Information Security Policy

Der Konzernvorstand von DHL Group verpflichtet sich in vollem Umfang, die Informationen von DHL Group sowie die unserer Kunden, Partner und Mitarbeiter angemessen zu schützen.

Als weltweit führender Logistikanbieter setzen wir Maßnahmen zur Informations- und Cybersicherheit um, unser Geschäft rund um den Globus schützen. Dabei sind wir bestrebt Unterbrechungen des Geschäftsbetriebs und damit verbundene Schäden zu vermeiden, sowie die anzuwendenden Gesetze und Vorschriften einzuhalten.

Die Sicherung und der Schutz von Informationen unterstützen das Ziel von DHL Group, „Anbieter erster Wahl“, „Investment erster Wahl“ und „Arbeitgeber erster Wahl“ zu sein. Dies ermöglicht es DHL Group, die Erwartungen unserer Kunden zu erfüllen, das Vertrauen unserer Investoren zu erhalten, das Wachstum in bestehenden und neuen Märkten zu fördern und die Informationen unserer Mitarbeiter vertraulich und sicher zu halten.

Der Konzernvorstand von DHL Group stellt sicher, dass Informationssicherheit konzernweit einheitlich gefördert, implementiert und gemanagt wird, indem er eine eigene Informationssicherheitsorganisation einrichtet, die Standards und unterstützende Prozesse definiert, welche konzernweit eingeführt und umgesetzt werden.

Innerhalb von DHL Group basiert die Informationssicherheit auf:

• Sicherstellung eines angemessenen Schutzniveaus durch Implementierung geeigneter Governance, Prozesse und Technologien nach einem risikobasierten Ansatz.
• Bezugnahme aller Aktivitäten der Informationssicherheit auf international anerkannte Verfahren und Standards.
• Förderung der kontinuierlichen Verbesserung der Informationssicherheitsaktivitäten unter Verwendung unserer First Choice-Methoden.
• Einbindung unserer Mitarbeiter als wesentlicher Teil unseres Schutzes.

Der Konzernvorstand von DHL Group hat beschlossen, dass die Informationssicherheit durch ein Informationssicherheits-Managementsystem geregelt wird, das im Information Security Target Model spezifiziert und dokumentiert ist und konzernweit umgesetzt wird.

Das Information Security Target Model liefert einen systematischen Ansatz für die Planung, Übernahme, Implementierung, Überwachung und Verbesserung von Aufgaben und Aktivitäten, die für den Schutz von Informationen erforderlich sind. Dies erfolgt unter Einbezug von Menschen, Prozessen und Informationssystemen sowie durch die Anwendung des Risikomanagementprozesses. Es behandelt folgende Komponenten:

1. Die Steuerung des Informationssicherheits-Managementsystems, um sicherzustellen, dass alle seine Aspekte konzernweit implementiert werden, um Anforderungen an die Informationssicherheit festzulegen und sicherzustellen, dass die Informationssicherheits-Organisation angemessen funktioniert.
2. Das Informationssicherheits-Risikomanagement zur Identifizierung, Bewertung und Reduktion von Risiken sowie Nutzung von Chancen anhand definierter Risikobewertungskriterien. Dies erfolgt mit eindeutig identifizierten Risikoeignern, die den Risikobehandlungsplan genehmigen und das Restrisiko akzeptieren.
3. Die Informationssicherheitsmessung und -berichterstattung zur Überwachung, Messung, Analyse und Bewertung der Effektivität des Informationssicherheits-Managementsystems. Um dem Management fundierte Entscheidungen zu ermöglichen, werden Metriken zur Verbesserung des Informationssicherheits-Managementsystems und der technologischen Umgebung verwendet.
4. Das Management von Informationssicherheits-Vorfällen zur Sicherstellung der effektiven Handhabung und Kommunikation von Informationssicherheits-Ereignissen und -Vorfällen. Dies dient der zeitnahen und möglichst störungsfreien Behebung, der erforderlichen Beweissicherung und der Verbesserung von Fähigkeiten, Prozesse und Technologien aus den gewonnenen Erkenntnissen.
5. Informationssicherheitsbewusstsein, Schulung, Training und Praxiserfahrung, um unsere Mitarbeiter in die Lage zu versetzen, Informationssicherheitsrisiken im besten Interesse von DHL Group richtig zu erkennen und zu behandeln.

Es gelten die folgenden Regeln zur Entscheidungs- und Durchführungsverantwortung:

Der Konzernvorstand von DHL Group gibt die freiwillige Selbstverpflichtung ab, dass das Information Security Target Model den Anforderungen der Internationalen Norm ISO/IEC 27001:2013 entspricht.

Die Informationssicherheit bei DHL Group zielt darauf ab, alle organisationseigenen Werte (nachfolgend immer als „Assets“ bezeichnet) von DHL Group vor informations- und cybersicherheitsbezogenen Bedrohungen zu schützen. Dazu gehören unter anderem Kundendaten, Finanzdaten und Mitarbeiterdaten, IT-Anwendungen, Speicher- und Datenverarbeitungsgeräte, Netzwerke und physische Assets.

Das Information Security Target Model ist für alle Mitarbeiter von DHL Group sowie für Lieferanten und Partner gültig und verbindlich. Seine Anforderungen müssen erfüllt oder übertroffen werden. Das Information Security Target Model richtet sich außerdem an Kunden, Investoren, Behörden und die Öffentlichkeit.

Diese Leitprinzipien definieren, wie das Informationssicherheits-Managementsystem eingerichtet, implementiert, aufrechterhalten und kontinuierlich verbessert wird.

Das für die Informationssicherheit direkt verantwortliche Management stellt sicher, dass Personal mit entsprechender Kompetenz und in der erforderlichen Anzahl vorhanden ist und bleibt.

Rollen und Verantwortlichkeiten für die Informationssicherheit sind identifiziert, definiert und etabliert.

Die Mitarbeiter von DHL Group müssen das Information Security Target Model kennen, wissen, wie sie das Informationssicherheits-Managementsystem unterstützen können und welche Konsequenzen es hat, wenn sie dessen Anforderungen nicht umsetzen. Dieses Bewusstsein und alle anderen Informationen, die für die erfolgreiche Implementierung des Informationssicherheits-Managementsystems relevant sind, müssen fortlaufend kommuniziert werden.

Lieferanten und Partner müssen angemessene und geeignete Informationssicherheitsmaßnahmen für die von ihnen gelieferten Produkte und/oder Dienstleistungen sicherstellen. Das erforderliche Niveau der Informationssicherheit wird durch eine Risikobewertung bestimmt, die von Mitgliedern der Informationssicherheitsorganisation beurteilt wird.

Die Effektivität und Effizienz von Aktivitäten der Informationssicherheit innerhalb und außerhalb des Informationssicherheits-Managementsystems werden mit Hilfe geeigneter Methoden und Technologien kontinuierlich gemessen und überwacht.

Bewertungen der Informationssicherheit, die die Effektivität und Effizienz messen, werden nach einem definierten Plan durchgeführt, der Umfang, Methodik, Häufigkeit und Ziel detailliert beschreibt.

Die Ergebnisse der Messungen und Überwachung werden von der Informationssicherheitsorganisation ordnungsgemäß analysiert und liefern dem Management Informationen, die zu Änderungen der Technik, Organisation und Verfahren führen können.

Die Effektivität und Effizienz des Informationssicherheits-Managementsystems, die Analyse und Bewertung des aktuellen Risikoniveaus und der Bedrohungslage sowie die Ergebnisse der Verbesserungs- und Minderungsmaßnahmen werden an das Corporate Board und das IT Board von DHL Group berichtet.

Informationen werden nach einem Risikobewertungsansatz klassifiziert und entsprechend ihrer Klassifizierung geschützt.

Risikomindernde Kontrollen werden zeitnah implementiert und überwacht, um ihre fortlaufende Funktionsfähigkeit sicherzustellen und um eine kontinuierliche Verbesserung zu unterstützen.

Informationen, die für das ordnungsgemäße Funktionieren des Informationssicherheits-Managementsystems erforderlich sind, werden gesammelt, zeitnah analysiert und darauf angemessen reagiert.

Änderungen am Informationssicherheits-Managementsystem und nachfolgender Dokumentation werden identifiziert und überwacht, um das erforderliche Niveau der Informationssicherheit zu gewährleisten. Diese Änderungen werden in einem Standardprozess erfasst, analysiert, geprüft, dokumentiert und von der entsprechenden Managementebene genehmigt.

Informationssicherheits-Ereignisse und -Vorfälle werden von Experten von DHL Group angemessen behandelt.

Dem Ansatz von DHL Group zur kontinuierlichen Verbesserung folgend, werden das Informationssicherheits-Managementsystem und die dazugehörige Dokumentation jährlich überprüft und bei Bedarf vom Information Security Committee aktualisiert.

Die Überprüfung berücksichtigt wesentliche Veränderungen im externen und internen Umfeld, die Strategie von DHL Group sowie die Ergebnisse relevanter Messungen und Überwachungen im gesamten Konzern DHL Group.