Sicherheitsleitlinien: Unterschied zwischen den Versionen

Aus DIGITALPRINZIP Inh. F. Stief
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
Wie sieht eine Leitlinie aus?<br>
 
Wie sieht eine Leitlinie aus?<br>
##Bild von Seite 7 einfügen##<br>
+
<<Bild von Seite 7 einfügen>><br>
 +
Die Leitlinie schließt meist mit der [[Verpflichtung der Beschäftigten]] zur Einhaltung der Regeln sowie einem Bekenntnis der [[Leitung]], die Sicherheit bzw. das [[ISMS]] aktiv zu unterstützen.
 
== Definition ==
 
== Definition ==
 
=== Nennung der Organisation ===
 
=== Nennung der Organisation ===
Zeile 8: Zeile 9:
 
=== Festlegung des Geltungsbereichs der Leitlinie ===
 
=== Festlegung des Geltungsbereichs der Leitlinie ===
 
Im Ergebnis wird der [[Geltungsbereich]] der Leitlinie festgelegt. Im Grunde wird hier bereits die Entscheidung über den [[Anwendungsbereich des ISMS]] (den Scope) getroffen.
 
Im Ergebnis wird der [[Geltungsbereich]] der Leitlinie festgelegt. Im Grunde wird hier bereits die Entscheidung über den [[Anwendungsbereich des ISMS]] (den Scope) getroffen.
 +
== Analyse ==
 +
Unter Analyse werden die regulativen Anforderungen ([[Relevante Gesetze|Gesetze]], Richtlinien, Konzernvorgaben, besondere [[Relevante Verträge|Verträge]]) im Überblick dargestellt. Was die Sicherheitsziele anbetrifft, wird man in der Leitlinie keine detaillierte Darstellung wie in einem Sicherheitskonzept vorgesehen - vielmehr geht es darum, Orientierung zu vermitteln. Hier können die Ziele der Vertraulichkeit, Integrität und Verfügbarkeit in Relation zu Kundendaten, personenbezogenen Daten, Projektdaten, Daten bestimmter Organisationsbereiche oder Anwendungen gesetzt werden.<br>
 +
<br>
 +
Hinzu kommen meist Anforderungen an die Verfügbarkeit von [[Systeme|Systemen]], [[Anwendungen]] und unterstützenden Einrichtungen. Daraus lassen sich sofort die relevanten Gefährdungen formulieren, indem man die Ziele sozusagen "negiert": Aus dem Ziel der Vertraulichkeit von Kundendaten wird dann die Gefährdung "Verlust der Vertraulichkeit von Kunden".
 +
=== Anforderungen, Sicherheitsziele, Gefährdungen ===
 +
=== Bedeutung der Sicherheit für die Organisation ===
 +
=== angestrebtes Sicherheitsniveau ===
 +
 +
== Regeln ==
 +
Bei den grundsätzlichen Regelungen geht es im Abschnitt Regeln um
 +
* die Erläuterung der [[Sicherheitsorganisation]] (Rollen, Aufgaben, Ansprechpartner, auch eingerichtete Gremien) und
 +
* zentrale Grundsätze und Verfahren der Sicherheit wie etwa das [[Eigentümer-Prinzip]] für [[Assets]], mögliche [[Klassifikationsschemata für Daten]],
 +
* wichtige [[Richtlinien]] (z.B. für mobiles Arbeiten mit oder ohne BYOD), die Lenkung dokumentierter Informationen (insbesondere von Aufzeichnungen)
 +
 +
=== Grundsätzliche Regelungen ===
 +
=== Verpflichtung der Beschäftigten ===
 +
=== Bekenntnis der Leitungsebene, Inkraftsetzen ===

Aktuelle Version vom 1. Februar 2021, 12:32 Uhr

Wie sieht eine Leitlinie aus?
<<Bild von Seite 7 einfügen>>
Die Leitlinie schließt meist mit der Verpflichtung der Beschäftigten zur Einhaltung der Regeln sowie einem Bekenntnis der Leitung, die Sicherheit bzw. das ISMS aktiv zu unterstützen.

Definition[Bearbeiten]

Nennung der Organisation[Bearbeiten]

im ersten Teil Definition wird die Organisation genannt.

Aufbau und Geschäftszweck[Bearbeiten]

Dann werden ihr organisatorischer Aufbau und ihre Standorte beschrieben. Beim Geschäftszweck sollte die Geschäftstätigkeit der Organisation dargestellt werden; das könnte z.B. durch die Beschreibung der vorhandenen Geschäftsprozesse geschehen. Der Geschäftszweck kann dabei die gesamte Geschäftstätigkeit der Organisation umfassen, sich aber auch nur auf einzelne Teilbereiche beziehen.

Festlegung des Geltungsbereichs der Leitlinie[Bearbeiten]

Im Ergebnis wird der Geltungsbereich der Leitlinie festgelegt. Im Grunde wird hier bereits die Entscheidung über den Anwendungsbereich des ISMS (den Scope) getroffen.

Analyse[Bearbeiten]

Unter Analyse werden die regulativen Anforderungen (Gesetze, Richtlinien, Konzernvorgaben, besondere Verträge) im Überblick dargestellt. Was die Sicherheitsziele anbetrifft, wird man in der Leitlinie keine detaillierte Darstellung wie in einem Sicherheitskonzept vorgesehen - vielmehr geht es darum, Orientierung zu vermitteln. Hier können die Ziele der Vertraulichkeit, Integrität und Verfügbarkeit in Relation zu Kundendaten, personenbezogenen Daten, Projektdaten, Daten bestimmter Organisationsbereiche oder Anwendungen gesetzt werden.

Hinzu kommen meist Anforderungen an die Verfügbarkeit von Systemen, Anwendungen und unterstützenden Einrichtungen. Daraus lassen sich sofort die relevanten Gefährdungen formulieren, indem man die Ziele sozusagen "negiert": Aus dem Ziel der Vertraulichkeit von Kundendaten wird dann die Gefährdung "Verlust der Vertraulichkeit von Kunden".

Anforderungen, Sicherheitsziele, Gefährdungen[Bearbeiten]

Bedeutung der Sicherheit für die Organisation[Bearbeiten]

angestrebtes Sicherheitsniveau[Bearbeiten]

Regeln[Bearbeiten]

Bei den grundsätzlichen Regelungen geht es im Abschnitt Regeln um

Grundsätzliche Regelungen[Bearbeiten]

Verpflichtung der Beschäftigten[Bearbeiten]

Bekenntnis der Leitungsebene, Inkraftsetzen[Bearbeiten]