03300 Informationssicherheitsleitlinie
Die Informationssicherheitsleitlinie (auch IT-Security Policy oder Information Security Policy genannt) ist eine Erklärung der Leitung zu den Zielen, Grundsätzen, Schwerpunkten und Verantwortlichkeiten der Informationssicherheit in einem Unternehmen, einer Behörde oder einer sonstigen Organisation anderer Rechtsform. Die Erklärung kann zudem auch als Maßstab für die Beurteilung der Vollständigkeit, Wirksamkeit und Angemessenheit eines Informationssicherheitsmanagementsystems (ISMS) angewendet werden. Eine Informationssicherheitsleitlinie kann als eigenständiges Dokument (z. B. in gedruckter Form oder im Intranet publiziert) bestehen oder z. B. Bestandteil des Informationssicherheitshandbuchs oder eines integrierten Managementhandbuchs sein. Der Beitrag beschreibt, welche wesentlichen Elemente eine Informationssicherheitsleitlinie enthalten sollte und wie man diese erarbeitet. Für typische Elemente werden Beispiele und Empfehlungen angegeben. Arbeitshilfen: von: |
1 Einleitung und Überblick
Statement der Leitung
Ein wesentlicher Bestandteil der Dokumentation eines Informationssicherheitsmanagementsystems ist die Erklärung der Leitung eines Unternehmens, einer Behörde oder einer sonstigen Organisation (alle zusammen im Folgenden nur kurz als Organisation bezeichnet) zu den Zielen, Grundsätzen, Verantwortlichkeiten und Kontrollmechanismen der Informationssicherheit.
Ein wesentlicher Bestandteil der Dokumentation eines Informationssicherheitsmanagementsystems ist die Erklärung der Leitung eines Unternehmens, einer Behörde oder einer sonstigen Organisation (alle zusammen im Folgenden nur kurz als Organisation bezeichnet) zu den Zielen, Grundsätzen, Verantwortlichkeiten und Kontrollmechanismen der Informationssicherheit.
Übergeordnet und längerfristig gültig
Eine solche Erklärung sollte unabhängig von aktuellen und sich ggf. kurzfristig wandelnden organisatorischen, infrastrukturellen und informationstechnischen Gegebenheiten sein und einen Maßstab sowie eine mittelfristige Orientierung für die Organisation darstellen. Eine derartige Erklärung, die als Informationssicherheitsleitlinie bezeichnet wird, kann ein eigenständiges Dokument sein oder in ein anderes Dokument des ISMS integriert werden. Die Leitlinie wird häufig auch als IT-Security Policy oder Information Security Policy bezeichnet.
Eine solche Erklärung sollte unabhängig von aktuellen und sich ggf. kurzfristig wandelnden organisatorischen, infrastrukturellen und informationstechnischen Gegebenheiten sein und einen Maßstab sowie eine mittelfristige Orientierung für die Organisation darstellen. Eine derartige Erklärung, die als Informationssicherheitsleitlinie bezeichnet wird, kann ein eigenständiges Dokument sein oder in ein anderes Dokument des ISMS integriert werden. Die Leitlinie wird häufig auch als IT-Security Policy oder Information Security Policy bezeichnet.
Botschaft und Leitbild
Als Leitbild für den Aufbau und den Betrieb eines ISMS ist eine Informationssicherheitsleitlinie eine wichtige Botschaft an alle Beschäftigten einer Organisation hin zu einem proaktiven Sicherheitsbewusstsein.
Als Leitbild für den Aufbau und den Betrieb eines ISMS ist eine Informationssicherheitsleitlinie eine wichtige Botschaft an alle Beschäftigten einer Organisation hin zu einem proaktiven Sicherheitsbewusstsein.
Innen- und Außenwirkung
Sie kann auch eine wichtige Botschaft an den Markt – Kunden und Lieferanten – sein: „Rechnen Sie mit unserer Sicherheit”. Welche Festlegungen und Randbedingungen in einer Informationssicherheitsleitlinie enthalten sein sollten, wird im Folgenden ausgeführt. Eine Checkliste am Ende des Beitrags kann zur Erarbeitung einer organisationsspezifischen Informationssicherheitsleitlinie verwendet werden.
Sie kann auch eine wichtige Botschaft an den Markt – Kunden und Lieferanten – sein: „Rechnen Sie mit unserer Sicherheit”. Welche Festlegungen und Randbedingungen in einer Informationssicherheitsleitlinie enthalten sein sollten, wird im Folgenden ausgeführt. Eine Checkliste am Ende des Beitrags kann zur Erarbeitung einer organisationsspezifischen Informationssicherheitsleitlinie verwendet werden.
2 Aufbau der Informationssicherheitsdokumentation
Dokumentenhierarchie
In der Hierarchie einer typischen Dokumentation eines ISMS ordnet sich eine Informationssicherheitsleitlinie ganz oben an (s. Abbildung 1).
Abb. 1: Dokumentationsstruktur eines ISMS
Ebene 1In der Hierarchie einer typischen Dokumentation eines ISMS ordnet sich eine Informationssicherheitsleitlinie ganz oben an (s. Abbildung 1).
Informationssicherheitsleitlinie
Dies ist das Top-Level-Dokument des ISMS im oben beschriebenen Sinne.
Ebene 2Sicherheitsrichtlinien
In Detaillierung der Informationssicherheitsleitlinie finden sich in der zweiten Ebene spezielle Richtlinien bzw. Policies zu Themen wie z. B.
• | Anforderungen an Serverräume, |
• | Anforderungen an den Aufbau und den Betrieb von Firewall-Systemen, |
• | Anforderungen an die und Aufgaben der Informationssicherheit, |
• | Anforderungen an Verträge mit IT-Dienstleistern und |
• | Anforderungen an Remote-Zugänge. |
Sicherheitskonzepte
In der dritten Ebene sind die Sicherheitskonzepte für die einzelnen Elemente des ISMS ausgewiesen, wie z. B.
• | Zugang zu den Internet-Diensten, |
• | Virenschutz auf Server und Client, |
• | Verschlüsselung von E-Mail-Anhängen mit vertraulichen Daten und |
• | VPN-Zugang für Home-Offices und Vertriebsbüros. |
Dokumentation der Maßnahmen
In der vierten Ebene wird das implementierte ISMS dokumentiert. Dies kann z. B. in Form eines kompakten Informationssicherheitshandbuchs für die IT-Anwendung und IT-Betreuung und ergänzende technische Dokumente erfolgen.