• Facebook
  • Xing
  • LinkedIn
  • Youtube
  • Mail
  • Blog
  • Presse
  • Kontakt
SAVISCON GmbH
  • SOFTWARE-LÖSUNGEN
    • GRC-COCKPIT
      • Datenschutz-Management Software
      • Hinweisgebersystem
    • BRIEF-ASSISTENT
  • BERATUNG
    • Customer Communication Management
    • Datenschutz-Management-System aufsetzen
    • Externer Datenschutzbeauftragter
  • UNSERE THEMEN
    • GRC-Management
      • Risiko-Management
      • Compliance-Management
      • Datenschutz-Management
      • IT-Sicherheit
        • Schutzbedarfsanalyse
    • Enterprise Content Management
      • Customer Communication Management
      • Dokumentenmanagement
  • SERVICE
    • Whitepaper
    • Webinare
      • Live: Digitales Hinweisgebersystem
      • IT-Grundschutz (BSI | Recplast GmbH)
      • Digitales Hinweisgebersystem
      • Lieferkettengesetz digital umsetzen
    • Newsletter
  • ÜBER UNS
    • Über SAVISCON
    • SAVISCON-Team
    • Code of Conduct
    • Unsere Partner
    • Referenzen
    • Jobs
  • Kostenfreie Erstberatung
  • Menü Menü
Sinnbild Ordner mit vielen Dokumenten

3 Tipps für Ihre Informationssicherheits-Leitlinie

August 5, 2021/in GRC@SAVISCON, Informationssicherheit, IT-Sicherheit/von Daniel Straßberger

Was muss rein in die IS-Leitlinie?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?

Die Informationssicherheits-Leitlinie

Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.

Was gehört in die IS-Leitlinie?

Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:

Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.

Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.

Screenshot Sicherheitsziele der SAVISCON IS-Richtlinie.

So sieht der Abschnitt in der SAVISCON IS-Leitlinie aus.

Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.

Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.

Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.

Erstellen der Leitlinie

Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.

Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.

Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.

Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.

Fazit

Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

https://saviscon.de/wp-content/uploads/isms-dokumente-scaled.jpg 1707 2560 Daniel Straßberger https://saviscon.de/wp-content/uploads/2020/05/saviscon-logo-300x125.jpg Daniel Straßberger2021-08-05 11:53:552022-07-20 14:03:343 Tipps für Ihre Informationssicherheits-Leitlinie
Das könnte Dich auch interessieren
Screenshot vom Health Check im SAVISCON GRC-COCKPIT.SAVISCON GmbH Praxis-Tipps: Hinweisgeberschutzgesetz digital abbilden
Sinnbild für wesentliche Risiken in einem KMUMichael Shannon (Unsplash) Wesentliche Risiken für kleine und mittelständische Unternehmen
Sinnbild: Mann im Anzug zeigt auf Schrift "Audit" Wie läuft eine Zertifizierung nach ISO 27001 ab?
Porträtfoto Karin Slezer GoBD – was hat sich geändert?
Geschäftsführer Ingo Simon und Team im SAVISCON BüroElfriede Liebenow Practice what you preach: GRC@SAVISCON
Geschäftsführer Ingo Simon und Team im SAVISCON BüroElfriede Liebenow GRC@SAVISCON: Datenschutz

Kommentieren:

Termin bei Christoph Müller vereinbaren
SAVISCON Logo Digitale Zukunft

KONTAKT

Telefon: +49 40 80 90 81 446

Telefax: +49 40 80 90 81 447 

E-Mail: info@saviscon.de

SAVISCON ISO 27001 Zertifizierung

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel

Impressum | Datenschutzerklärung | Gender-Hinweis | Kontakt

Nach oben scrollen
  • Termin buchen
  • Kontakt aufnehmen
  • Newsletter abonnieren
  • Downloads
Ihre Cookie Einstellungen
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Mit einem Klick auf „Zustimmen“ akzeptieren Sie alle Cookies und somit die Verarbeitung und auch die Weitergabe Ihrer anonymisierten Daten an Drittanbieter. Wir nutzen Statistik-Daten, um redaktionelle Inhalte an die Vorlieben unserer Webseitenbesucher anzupassen und ihnen interessante Inhalte zu bieten.

Weitere Informationen, auch zur Datenverarbeitung durch Drittanbieter, finden Sie unter Einstellungen. Ihre Entscheidung können Sie jederzeit über den Link in unserer Datenschutzerklärung anpassen. Klicken Sie auf ablehnen, um alle Cookies (bis auf die technisch notwendigen) abzulehnen.
Verwalten Sie Ihre Cookie Einstellungen

Um Ihnen ein optimales Webseiten-Erlebnis zu bieten, setzen wir Cookies ein. Das sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Dazu zählen sowohl Cookies für den Betrieb und die Optimierung der Seite als auch für Services, wie z.B. die Anzeige von Aktienkursen oder Google Maps sowie an Ihrem Online-Nutzungsverhalten orientierte Inhalte. So kann z.B. erkannt werden, wenn Sie unsere Seite vom selben Gerät aus wiederholt besuchen. Wir möchten Ihnen die Wahl geben, welche Cookies Sie zulassen.

Erforderliche Cookies

Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können.

Analytische Cookies

Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.

Mehr erfahren Weniger erfahren
Zurück
Impressum Datenschutz