Sicherheitsleitlinien
Wie sieht eine Leitlinie aus?
<<Bild von Seite 7 einfügen>>
Die Leitlinie schließt meist mit der Verpflichtung der Beschäftigten zur Einhaltung der Regeln sowie einem Bekenntnis der Leitung, die Sicherheit bzw. das ISMS aktiv zu unterstützen.
Definition[Bearbeiten]
Nennung der Organisation[Bearbeiten]
im ersten Teil Definition wird die Organisation genannt.
Aufbau und Geschäftszweck[Bearbeiten]
Dann werden ihr organisatorischer Aufbau und ihre Standorte beschrieben. Beim Geschäftszweck sollte die Geschäftstätigkeit der Organisation dargestellt werden; das könnte z.B. durch die Beschreibung der vorhandenen Geschäftsprozesse geschehen. Der Geschäftszweck kann dabei die gesamte Geschäftstätigkeit der Organisation umfassen, sich aber auch nur auf einzelne Teilbereiche beziehen.
Festlegung des Geltungsbereichs der Leitlinie[Bearbeiten]
Im Ergebnis wird der Geltungsbereich der Leitlinie festgelegt. Im Grunde wird hier bereits die Entscheidung über den Anwendungsbereich des ISMS (den Scope) getroffen.
Analyse[Bearbeiten]
Unter Analyse werden die regulativen Anforderungen (Gesetze, Richtlinien, Konzernvorgaben, besondere Verträge) im Überblick dargestellt. Was die Sicherheitsziele anbetrifft, wird man in der Leitlinie keine detaillierte Darstellung wie in einem Sicherheitskonzept vorgesehen - vielmehr geht es darum, Orientierung zu vermitteln. Hier können die Ziele der Vertraulichkeit, Integrität und Verfügbarkeit in Relation zu Kundendaten, personenbezogenen Daten, Projektdaten, Daten bestimmter Organisationsbereiche oder Anwendungen gesetzt werden.
Hinzu kommen meist Anforderungen an die Verfügbarkeit von Systemen, Anwendungen und unterstützenden Einrichtungen. Daraus lassen sich sofort die relevanten Gefährdungen formulieren, indem man die Ziele sozusagen "negiert": Aus dem Ziel der Vertraulichkeit von Kundendaten wird dann die Gefährdung "Verlust der Vertraulichkeit von Kunden".
Anforderungen, Sicherheitsziele, Gefährdungen[Bearbeiten]
Bedeutung der Sicherheit für die Organisation[Bearbeiten]
angestrebtes Sicherheitsniveau[Bearbeiten]
Regeln[Bearbeiten]
Bei den grundsätzlichen Regelungen geht es im Abschnitt Regeln um
- die Erläuterung der Sicherheitsorganisation (Rollen, Aufgaben, Ansprechpartner, auch eingerichtete Gremien) und
- zentrale Grundsätze und Verfahren der Sicherheit wie etwa das Eigentümer-Prinzip für Assets, mögliche Klassifikationsschemata für Daten,
- wichtige Richtlinien (z.B. für mobiles Arbeiten mit oder ohne BYOD), die Lenkung dokumentierter Informationen (insbesondere von Aufzeichnungen)