start portlet menu bar end portlet menu bar

HCLSoftware ist ein Geschäftsbereich von HCL Technologies, der ein Portfolio der nächsten Generation an softwarebasierten unternehmensgerechten Angeboten mit flexiblen Nutzungsmodellen entwickelt und bereitstellt, das traditionelle On-Premise-Software, Cloud-basierte PaaS, SaaS und gebündelte Managed Services umfasst.

HCLSoftware verpflichtet sich, kritische Informationsbestände durch die Implementierung und Wartung eines Informationssicherheitsmanagementsystems (ISMS) zu schützen, um sicherzustellen, dass die geltenden Informationssicherheitsziele erreicht werden und das ISMS in der Lage ist, sich an interne und externe Änderungen anzupassen.

Ziel des ISMS ist es, die Informationsbestände von HCLSoftware und seinen Kunden vor internen oder externen, absichtlichen oder versehentlichen Bedrohungen zu schützen.

Die Ziele der Informationssicherheit sind:


  • die Wahrung der Vertraulichkeit der Informationen, sodass nur autorisierte Personen Zugriff haben.
  • die Gewährleistung der Integrität der Informationen.
  • bei der Verfügbarkeit von Informationen dafür Sorge zu tragen, dass nur autorisierte Personen jederzeit auf die Informationen, Assets und Systeme zugreifen können.

Die HCL-Software entspricht ISO/IEC 27001:2022 als Basissicherheitsstandard und erstreckt sich auf andere Sicherheitsstandards, wie z. B. ISO 27017, ISO 27018, SOC 2 Typ II, PCI und HIPAA.

HCL-Software verfügt über eine etablierte Informationssicherheits-Governance-Struktur zur effektiven und effizienten Verwaltung des ISMS, was Folgendes mit einschließt:


  • die Identifizierung der Informationsbestände.
  • Risikomanagement auf einem akzeptablen Niveau durch die Konzeption, Implementierung und Pflege von Risikobehandlungsplänen.
  • die Mitteilung der Ziele für die Informationssicherheit und des Leistungsstands beim Erreichen dieser Ziele.
  • die Entwicklung von Programmen zur Bildung eines Sicherheitsbewusstseins und gegebenenfalls von Schulungen.
  • die Einhaltung lokaler Gesetze und Vorschriften sowie vertraglicher Verpflichtungen, die für die Informationssicherheit relevant sind.

Diese Informationssicherheitsrichtlinie wird von spezifischen internen Richtlinien in den folgenden Aspekten des Sicherheitsmanagements unterstützt:


  • Risikomanagement – Risiken werden in einem Standardlebenszyklus verwaltet, wobei der Status in regelmäßigen Abständen der Geschäftsleitung gemeldet wird.
  • Personal – Umfasst Kontrollen in Bezug auf Unternehmenskultur, obligatorische jährliche Schulungen, Kommunikation, den Leistungsbewertungs- und Kündigungsprozess.
  • Physische Sicherheit und Umgebungssicherheit – Umfasst Gebäudesicherheit sowie sichere Schutzmechanismen für interne Büros, Infrastruktur, Rechenzentren/Serverräume.
  • Lieferantenmanagement – Umfasst Risikobeurteilung zu Lieferanten und formelle Vereinbarungen mit Einzelheiten zu den SLAs, die für das gelieferte Produkt oder die gelieferte Dienstleistung erforderlich sind.
  • Business Continuity Management - Enthält Details zur Unterstützung von Backup, Wiederherstellung und Aufrechterhaltung des Betriebs.
  • Interne Audits und Compliance – Ein dediziertes Team zur Verwaltung der internen Audits und Compliance-Verwaltung.
  • Asset Management – Ein formell verwaltetes Register für alle Assets in HCLSoftware-Umgebungen. Jedes Asset hat eine strukturierte Gruppe von Attributen als Definition.
  • Zugriffssteuerung - Umfasst die Definition eindeutiger Benutzer-IDs und formaler Passwortkontrollen.
  • Kryptographie – Verschlüsselungsstandards werden angewendet.
  • Kommunikationskontrollen [Netzwerke und Firewalls] – Enthält Details zu den festgelegten Schutzstufen und den eingeschränkten Kontrollen für solche wichtigen Ressourcen.
  • Systemakquisition, -entwicklung und -wartung – Die Systemakquisition, -entwicklung und -wartung von Produkten und Umgebungen wird gemäß der Richtlinie verwaltet.
  • Vorfallmanagement zur Informationssicherheit – Sicherheitsvorfälle werden in einem strukturierten Lebenszyklus erfasst und verwaltet.
  • Standard für Sicherheitsbereitschaft, Bereitstellung und Entziehung – Für alle Geräte, die für die Infrastruktur bereitgestellt oder von ihr entfernt werden, ist ein Mindestsicherheitsstandard vorhanden.
  • Patch-Management – Patches werden in einem Zeitrahmen basierend auf dem Schweregrad der Sicherheitsanfälligkeit eingespielt.
  • Sicherheitsüberwachung und -protokollierung – Protokolle werden vom speziellen SOC-Team (Security Operation Center) erfasst und überprüft, um Warnungen vor unbefugten Aktivitäten zu identifizieren.
  • Schwachstellen-Scanning/Penetrationstests – Unabhängige Penetrationstests werden mindestens einmal pro Jahr durchgeführt.
  • Zustandsüberprüfung von Umgebungen/Geräten – Diese basiert auf den CIS-Benchmark-Kontrollen.