wie Informationen zu behandeln sind.

Verpflichtung der Leitung

Die Unternehmensleitung der LeanMind GmbH verpflichtet sich, Informationssicherheit bei allen unternehmerischen Entscheidungen zu berücksichtigen. Sie wird für die Implementierung und Aufrechterhaltung der Informationssicherheit ausreichend finanzielle und personelle Ressourcen zur Verfügung stellen. Die Unternehmensleitung wird weiterhin sicherstellen, dass das ISMS die gewünschten Ergebnisse erzielt.

Gemeinsam mit den anderen Führungskräften des Unternehmens wird die Geschäftsführung mit gutem Beispiel vorangehen und Informationssicherheit und Datenschutz in der eigenen Arbeit priorisieren. Alle Führungskräfte gemeinsam werden kontinuierlich für Datenschutz und Informationssicherheit werben und sensibilisieren.

Dennoch ist Informationssicherheit ein Teamsport, bei dem man nur gemeinsam erfolgreich sein kann. Deshalb tragen alle Mitarbeitenden bei, indem sie

  • in ihrem eigenen Arbeitsbereich die relevanten Richtlinien beachten und Kolleginnen und Kollegen an die Einhaltung erinnern
  • Informationssicherheitsereignisse und -vorfälle melden
  • Erkenntnisse über neue Bedrohungen mit dem Informationssicherheitsteam teilen
  • Vorschläge für die kontinuierliche Verbesserung unterbreiten und an der Umsetzung mitwirken

Konsequenzen / Maßregelprozess

Wir gehen davon aus, dass die Implementierung und der Betrieb eines ISMS ein kontinuierlicher unternehmensweiter Lernprozess ist. Dabei können Fehler passieren, die zu Sicherheitsereignissen oder -vorfällen führen. Insbesondere gehen wir davon aus, dass alle Beschäftigten der LeanMind sich bemühen, solche Fehler zu vermeiden. Dennoch auftretende Pannen müssen unverzüglich gemeldet werden. Sie werden behoben und bilden die Grundlage für gemeinsames Lernen. Sollten wir jedoch bemerken, dass Mitarbeitende vorsätzlich oder grob fahrlässig handeln, Richtlinien missachten und dadurch Vorfälle verursachen, werden wir von arbeitsrechtlichen Schritten Gebrauch machen.

Stand: 27.Mai 2025

United Governance, Risk & Compliance

UnternehmenKarriereBlog
Kontakt
Zu unserem Trust Center
© 2025 LeanMind. All rights reserved.
DatenschutzInformationssicherheitImpressum