Sicherheitsleitlinien
Wie sieht eine Leitlinie aus?
<<Bild von Seite 7 einfügen>>
Die Leitlinie schließt meist mit der Verpflichtung der Beschäftigten zur Einhaltung der Regeln sowie einem Bekenntnis der Leitung, die Sicherheit bzw. das ISMS aktiv zu unterstützen.
Definition
Nennung der Organisation
im ersten Teil Definition wird die Organisation genannt.
Aufbau und Geschäftszweck
Dann werden ihr organisatorischer Aufbau und ihre Standorte beschrieben. Beim Geschäftszweck sollte die Geschäftstätigkeit der Organisation dargestellt werden; das könnte z.B. durch die Beschreibung der vorhandenen Geschäftsprozesse geschehen. Der Geschäftszweck kann dabei die gesamte Geschäftstätigkeit der Organisation umfassen, sich aber auch nur auf einzelne Teilbereiche beziehen.
Festlegung des Geltungsbereichs der Leitlinie
Im Ergebnis wird der Geltungsbereich der Leitlinie festgelegt. Im Grunde wird hier bereits die Entscheidung über den Anwendungsbereich des ISMS (den Scope) getroffen.
Analyse
Unter Analyse werden die regulativen Anforderungen (Gesetze, Richtlinien, Konzernvorgaben, besondere Verträge) im Überblick dargestellt. Was die Sicherheitsziele anbetrifft, wird man in der Leitlinie keine detaillierte Darstellung wie in einem Sicherheitskonzept vorgesehen - vielmehr geht es darum, Orientierung zu vermitteln. Hier können die Ziele der Vertraulichkeit, Integrität und Verfügbarkeit in Relation zu Kundendaten, personenbezogenen Daten, Projektdaten, Daten bestimmter Organisationsbereiche oder Anwendungen gesetzt werden.
Hinzu kommen meist Anforderungen an die Verfügbarkeit von Systemen, Anwendungen und unterstützenden Einrichtungen. Daraus lassen sich sofort die relevanten Gefährdungen formulieren, indem man die Ziele sozusagen "negiert": Aus dem Ziel der Vertraulichkeit von Kundendaten wird dann die Gefährdung "Verlust der Vertraulichkeit von Kunden".
Regeln
Bei den grundsätzlichen Regelungen geht es im Abschnitt Regeln um
- die Erläuterung der Sicherheitsorganisation (Rollen, Aufgaben, Ansprechpartner, auch eingerichtete Gremien) und
- zentrale Grundsätze und Verfahren der Sicherheit wie etwa das Eigentümer-Prinzip für Assets, mögliche Klassifikationsschemata für Daten,
- wichtige Richtlinien (z.B. für mobiles Arbeiten mit oder ohne BYOD), die Lenkung dokumentierter Informationen (insbesondere von Aufzeichnungen)