3 Tipps für Ihre Informationssicherheits-Leitlinie
Was muss rein in die IS-Leitlinie?
von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH
Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert vor allem eines: viele Dokumente. Prozesse müssen ausgearbeitet und Verfahrensregeln sowie Richtlinien müssen erstellt werden. Der Satz „Die Organisation muss dokumentierte Informationen […] aufbewahren“ ist auf jeder Seite der DIN ISO 27001 Norm mehrfach zu finden. Das mit Abstand wichtigste Dokument ist dabei die Informationssicherheits-Leitlinie, in der ISO etwas befremdlich mit Informationssicherheits-Politik definiert. Im Folgenden möchte ich den Prozess zum Erstellen unserer SAVISCON IS-Leitlinie erläutern. Was muss in einer solchen Leitlinie enthalten sein und welche Besonderheiten sind zu beachten?
Die Informationssicherheits-Leitlinie
Eine Anforderung der ISO-Norm 27001 und somit auch des BSI IT-Grundschutzes, ist die Erstellung und Herausgabe einer Informationssicherheits-Leitlinie. Explizit wird dabei gefordert, dass die Herausgabe durch die oberste Leitung erfolgt. Natürlich muss letztendlich alles im Zuge der Informationssicherheit durch die oberste Leitung legitimiert werden, der Informationssicherheitsbeauftragte (ISB) hat nach dem Verständnis der ISO-Norm keine Entscheidungsgewalt. Anders als bei den meisten Dokumenten, sollte die oberste Leitung bei der Erstellung der IS-Leitlinie aber aktiv mitwirken. Die Leitlinie ist als Grundstein der Informationssicherheit der Organisation zu verstehen. Sie stellt ein Rahmenwerk dar und umreißt die strategischen Ziele, die eine Organisation mit Hilfe von Informationssicherheit erreichen möchte.
Was gehört in die IS-Leitlinie?
Die Anforderungen zur IS-Leitlinie sind im Normenkapitel 5.2 „Politik“ der ISO 27001 festgelegt:
Unter Punkt a) wird verlangt, dass die Leitlinie „de[m] Zweck der Organisation angemessen ist“. Hier sind die Überlegungen zum Kontext der Organisation gefragt, insbesondere der Geltungsbereich sollte explizit beschrieben werden. Des Weiteren sollte die oberste Leitung klarstellen, welchen Stellenwert Informationssicherheit in der Organisation haben soll. Wichtig ist auch, dass sich die gesamte Organisation, einschließlich der obersten Leitung und aller Mitarbeiter, zur Informationssicherheit bekennt und diese als gelebten Prozess in die Unternehmenskultur integriert. Hier soll der obersten Leitung eine Vorbildrolle zugesprochen werden, denn Informationssicherheit bedarf möglicherweise einiger Umstrukturierungen und Anpassungen. Angestellte werden zum Beispiel möglicherweise ihr Passwort besser auswählen und häufiger ändern, wenn sie wissen, dass der Chef dies auch umsetzt.
Punkt b) betrifft die Sicherheitsziele, also normalerweise Vertraulichkeit, Verfügbarkeit und Integrität. Diese Sicherheitsziele müssen in der Leitlinie explizit dargestellt werden. Sollte Ihre Organisation sich entscheiden weitere Sicherheitsziele zu formulieren, müssen diese ebenfalls in die Leitlinie aufgenommen werden.
Punkt c) ist der umfangreichste Punkt. Hier wird „eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit“ gefordert. Die vorher definierten Sicherheitsziele müssen durch entsprechende Maßnahmen fortwährend eingehalten werden. Letztendlich handelt es sich dabei um das zu implementierende Informationssicherheits-managementsystem. Umreißen Sie daher wie das ISMS in Ihrer Organisation aussehen soll, zum Bespiel welche Befugnisse und Aufgaben der ISB bekommt und wie der Prozess der Informationssicherheit in Ihr Unternehmen integriert wird. Stellen Sie klar, dass Ihre Mitarbeiter ein elementarer Bestandteil der Informationssicherheit sind und sie daher sowohl Verantwortung übernehmen müssen, als auch von der obersten Leitung, zum Beispiel durch Schulungen, unterstützt werden. Wenn Sie schon ein Risiko- bzw. Compliance-Management oder ein Konzept dafür haben, könnte die Leitlinie beschreiben, wie diese Prozesse mit der Informationssicherheit verbunden werden.
Zum Schluss fordert Punkt d) „eine Verpflichtung zur fortlaufenden Verbesserung“. Informationssicherheit wird heutzutage zum großen Teil durch die IT-Sicherheit geprägt (siehe Blogpost Informationssicherheit vs. IT-Sicherheit). Durch die sich rasch verändernden Technologien und damit auch neue Arten von Schwachstellen und Angriffen müssen Sie ihr Informationssicherheitsmanagementsystem ständig auf dem neuesten Stand halten. So werden Sie auch Ihr ISMS selbst untersuchen und gegebenenfalls verbessern, falls die von Ihnen gewählten Maßnahmen nicht wirken oder nicht richtig umgesetzt werden. In der Leitlinie müssen Sie sich also zu einem kontinuierlichen Verbesserungsprozess bekennen und kurz beschreiben, wie sie diesen Prozess umsetzen wollen.
Zum Schluss folgt die Legitimation durch die oberste Leitung, mit der die Leitlinie in Kraft tritt. Zudem können Sie hier darauf hinweisen, dass die Leitlinie allen relevanten Parteien bekannt zu geben ist, dies ist eine weitere Anforderung der ISO-Norm.
Erstellen der Leitlinie
Nachdem wir nun einen guten Überblick erhalten haben, was in der Leitlinie stehen soll, geht es darum eine für Ihre Organisation geeignete Leitlinie zu erstellen.
Mein erster Tipp: Erfinden Sie das Rad nicht neu. Viele Unternehmen veröffentlichen Ihre Leitlinie im Zuge der Bekanntmachung und es gibt eine Menge Schulungsmaterialien frei erhältlich im Internet. Lassen Sie sich inspirieren und identifizieren sie die Aspekte, die zu Ihrem Unternehmen passen. Sehr wichtig ist auch die Kommunikation mit Ihrer Geschäftsführung, wie bereits gesagt, ist die Leitlinie vorrangig auch ein Bekenntnis der obersten Leitung zur Informationssicherheit. Ich habe mehrmals mit unserem Geschäftsführer gesprochen, um die Prioritäten zu erfassen. Daraufhin habe ich einen Entwurf erstellt und diesen dann meinem Chef vorgestellt. Im weiteren Austausch habe ich die Leitlinie mehrmals angepasst, bis wir schließlich zu einem Ergebnis gekommen sind.
Daher mein zweiter Tipp: Scheuen Sie sich nicht, erstmal etwas zu schreiben und es dann später zu verändern. Die Leitlinie, die Sie letztendlich veröffentlichen, werden Sie wahrscheinlich irgendwann anpassen müssen, wenn sich Ihr Unternehmen weiterentwickelt. Genau wie das ISMS an sich, unterliegt auch die Leitlinie einem Veränderungszyklus. Gerade vor der ersten Veröffentlichung wird das Dokument daher mehrere Iterationen durchlaufen.
Mein letzter Tipp: Halten Sie Ihre Leitlinie so kurz und prägnant wie möglich. Sie soll nur ein Rahmenwerk bzw. Fundament darstellen. Versteifen Sie sich nicht zu sehr auf Details. Insbesondere können Sie zu diesem Zeitpunkt noch nicht exakt abschätzen, wie das ISMS nachher aussehen wird. Bleiben Sie daher bei generellen Vorgaben. Außerdem ist die Leitlinie ein Dokument, das von Ihren Mitarbeitern und möglicherweise externen Parteien gelesen und idealerweise verinnerlicht werden soll. Dies erreichen Sie möglicherweis eher, wenn die Leitlinie nicht zu lang ist.
Fazit
Mir persönlich hat das Erstellen unserer Informationssicherheitsleitlinie viel Spaß gemacht, immerhin stellt die Veröffentlich einen ersten richtigen Schritt auf dem langen Weg zur Einführung unseres ISMS dar. Ich hoffe meine Erfahrungen können Ihnen bei der Erstellung Ihrer eigenen Leitlinie helfen. Ziehen Sie auch immer wieder die ISO 27001 zu Rate und vergleichen Sie den Inhalt Ihrer Leitlinie mit den Vorgaben. Dann werden Sie sicher zu einem zufriedenstellenden Ergebnis kommen.
Über den Autor
Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit: daniel.strassberger@saviscon.de