Was ist eine Informationssicherheitsleitlinie und ISO 27001 Sicherheitspolitik?

Eine Informationssicherheitsleitlinie stellt ein Vorgabedokument dar, mit dem Unternehmen die Informationssicherheit regeln. Organisationen, die ein ISMS gem. ISO 27001 einführen möchten bzw. bereits implementiert haben, müssen dabei eine Sicherheitspolitik festlegen. Diese ISMS Politik muss dem Zweck der Organisation angemessen sein, die Informationssicherheitsziele beinhalten bzw. einen Rahmen zur Festlegung von ISMS Zielen bieten und eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit sowie eine Verpflichtung zur fortlaufenden Verbesserung des Managementsystems für Informationssicherheit enthalten. Zudem muss die Informationssicherheitspolitik als dokumentierte Information verfügbar sein, den Mitarbeitern bekannt gemacht werden und für interessierte Parteien verfügbar sein. Auf dieser Seite finden Sie Auszüge aus einer beispielhaften ISMS Politik. Diese soll Ihnen als mögliche Darstellung dienen, damit Ihnen die Festlegung Ihrer eigenen Sicherheitspolitik leichter fällt.

Wie kann eine Informationssicherheitsleitlinie aufgebaut sein?

Der Aufbau einer ISO 27001 Sicherheitspolitik ist je nach Unternehmen unterschiedlich. Dabei hängen die Inhalte von der Größe und Struktur des Unternehmens sowie von den getroffenen Maßnahmen ab. Außerdem beeinflussen die Ziele und die Strategie für die Informationssicherheit den Aufbau der Leitlinie. Ein Punkt, der schließlich bei jeder Informationssicherheitsleitlinie enthalten sein sollte, ist eine Beschreibung der Struktur der Organisation. Dabei gilt es, die Abläufe, die für die Informationssicherheit relevant sind, aufzuzeigen und zu erläutern, wie diese umgesetzt werden. Darüber hinaus sollte die Sicherheitspolitik auch die Sicherheitsziele sowie die Strategie zur Erreichung dieser Ziele beinhalten. Auch sollten Unternehmen die Zuständigkeiten angeben. Im Folgenden möchten wir Ihnen ein Beispiel einer Informationssicherheitsleitlinie aufzeigen. Angaben, die sich auf das Beispielunternehmen beziehen, sind kursiv dargestellt.

Einleitung und Geltungsbereich für die Informationssicherheitsleitlinie

Die Leitlinie beschreibt Grundsätze für einen angemessenen Schutz von Mitarbeitern und Informationen im Musterunternehmen. Diese Leitlinie ist unter Berücksichtigung der Normenreihe ISO 27001 aufgestellt worden. Der Geltungsbereich ist das Musterunternehmen mit Hauptsitz in XYZ. Ebenso zum Geltungsbereich gehören alle Niederlassungen und Geschäftsstellen in XYZ. Herausgeber und verantwortlich für die Aktualisierung ist der Sicherheitsbeauftragte. Die im Intranet freigegebene und veröffentliche Fassung ist die gültige und verbindliche Fassung. Druckversionen dienen nur der Information. Falls lokale Regelungen erforderlich sind, sind diese Änderungen mit dem Informationssicherheitsmanagement abzustimmen. Die nachfolgenden Grundsätze der Leitlinie gelten uneingeschränkt und unmittelbar, unabhängig von der Erstellung eigener Regelungen.

Grundsätze der Informationssicherheit im Rahmen der ISO 27001 Sicherheitspolitik

Es lassen sich verschiedene Grundsätze in der Sicherheitspolitik zusammenfassen. Unter anderem sind alle Mitarbeiter verpflichtet, die Informationen zu schützen, sodass dem Unternehmen kein Schaden durch unberechtigte Nutzung von Informationen entsteht. Das Sicherheitsmanagement hat Mitarbeiter und Führungskräfte bei der Umsetzung aller Sicherheitsrichtlinien zu unterstützen und führt angemessene Kontrollen durch. Ziel der Sicherheitspolitik ist, neben der Sicherheit der IT-Systeme auch die Sicherheit von Informationen außerhalb der IT im Unternehmen aufrecht zu erhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Außerdem sind z.B. durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen, Image-Schäden für die Organisation sowie Missbrauch von organisationseigenen Daten zu verhindern.

Video: Was ist ein Informationssicherheitsmanagementsystem?

 

Video: Welche Stellung hat ein DSB nach der DSGVO?

 

Wie können in der Informationssicherheitsleitlinie Zuständigkeiten definiert werden?

Der Sicherheitsbeauftragte, der von der Geschäftsleitung eingesetzt wird, und das Sicherheitsmanagementteam stellen die Entwicklung der Informationssicherheitspolitik und der damit verbundenen Standards sicher. Der Sicherheitsbeauftragte und das Sicherheitsmanagement verfolgen die Umsetzung der ISO 27001 Sicherheitspolitik und vereinbaren hierfür entsprechende Maßnahmen. Das Informationssicherheitsmanagement berät in Sicherheitsfragen, überwacht das Einhalten der Sicherheitsvorschriften und ermittelt und betreibt Aufklärung im Schadensfall.

Das Sicherheitsmanagement ist verantwortlich für…

• …die Eskalation etwaiger Risiken an die Geschäftsleitung.
• …die Beratung der Mitarbeiter zu Fragen des ISMS (Information Security Management System).
• …die Schulung der Mitarbeiter in Fragen der Informationssicherheit.

Elemente des Informationssicherheitsmanagements sind…

• …der Informationssicherheitsbeauftragte
• …die Informationssicherheitsbeauftragten einzelner Bereiche
• …der Qualitätsmanagementbeauftragte

Die zuständigen Stellen der Informationsverarbeitung…

• …unterstützen die Belange des Informationsschutzes.
• …schaffen technische Voraussetzungen für einen ausreichenden Schutz der betrieblichen Informationen, die mittels Informationstechnologie gespeichert, verarbeitet sowie übermittelt werden und überwachen – zusammen mit den Funktionen der Sicherheit – die Einhaltung der Sicherheitsmaßnahmen.

Ihr Einstieg ins Informationssicherheitsmanagement

Präsenzschulung: Besuchen Sie unsere Ausbildung Basiswissen ISMS ISO 27001 und steigen Sie in die Grundlagen des Informationssicherheitsmanagements ein. Sie lernen dabei alle wichtigen Forderungen kennen und erfahren, wie Sie diese erfolgreich umsetzen.

E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Werfen Sie auch einen Blick in den kostenlosen Demokurs!

Der Schutz von Informationen

Schäden für das Unternehmen oder Dritte können entstehen, wenn Unbefugte oder Nicht-Berechtigte Kenntnis von internen Informationen erlangen und diese zum Nachteil des Musterunternehmens verwenden. Daher müssen alle „Berechtigten“ einen wirkungsvollen Schutz der Informationen sicherstellen, unabhängig von der Form, in der sie vorliegen. Beispiele hierfür sind:

• persönliche Übermittlung, Telefonate, Fax,
• Schriftstücke, Datenträger,
• Programmcodes

Mögliche Vorgaben der ISO 27001 Sicherheitspolitik zur Behandlung von Informationen

Als „Berechtigte“ dürfen alle Mitarbeiter des Musterunternehmens sowie externe Partner, die mit der Firma in einer Geschäftsbeziehung stehen, die zur Erfüllung ihrer Aufgaben erforderlichen Informationen erhalten. Alle Mitarbeiter sind verpflichtet, durch ihr Verhalten Informationen zu schützen, damit Schaden vom Unternehmen abgewendet wird. Alle das Musterunternehmen sowie dessen Mitarbeiter und Kunden betreffenden Informationen, sind entsprechend den nachfolgenden Regeln zu behandeln.

Ausnahme: Pressemitteilungen oder Vorträge und Beiträge in Publikationen. Nur autorisierte Stellen, wie z.B. die Marketing-Abteilung und die Geschäftsführung, dürfen die Presse informieren. Im Zweifel sind Informationen vertraulich zu behandeln. Für alle Informationen sowie Dokumente gelten die folgenden Schutzklassen:

„offen (public)“
Keine Kennzeichnungspflicht

 „nur für internen Gebrauch (for internal use only)“
Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der Interessen des Musterunternehmens schaffen.
Beispiele: Besprechungsprotokolle, Projektdokumentationen, Arbeitsbeschreibungen, Softwareprogramme.

„vertraulich (confidential)“
Informationen, die bei Veröffentlichung eine schwere Schädigung der Interessen des Musterunternehmens wahrscheinlich machen würden, sowie Informationen, die nach dem Bundesdatenschutzgesetz unter strafrechtlichem Geheimhaltungsschutz stehen.
Beispiele: Vertragsunterlagen, Marketingstrategien, Organigramme, Bilanz- und Steuerunterlagen, jegliche personenbezogenen Daten (Mitarbeiterdaten, Kundendaten)

Ihre Ausbildung zum internen Auditor ISO 27001

Präsenzschulung: Besuchen Sie unsere Ausbildung zum internen Auditor nach ISO IEC 27001 und erfahren Sie, wie Sie interne Audits in Ihrem Unternehmen vorbereiten, durchführen. Sie lernen auch, wie Sie in Ihre Rolle als interner Auditor professionell agieren.

 

Festlegung der Verantwortlichkeiten und der Vorgehensweise

Im Folgenden sehen Sie, wie in der Informationssicherheitsleitlinie Verantwortlichkeiten geregelt werden können. Jeder Informationsinhaber ist für den Schutz der Informationen verantwortlich, also für Kennzeichnung, Aufbewahrung, Speicherung, Verarbeitung, Weitergabe und Vernichtung. Führungskräfte veranlassen dabei für ihre Aufgabenumfänge und Geschäftsprozesse Schutzmaßnahmen für die Informationen. Hierbei sind Verfügbarkeit, Integrität und Authentizität sowie die Vertraulichkeit der Informationen zu berücksichtigen. Der Informationsgeber stellt bei Informationen mit vertraulichem Inhalt sicher, dass der Informationsempfänger über den Grad der Vertraulichkeit und den besonderen Umgang mit einer Information Kenntnis erhält. Hierzu muss die Information unabhängig von der Art der Übermittlung entsprechend den gültigen Regeln gekennzeichnet und geschützt werden. Kundendaten und Informationen, die den Kunden betreffen, sind vertraulich und zweckbestimmt zu behandeln.

Festlegung des Umgangs und der Kennzeichnung von Informationen und Dokumenten

Vertrauliche Informationen in schriftlicher Form werden als vertraulich gekennzeichnet. Die Kennzeichnung von vertraulichen Schriftstücken erfolgt deutlich lesbar. Bei neu zu erstellenden, nicht gekennzeichneten sowie vertraulichen Dokumenten ist die Vorlage „Vertraulich“ zu verwenden. Weitere Hinweise zum Aufbau einer Informationssicherheitsleitlinie finden Sie hier.