Leitlinie für Informationssicherheit

 Schematische Darstellung einer Leitlinie für Informationssicherheit

Informationssicherheit im Unternehmen ist Chefsache. Jedes Unternehmen sollte eine Sicherheitsleitlinie haben, die von der Geschäftsleitung herausgegeben wird und den Stellenwert der Informationssicherheit für alle Mitarbeiter sichtbar dokumentiert.
Wie wird die Sicherheitsleitlinie erarbeitet, und was gehört alles hinein?

Dieser Artikel gibt Ihnen dazu einige Hinweise.

Im Unternehmen muss das Thema Informationssicherheit kontinuierlich beobachtet und weiterentwickelt werden. Viele KMUs richten dazu die Funktion des IT-Sicherheitsbeauftragten ein.
Diese Person kümmert sich auch in erster Linie um die Sicherheitsleitlinie, natürlich in enger Abstimmung mit der Geschäftsleitung.

Dokumentenlenkung: Die Leitlinie wird von der Geschäftsleitung in schriftlicher Form herausgegeben. Sie ist allen Mitarbeitern leicht zugänglich. Alle Mitarbeiter sollten sich der Leitlinie verpflichtet fühlen. Da sich Prozesse und IT-Umgebungen mit der Zeit ändern, muss die Leitlinie regelmäßig überprüft und angepasst werden.

Geltungsbereich: Welche Gebäude, Räume und  IT-Systeme werden von der Leitlinie erfasst? Das kann das gesamte Unternehmen sein, oder aber Teilbereiche. Diese sollten dann von angemessener Größe und Bedeutung für das Unternehmen sein und gut abgrenzbar gegen die anderen Bereiche im Unternehmen.

Welche Fragen muss die Sicherheitsleitlinie klären? Dazu geben ich Ihnen eine Auswahl von Fragen mit Hinweisen.

Welches sind die wichtigsten Informationen und Geschäftsprozesse, die in der Leitlinie berücksichtigt werden?
Warum ist Informationssicherheit für diese Informationen und Geschäftsprozesse wichtig?
Welche Sicherheitsziele verfolgt das Unternehmen?
Welche Rahmenbedingungen müssen beachtet werden, z.B. in Form von gesetzlichen Vorgaben, Verträgen mit Kunden und Lieferanten.
Welches sind die größten Gefährdungen, denen die Informationen und Geschäftsprozesse ausgesetzt sind, z.B. durch Cyber-Kriminalität, Diebstahl von Knowhow, technische Störungen, menschliches Versagen?
Welcher Schaden kann durch Lücken in der Informationssicherheit für das Unternehmen und für die Mitarbeiter entstehen?
Welche Personen sind in der Organisation für Informationssicherheit und die für Umsetzung der Leitlinie verantwortlich?
Wie sieht das Sicherheitskonzept des Unternehmens aus, damit die Sicherheitsziele erreicht werden können, z.B. bei der Datensicherung, bei der Administration von Arbeitsplätzen, bei der Vergabe von Berechtigungen, bei der Nutzung von Cloud-Diensten, bei der Aufdeckung und der Aufarbeitung von Sicherheitsvorfällen?
Wie werden alle Mitarbeiter in das Konzept eingebunden, z.B. durch regelmäßige Sensibilisierungsmaßnahmen, Mitwirkung im eigenen Aufgabenbereich und technische Schulungen?
Wie wird der Erfolg des Sicherheitskonzepts von der Geschäftsleitung gemessen und wie werden Verbesserungen gesteuert?

Die Sicherheitsleitlinie sollte kurz und bündig formuliert sein und weniger als 20 Seiten umfassen. Dabei ist weniger ist oft „mehr“.

Wenn dieser Artikel Ihr Interesse geweckt hat, kontaktieren Sie mich. Ihr Feedback ist wichtig. Gerne stelle ich Ihnen mein Portfolio „IT-Sicherheit als Dienstleistung“ vor. Im Rahmen von Workshops vermittle ich Ihnen die Methodik, wie Sie ein angemessenes Niveau der Informationssicherheit in Ihrem Unternehmen erreichen können.

 

Zurück