Telekommunikationsdienstleistungen werden immer komplexer und hängen deshalb stark von hoch entwickelten technischen Infrastrukturen ab. Software- und Hardwaredefekte, menschliches Versagen, Viren und Hackerangriffe können die Service-Qualität beeinträchtigen oder im schlimmsten Fall zu Systemausfällen führen. Die ISO-27001-Zertifizierung des Informationssicherheits-Managementsystems (ISMS) von Sunrise stellt zusammen mit dem Geschäftskontinuitäts-Management (BCM) des Unternehmens sicher, dass die Sunrise Dienstleistungen den höchsten Standards und damit den Bedürfnissen der Kunden entsprechen.
Die ISO-27001-Zertifizierung wurde durch eine externe Prüfungsstelle bestätigt und gewährleistet höchste Qualitätsstandards innerhalb des Unternehmens. Dies betrifft die personalbezogenen und operationellen Prozesse in allen Standorten, den Umgang mit Kundendaten und Kundennachrichten sowie die technische Infrastruktur und die Dienstleistungen zur Verarbeitung, Speicherung und Übermittlung von Kundendaten und Kundennachrichten. Die Zertifizierung umfasst die Daten sowohl von Privat- als auch von Geschäftskunden.
Ein aktiv gepflegtes Informationssicherheits-Managementsystem (ISMS) ist eine der wesentlichen Voraussetzungen, dass Informationssicherheit effektiv und effizient bewirtschaftet werden kann. Unser ISMS definiert Regeln und Methoden, damit die Informationssicherheit gewährleistet werden kann. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung, d.h. vom Audit-Committee als Ausschuss des Verwaltungsrates, via die Geschäftsleitung und das ISMS-Steering Board, geleitet durch den Information Security Officer, bis zu den Mitarbeitern. Insbesondere wird die Maturität über eine regelmässig aktualisierte Risikoabschätzung evaluiert. Der Status des ISMS wird quartalsweise im Ausschuss des Verwaltungsrates (Audit-Committee) präsentiert. Internal Audit auditiert regelmässig Bereiche, um deren Einhaltung der Vorgaben zu kontrollieren. Das ISMS-Steering Board, wo sämtlich Geschäftsbereiche vertreten sind, wird regelmässig und mehrmals jährlich abgehalten.
Für die Umsetzung adäquater Massnahmen hat Sunrise Sicherheitsvorgaben erarbeitet, welche als «Policies», «Procedures» und «Guidelines» bezeichnent werden. Unsere Informationssicherheits-Policies berücksichtigen auch die Vorgaben des Datenschutzes. Die Informationssicherheit und der Datenschutz haben eine sehr grosse Schnittmenge und dort wo die Anforderungen des Datenschutzes nicht berücksichtigt sind, regelt eine explizite Datenschutz Policy die weiteren spezifischen Aspekte, basierend auf den Prinzipien wie Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Integrität, Vertraulichkeit und Verantwortlichkeit. Sunrise informiert transparent über den Umgang mit den erhaltenen Personendaten (Datenschutzerklärung ).Die Einhaltung der Informationssicherheit und des Datenschutzes, insbesondere auch der Umgang mit sensitiven Daten, wozu auch die personenbezogenen Daten im Sinne des Datenschutzes gehören, ist eine dynamische Angelegenheit. Deshalb sehen wir eine stetige Verbesserung mit Hilfe eines vierphasigen Prozesses (Deming Circle: Plan, Do, Check, Act) vor.
Damit sich alle Mitarbeiter auf dem Laufenden halten können, führt Sunrise ein jährliches, obligatorisches Awareness-eLearning durch. Dieses umfasst sowohl die Informationssicherheit als auch den Datenschutz. Nach Bedarf und Stufe werden regelmässig weitere Awareness-Aktionen durchgeführt. Die Mitarbeitenden sind weiter aufgefordert, aktiv mitzuhelfen, um Security- und Datenschutzvorfälle zu melden; entsprechende Möglichkeiten dafür stehen zur Verfügung. Wenn dies in anonymer Form gemacht werden soll, dann kann dies auch über das Whistleblowing-Portal erfolgen . Bezüglich Vorfälle hat Sunrise einen sogenannten Vorfallsprozess etabliert, und zwar als Teil der ISMS Policies. Datenpannen im Sinne des Datenschutzes sind entsprechend integriert. Im Firmenlebenszyklus der Daten lauten die Schwerpunktthemen Zugang zu Daten (v.a. Identifizierung und Authentifizierung), Lebensdauer von Daten (v.a. Pseudonymisierung, Datensicherung, Datenvernichtung), Datenübermittlung (v.a. gesicherte Übertragung, Verschlüsselung) und Auskunftsrecht (v.a. Informationsrechte, Datenrichtigstellung). Diese Themen sind Bestandteile der vorhandenen Sunrise Policies, so dass sichergestellt werden kann, sensitive Daten bis zur deren Löschung zu verfolgen.
Angesichts der wachsenden Herausforderungen im Bereich Cybersicherheit hat Sunrise ihr Sicherheitsdispositiv in einem Security Operation Center (SOC) zentralisiert, um die Unternehmens- und Kundendaten noch effektiver, effizienter und mit der notwendigen strategischen Priorität zu schützen.
In der heutigen vernetzten Welt ist Cybersicherheit immer ein Thema. Cyberrisiken können nie restlos verhindert werden. Ein Verstoss gegen die Sicherheits- und Datenschutzvorgaben kann ebenfalls nicht ausgeschlossen werden. Dies kann zu Schäden und Reputationsverlust führen, weshalb Sunrise auch eine angepasste Cyberversicherung abgeschlossen hat.