-- WEBONDISK OK --

03300 Informationssicherheitsleitlinie

Die Informationssicherheitsleitlinie (auch IT-Security Policy oder Information Security Policy genannt) ist eine Erklärung der Leitung zu den Zielen, Grundsätzen, Schwerpunkten und Verantwortlichkeiten der Informationssicherheit in einem Unternehmen, einer Behörde oder einer sonstigen Organisation anderer Rechtsform. Die Erklärung kann zudem auch als Maßstab für die Beurteilung der Vollständigkeit, Wirksamkeit und Angemessenheit eines Informationssicherheitsmanagementsystems (ISMS) angewendet werden. Eine Informationssicherheitsleitlinie kann als eigenständiges Dokument (z. B. in gedruckter Form oder im Intranet publiziert) bestehen oder z. B. Bestandteil des Informationssicherheitshandbuchs oder eines integrierten Managementhandbuchs sein. Der Beitrag beschreibt, welche wesentlichen Elemente eine Informationssicherheitsleitlinie enthalten sollte und wie man diese erarbeitet. Für typische Elemente werden Beispiele und Empfehlungen angegeben.
Arbeitshilfen:
von:

1 Einleitung und Überblick

Statement der Leitung
Ein wesentlicher Bestandteil der Dokumentation eines Informationssicherheitsmanagementsystems ist die Erklärung der Leitung eines Unternehmens, einer Behörde oder einer sonstigen Organisation (alle zusammen im Folgenden nur kurz als Organisation bezeichnet) zu den Zielen, Grundsätzen, Verantwortlichkeiten und Kontrollmechanismen der Informationssicherheit.
Übergeordnet und längerfristig gültig
Eine solche Erklärung sollte unabhängig von aktuellen und sich ggf. kurzfristig wandelnden organisatorischen, infrastrukturellen und informationstechnischen Gegebenheiten sein und einen Maßstab sowie eine mittelfristige Orientierung für die Organisation darstellen. Eine derartige Erklärung, die als Informationssicherheitsleitlinie bezeichnet wird, kann ein eigenständiges Dokument sein oder in ein anderes Dokument des ISMS integriert werden. Die Leitlinie wird häufig auch als IT-Security Policy oder Information Security Policy bezeichnet.
Botschaft und Leitbild
Als Leitbild für den Aufbau und den Betrieb eines ISMS ist eine Informationssicherheitsleitlinie eine wichtige Botschaft an alle Beschäftigten einer Organisation hin zu einem proaktiven Sicherheitsbewusstsein.
Innen- und Außenwirkung
Sie kann auch eine wichtige Botschaft an den Markt – Kunden und Lieferanten – sein: „Rechnen Sie mit unserer Sicherheit”. Welche Festlegungen und Randbedingungen in einer Informationssicherheitsleitlinie enthalten sein sollten, wird im Folgenden ausgeführt. Eine Checkliste am Ende des Beitrags kann zur Erarbeitung einer organisationsspezifischen Informationssicherheitsleitlinie verwendet werden.

2 Aufbau der Informationssicherheitsdokumentation

Dokumentenhierarchie
In der Hierarchie einer typischen Dokumentation eines ISMS ordnet sich eine Informationssicherheitsleitlinie ganz oben an (s. Abbildung 1).
Abb. 1: Dokumentationsstruktur eines ISMS Ebene 1
Informationssicherheitsleitlinie
Dies ist das Top-Level-Dokument des ISMS im oben beschriebenen Sinne.
Ebene 2
Sicherheitsrichtlinien
In Detaillierung der Informationssicherheitsleitlinie finden sich in der zweiten Ebene spezielle Richtlinien bzw. Policies zu Themen wie z. B.
Anforderungen an Serverräume,
Anforderungen an den Aufbau und den Betrieb von Firewall-Systemen,
Anforderungen an die und Aufgaben der Informationssicherheit,
Anforderungen an Verträge mit IT-Dienstleistern und
Anforderungen an Remote-Zugänge.
Ebene 3
Sicherheitskonzepte
In der dritten Ebene sind die Sicherheitskonzepte für die einzelnen Elemente des ISMS ausgewiesen, wie z. B.
Zugang zu den Internet-Diensten,
Virenschutz auf Server und Client,
Verschlüsselung von E-Mail-Anhängen mit vertraulichen Daten und
VPN-Zugang für Home-Offices und Vertriebsbüros.
Ebene 4
Dokumentation der Maßnahmen
In der vierten Ebene wird das implementierte ISMS dokumentiert. Dies kann z. B. in Form eines kompakten Informationssicherheitshandbuchs für die IT-Anwendung und IT-Betreuung und ergänzende technische Dokumente erfolgen.

3 Inhalte der Leitlinie

Welche Inhalte und Aussagen eine Informationssicherheitsleitlinie haben sollte, wird in diesem Abschnitt am Beispiel typisierter Ausführungen erläutert.

Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
  • Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal