Kategorien
Unkategorisiert

IT-Sicherheitsrichtlinie erstellt – Eine Schritt-für-Schritt-Anleitung

Wie man eine IT-Sicherheitsrichtlinie erstellt – Eine Schritt-für-Schritt-Anleitung mit kostenloser Vorlage

Template
Bryde

Anders Bryde Thornild

• 15. JULI 2020 • LESEZEIT 7 MIN.

In diesem Blogbeitrag werde ich Sie durch unsere Vorlage für eine effektive Informationssicherheitspolitik führen. Sie werden dann in der Lage sein, eine Richtlinie für Ihre Organisation zu erstellen und somit die IT-Sicherheit in Ihrer Organisation zu erhöhen. Die IT-Sicherheitsrichtlinie ist ein wichtiges Instrument zur Durchsetzung und Aufrechterhaltung einer gesunden und guten IT-Sicherheitskultur in Ihrer Organisation. 

Was ist der Unterschied zwischen einer IT-Sicherheitsrichtlinie und den Vorgaben für die IT-Nutzung?

Wenn Sie in Ihrer Organisation mit IT-Sicherheit arbeiten, kann es sehr nützlich sein, sowohl eine IT-Sicherheitsrichtlinie als auch Vorgaben für die IT-Nutzung bereitzustellen. Mit einer Richtlinie und einer Reihe von Vorgaben geben Sie den Ton für Ihre Arbeit im Bereich der IT-Sicherheit vor, wodurch Ihre Sicherheit gestärkt wird.  

Der Zweck einer IT-Sicherheitsrichtlinie besteht darin, einen allgemeinen Rahmen für die Organisation zu schaffen, der Zielsetzungen enthält und die Verantwortung für die IT-Sicherheit delegiert. Es handelt sich um ein kleines Dokument mit nur wenigen Seiten, das als Memo für das Management betrachtet wird und die Ziele der Organisation hinsichtlich der IT-Sicherheitsmaßnahmen enthält. 

Die „Vorgaben für die IT-Nutzung“ stellen ein größeres Dokument dar – mit Regeln und Vorgaben, die alle Mitarbeiter befolgen müssen. Während die Richtlinie allgemein und strategisch gehalten ist, sind die Vorgaben konkret und umsetzbar.

In diesem Blog-Beitrag werde ich die Vorlage für eine effektive IT-Sicherheitsrichtlinie durchgehen und Sie darüber informieren, was Sie beachten sollten, wenn Sie eine eigene Richtlinie für Ihre Organisation erstellen möchten. 

Die IT-Sicherheitsrichtlinie: Schritt für Schritt

Der Zweck der IT-Sicherheitsrichtlinie besteht – wie bereits erwähnt – darin, den Rahmen für die IT-Sicherheitsarbeit der Organisationen zu schaffen. Die Richtlinie wird Ihnen helfen, Ziele zu setzen, Verantwortung zu delegieren und über Fortschritte zu berichten. 

Ich werde nun jeden Schritt der Vorlage durchgehen, mit Kommentaren dazu, wie sie anzuwenden ist und worauf Sie achten sollten. 

Wir empfehlen Ihnen dringend, sich beim Lesen dieses Leitfadens an die Vorlage zu halten, da sie voller nützlicher Beispiele ist. 

Die IT-Sicherheitsrichtlinie umfasst sieben Abschnitte, die Sie bedenken und ausfüllen müssen. Diese Abschnitte sind: 

Schritt 1: Zweck

Der erste Abschnitt, den Sie bedenken müssen, ist der Zweck der Richtlinie. Der Zweck wird fast immer darin bestehen, den Rahmen für das Management der Informationssicherheit in der Organisation festzulegen. In diesem Abschnitt könnten Sie zum Beispiel so etwas schreiben wie: 

„Die Sicherheitsrichtlinie definiert den Rahmen für das Management der Informationssicherheit bei X.“ 

The security policy defines the framework for the management of information security in X.” 

Schritt 2: Gültigkeit

Die Gültigkeit befasst sich mit der Frage, wen die Richtlinie betrifft. Häufig sind dies alle Mitarbeiter der Organisation. Sie könnte jedoch auch Berater einschließen, die für die Organisation arbeiten, und alle, die das IT-System in der Organisation nutzen. Es liegt also an Ihnen, zu entscheiden, wer in die Richtlinie einbezogen wird. 

So könnte das klingen: 

„Die Sicherheitsrichtlinie gilt für alle Mitarbeiter bei X und alle mit Zugang zu den Informationssystemen von X.“ 

Schritt 3: Zielsetzungen

Der dritte Abschnitt sind die Zielsetzungen. In vielerlei Hinsicht sind die Ziele das zentrale Element der Richtlinie. Hier definieren Sie, was Sie erreichen wollen. Sie handeln im Einklang mit Ihrer Richtlinie, wenn Sie sich an die Zielsetzungen halten. 

In unserer Vorlage finden Sie 8 Beispiele für potentielle Zielsetzungen, die genutzt, angepasst oder gelöscht werden können, sodass sie zu Ihrer Organisation passen. Es ist wichtig zu überlegen, warum Sie die von Ihnen ausgesuchten Ziele wählen und ob sie realistisch sind. Die 8 Beispiele finden Sie in der Vorlage, aber eines davon können Sie hier sehen: 

„ORG X verfolgt einen risikobasierten Ansatz, bei dem das Sicherheitsniveau und seine Kosten auf dem Unternehmensrisiko und der mindestens jährlich durchzuführenden Folgenabschätzung basieren müssen“ 

Die Beispiele in unserer Vorlage orientieren sich an bereits bestehenden Rahmenwerken wie ISO270001: 2013. Das haben wir so gemacht, weil es nicht notwendig ist, das Rad neu zu erfinden. Es ist völlig in Ordnung, wenn Sie bereits bestehende Rahmenwerke benutzen. 

In den Beispielen benutzen wir das Wort Bemühungen einige Male. Einige Leute weisen darauf hin, dass es zu vage ist, in Bezug auf Zielsetzungen ein Wort wie Bemühungen zu verwenden. Die Verwendung dieses Wortes muss als Verständnis für den Arbeitsaufwand verstanden werden, der erforderlich ist, um ISO27001:2013 und alle DSGVO-Vorschriften zu erfüllen. Für viele Organisationen wäre es ein unrealistisches Ziel, die Anforderungen zu erfüllen. Mit der Verwendung des Wortes Bemühungen stellen Sie also Forderungen, sich in die richtige Richtung zu bewegen, aber Sie akzeptieren auch, dass es sich um einen Prozess handelt. Viele Organisationen können einfach nicht alle Regeln vom ersten Tag an einhalten. 

Die Richtlinie ist ein Dokument, das ständig bearbeitet wird und regelmäßig neu bewertet werden muss. Der Wortlaut kann sich oft ändern, während Sie in Ihrer Organisation immer intelligenter und besser vorgehen. Wenn Sie also die Richtlinie jedes Jahr neu bewerten und aktualisieren, werden Sie Änderungen an den Zielsetzungen feststellen, um sie an Ihre Organisation anzupassen.  

Dadurch wird sichergestellt, dass die Richtlinie nicht zu einem alten, verstaubten Dokument wird, sondern zu einem aktiven Instrument Ihrer Sicherheitsarbeit. 

Schritt 4: Organisation und Verantwortung

Sie müssen die Verantwortung für die IT-Sicherheit in der gesamten Organisation delegieren. Die Richtlinie kann ein wirksames Mittel sein, um das umzusetzen.  

Es ist vielleicht die Person, die für die IT verantwortlich ist, die mit den täglichen Aufgaben und dem Betrieb betraut ist, aber es muss auch Verantwortlichkeiten und Aufgaben in anderen Positionen innerhalb der Organisation geben. Auf jeder Ebene der Organisation, von den Vorstandsmitgliedern bis zu den Mitarbeitern, gibt es Verantwortung. 

Wie in der Vorlage gezeigt, könnte eine Delegation von Verantwortung in etwa so aussehen: 

  • Der Vorstand trägt die oberste Verantwortung für die Informationssicherheit bei X.  
  • Die Geschäftsleitung ist für die Managementprinzipien verantwortlich und delegiert spezifische Verantwortlichkeiten für Sicherheitsmaßnahmen, wozu auch das Eigentum an Informationssystemen gehört.  
  • Die Eigentumsfrage wird für jedes kritische Informationssystem geklärt. Der Eigentümer legt fest, wie.  
  • Die IT-Abteilung berät, koordiniert, kontrolliert und berichtet über den Status der Sicherheit. Die IT-Abteilung bereitet Richtlinien und Verfahren vor.  
  • Der einzelne Mitarbeiter ist dafür verantwortlich, die Sicherheitspolitik einzuhalten und sich mithilfe der „IT-Nutzungsrichtlinie“ darüber zu informieren. 

Es ist wichtig zu beachten, dass es nicht unbedingt die IT-Abteilung ist, die bei jedem Informationssystem Eigentümerin ist. Es könnte zum Beispiel auch die Marketingabteilung sein, die das Eigentum an der Firmenwebsite hat. Daher ist es wichtig, dass die Verantwortungsdelegation die Realität der Organisation widerspiegelt. 

Schritt 5: Ausnahmeregelungen

Ausnahmeregelungen sind Ausnahmen, wenn Verantwortung und Zielsetzungen nicht anwendbar sind. Wenn Sie keine klaren Ausnahmen haben, können Sie eine Erklärung formulieren, die bei Bedarf Änderungen in der Zukunft zulässt: 

„Ausnahmeregelungen für die Informationssicherheitsrichtlinien und -vorgaben von X werden von der IT-Abteilung auf der Grundlage der von der Geschäftsleitung festgelegten Vorgaben genehmigt.“ 

Schritt 6: Berichtswesen

Das Berichtswesen ist wichtig, weil es im Zusammenhang mit der IT-Sicherheit für eine kontinuierliche Prozessüberwachung bei der Arbeit sorgt. Das Berichtswesen hebt die Verantwortungsbereiche hervor. Wenn zum Beispiel die IT-Abteilung der Geschäftsführung Bericht erstatten muss, dann stellen Sie auf diese Weise sicher, dass Fortschritte gemacht werden, weil die IT-Abteilung in den Berichten Ergebnisse vorweisen muss. 

Das Berichtswesen gewährleistet den Fortschritt bei der Arbeit an den Zielen und stellt sicher, dass die Verantwortlichkeiten eingehalten werden. 

Der Abschnitt könnte wie folgt formuliert werden:  

  • Die IT-Abteilung informiert die Geschäftsführung über alle relevanten Sicherheitsverletzungen  
  • Der Status der Ausnahmeregelungen ist im Jahresbericht der IT-Abteilung an die Geschäftsführung enthalten. 
  • Die Geschäftsführung überprüft den Sicherheitsstatus jährlich und erstattet danach dem Vorstand Bericht. 

Schritt 7: Verstöße

Der letzte Schritt in der IT-Sicherheitsrichtlinie befasst sich damit, was passiert, wenn jemand absichtlich gegen die Richtlinie verstößt. Es könnte in der Verantwortung der Personalabteilung liegen, sich mit solchen Verstößen zu befassen, oder es könnte sogar die Person sein, die für die gesamte IT verantwortlich ist. Wichtig ist, dass schriftlich fixiert ist, wer im Falle eines Verstoßes handeln muss. Auf diese Weise stellen Sie sicher, dass die Situation gehandhabt wird. In unserer Vorlage haben wir geschrieben: 

„Absichtliche Verstöße und Missbrauch werden von der IT-Abteilung an die Personalabteilung und an die nächstgelegene Autorität mit Führungsverantwortung gemeldet. Verstöße gegen die Informationssicherheitsrichtlinie und die unterstützenden Vorgaben können arbeitsrechtliche Konsequenzen nach sich ziehen.“ 

Die Informationssicherheitsrichtlinie ist das Rahmenwerk für Ihre Sicherheit

Diese sieben Abschnitte stellen Ihre Richtlinie dar. Sie braucht nicht mehr als ein paar Seiten einzunehmen, weil sie „nur“ den Rahmen für die Sicherheitsarbeit der Organisation bildet. 

Wenn die Bemühungen und Zielsetzungen festgelegt sind, können Sie und Ihre Organisation konkretere Regeln und Vorgaben ausarbeiten, die die Mitarbeiter befolgen müssen. Diese Regeln und Vorgaben sind normalerweise in einem anderen Dokument mit der Bezeichnung „Vorgaben für die IT-Nutzung“ niedergeschrieben. Sie können unseren Leitfaden und unsere Vorlage dazu HIER finden. 

Zusammen bilden die Informationssicherheitsrichtlinie und die Vorgaben für die IT-Nutzung die Grundlage für eine starke IT-Sicherheitskultur in Ihrer Organisation. 

Es ist wichtig, die Dokumente jährlich zu aktualisieren, um sicherzustellen, dass sie nützlich und auf dem neuesten Stand sind. Sie müssen aktiv mit den Zielsetzungen und Regeln in diesen beiden Dokumenten arbeiten, um sicherzustellen, dass Ihre Organisation vorankommt.  

 

Ich hoffe, Sie fanden die Vorlage nützlich! 

Erhalten Sie Updates mit kostenlosen Vorlagen, Tools und Neuigkeiten von CyberPilot.