Wenn Sie in Ihrem Unternehmen mit IT-Sicherheit arbeiten, kann es sehr nützlich sein, sowohl eine IT-Sicherheitsrichtlinie als auch Vorgaben für die IT-Nutzung bereitzustellen, egal wie groß das Unternehmen ist. Mit Richtlinien und Vorgaben geben Sie den Ton für Ihre Arbeit im Bereich der IT-Sicherheit vor, wodurch Ihre Sicherheit gestärkt wird.
IT-Sicherheitsrichtlinie
Der Zweck einer IT-Sicherheitsrichtlinie besteht darin, einen allgemeinen Rahmen für die Organisation zu schaffen, der Zielsetzungen enthält und die Verantwortung für die IT-Sicherheit delegiert. Es handelt sich um ein kleines Dokument mit nur wenigen Seiten, das als Memo für das Management betrachtet wird und die Ziele der Organisation hinsichtlich der IT-Sicherheitsmaßnahmen enthält.
Vorgaben Für IT-Nutzung
Die „Vorgaben für die IT-Nutzung“ stellen ein größeres Dokument dar – mit Regeln und Vorgaben, die alle Mitarbeiter befolgen müssen. Während die Richtlinie allgemein und strategisch gehalten ist, sind die Vorgaben konkret und umsetzbar. Diese Vorgaben können zum Beispiel Passwortstärke, sichere Nutzung vom WLAN und Internet oder wie man mit personenbezogene Daten via E-Mail umgeht, enthalten.
In diesem Blog-Beitrag werde ich die Vorlage für eine effektive IT-Sicherheitsrichtlinie durchgehen und Sie darüber informieren, was Sie beachten sollten, wenn Sie eine eigene IT-Sicherheitsrichtlinie für Ihr Unternehmen erstellen möchten.
Hören Sie sich unseren Podcast über die IT-Sicherheitspolitik an
Der Zweck der IT-Sicherheitsrichtlinie besteht – wie bereits erwähnt – darin, den Rahmen für die IT-Sicherheitsarbeit der Organisationen zu schaffen. Die Richtlinie wird Ihnen helfen, Ziele zu setzen, Verantwortung zu übertragen und über Fortschritte zu berichten.
Ich werde nun jeden Schritt der Vorlage für IT-Sicherheit durchgehen, mit Kommentaren dazu, wie sie anzuwenden ist und worauf Sie achten sollten.
Wir empfehlen Ihnen dringend, sich beim Lesen dieses Leitfadens an die Vorlage zu halten, da sie voller nützlicher Beispiele ist.
Der erste Abschnitt, den Sie bedenken müssen, ist der Zweck der IT-Sicherheitsrichtlinie. Der Zweck wird fast immer darin bestehen, den Rahmen für das Management der Informationssicherheit in der Organisation festzulegen. In diesem Abschnitt könnten Sie zum Beispiel so etwas schreiben wie:
„Die Sicherheitsrichtlinie definiert den Rahmen für das Management der Informationssicherheit bei X.“
Schritt 2: Gültigkeit
Die Gültigkeit befasst sich mit der Frage, für wen die IT-Richtlinie gilt. Häufig sind dies alle Mitarbeiter*innen der Organisation. Es können aber auch Berater*innen sein, die für das Unternehmen arbeiten, und jeder, der die IT-Systeme des Unternehmens nutzt. Es liegt also an Ihnen zu entscheiden, wer in die Richtlinie einbezogen wird.
So könnte das klingen:
„Die Sicherheitsrichtlinie gilt für alle Mitarbeiter*innen bei X und alle mit Zugang zu den Informationssystemen von X.“
Schritt 3: Zielsetzungen
Der dritte Abschnitt beschreibt die Zielsetzungen. In vielerlei Hinsicht sind die Ziele das zentrale Element der Richtlinie. Hier definieren Sie, was Sie erreichen wollen. Sie handeln im Einklang mit Ihrer IT-Sicherheitsrichtlinie, wenn Sie sich an die Zielsetzungen halten.
In unserer Vorlage finden Sie 8 Beispiele für mögliche Ziele, die Sie verwenden, anpassen oder löschen können, um sie an Ihr Unternehmen anzupassen. Es ist wichtig, dass Sie sich überlegen, warum Sie diese wählen, und ob sie realistisch sind. Die 8 Beispiele finden Sie in der Vorlage, aber Sie können eines davon hier sehen:
„ORG X verfolgt einen risikobasierten Ansatz, bei dem das Sicherheitsniveau und seine Kosten auf dem Unternehmensrisiko und der mindestens jährlich durchzuführenden Folgenabschätzung basieren müssen“
Die Beispiele in unserer IT-Vorlage orientieren sich an bereits bestehenden Rahmenwerken, wie ISO270001: 2013. Denn es ist nicht notwendig, das Rad neu zu erfinden, wenn man eine Sicherheitsrichtlinie schreibt. Es ist völlig in Ordnung, wenn Sie bereits bestehende Sicherheitsrichtlinie benutzen.
Schaffen Sie realistische Ziele
In den Beispielen benutzen wir das Wort Bemühungen einige Male. Man könnte meinen, dass es zu vage ist, das Wort „Bemühungen“ für eine Zielsetzung zu verwenden, aber wir verwenden dieses Wort als Verständnis für den Arbeitsaufwand, der erforderlich ist, um ISO27001:2013 und alle DSGVO-Vorschriften zu erfüllen. Für viele Organisationen wäre es ein unrealistisches Ziel, die Anforderungen zu erfüllen. Mit der Verwendung des Wortes Bemühungen stellen Sie also Forderungen, um sich in die richtige Richtung zu bewegen, aber Sie akzeptieren auch, dass es sich um einen Prozess handelt. Viele Organisationen können nicht vom ersten Tag an alle Vorschriften einhalten.
Ziele ändern sich zusammen mit Ihrer Organisation
Die IT-Sicherheitsrichtlinie ist ein Dokument, das ständig bearbeitet wird und regelmäßig neu bewertet werden muss. Der Wortlaut kann sich mehrmals ändern, während ihre Organisation immer sicherer wird. Wenn Sie also die Richtlinie jedes Jahr neu bewerten und aktualisieren, werden Sie Änderungen an den Zielsetzungen feststellen, um sie an den Fortschritt Ihrer Organisation anzupassen.
Eine regelmäßige Überprüfung Ihrer IT-Sicherheitsrichtlinie versichert, dass die Richtlinie nicht zu einem alten, verstaubten Dokument wird, sondern ein aktives Instrument Ihrer Sicherheitsarbeit bleibt.
Schritt 4: Organisation und Verantwortung
Die Verantwortung für IT-Sicherheit in der gesamten Organisation muss delegiert werden. Die Richtlinie kann ein wirksames Mittel sein, um das umzusetzen.
Sie könnten eine*n Mitarbeiter*in oder einen Datenschutzbeauftragten*in damit beauftragen, die gesamte IT-Abteilung zu beaufsichtigen und sich um die täglichen Aufgaben und Abläufe zu kümmern. Sie müssen jedoch dafür sorgen, dass auch andere Mitarbeiter*innen in Ihrem Unternehmen involviert werden und dafür verantwortlich sind. Ziel ist es, Mitarbeiter*innen auf allen Ebenen des Unternehmens zu ermutigen, sich aktiv an der Stärkung der IT-Sicherheit zu beteiligen.
ie in der IT-Sicherheitsrichtlinie gezeigt, könnte eine Delegation von Verantwortung in etwa so aussehen:
-
Der Vorstand trägt die oberste Verantwortung für die Informationssicherheit bei X.
-
Die Geschäftsleitung ist für die Managementprinzipien verantwortlich und delegiert spezifische Verantwortlichkeiten für Sicherheitsmaßnahmen, wozu auch das Eigentum an Informationssystemen gehört.
-
Die Eigentumsfrage wird für jedes kritische Informationssystem geklärt und der oder die Eigentümer*in legt fest, wie dies passiert.
-
Die IT-Abteilung berät, koordiniert, kontrolliert und berichtet über den Status der Sicherheit. Die IT-Abteilung bereitet Richtlinien und Verfahren vor.
-
Einzelne Mitarbeiter*innen sind dafür verantwortlich, die IT-Sicherheitspolitik einzuhalten und sich mithilfe der „IT-Nutzungsrichtlinie“ darüber zu informieren.
Es ist wichtig zu beachten, dass nicht unbedingt die IT-Abteilung für jedes Informationssystem zuständig ist. Es könnte z. B. die Marketingabteilung sein, die Eigentümerin der Unternehmenswebseite ist. Daher ist es wichtig, dass die Delegation der Verantwortung die Realität des Unternehmens widerspiegelt.
Schritt 5: Ausnahmeregelungen
Ausnahmeregelungen sind Ausnahmen, wenn Verantwortung und Zielsetzungen nicht anwendbar sind. Wenn Sie keine klaren Ausnahmen haben, können Sie eine Erklärung formulieren, die bei Bedarf Änderungen in der Zukunft zulässt:
„Ausnahmeregelungen für die Informationssicherheitsrichtlinien und -vorgaben von X werden von der IT-Abteilung auf der Grundlage der von der Geschäftsleitung festgelegten Vorgaben genehmigt.“
Schritt 6: Berichtswesen
Das Berichtswesen ist wichtig, weil es im Zusammenhang mit der IT-Sicherheit für eine kontinuierliche Prozessüberwachung bei der Arbeit sorgt. Das Berichtswesen hebt die Verantwortungsbereiche hervor. Wenn zum Beispiel die IT-Abteilung der Geschäftsführung Bericht erstatten muss, dann stellen Sie auf diese Weise sicher, dass Fortschritte gemacht werden, da die IT-Abteilung in diesen Berichten Ergebnisse vorweisen muss.
Durch die Berichterstattung wird also sichergestellt, dass Fortschritte bei der Erreichung der Ziele erzielt und die Verantwortlichkeiten eingehalten werden.
Der Abschnitt könnte wie folgt formuliert werden:
-
Die IT-Abteilung informiert die Geschäftsführung über alle relevanten Sicherheitsverletzungen.
-
Der Status der Ausnahmeregelungen ist im Jahresbericht der IT-Abteilung an die Geschäftsführung enthalten.
-
Die Geschäftsführung überprüft den Sicherheitsstatus jährlich und erstattet danach dem Vorstand Bericht.
Schritt 7: Verstöße
Der letzte Abschnitt der IT-Sicherheitsrichtlinie befasst sich damit, was passiert, wenn jemand absichtlich gegen die Richtlinie verstößt. Es könnte in der Verantwortung der Personalabteilung liegen, sich mit solchen Verstößen zu befassen, oder es könnte sogar die Person sein, die für die gesamte IT-Abteilung verantwortlich ist. Wichtig ist, dass festgelegt wird, wer im Falle eines Verstoßes handeln muss und dies schriftlich festhält. Auf diese Weise stellen Sie sicher, dass die Situation angemessen gehandhabt werden kann. In unserer Vorlage zur IT-Sicherheitsrichtlinie haben wir geschrieben:
„Vorsätzliche Verstöße und Missbräuche werden von der IT-Abteilung an die Personalabteilung und an die nächstgelegene Autorität mit Führungsverantwortung gemeldet. Verstöße gegen die Informationssicherheitsrichtlinie und die unterstützenden Vorgaben können arbeitsrechtliche Konsequenzen nach sich ziehen.“
Diese sieben Abschnitte stellen Ihre Informationsrichtlinie dar. Sie braucht nicht mehr als ein paar Seiten einzunehmen, weil sie „nur“ den Rahmen für die Sicherheitsarbeit der Organisation bildet.
Wenn die Bemühungen und Zielsetzungen festgelegt sind, können Sie und Ihre Organisation konkretere Regeln und Vorgaben ausarbeiten, die die Mitarbeiter*innen befolgen müssen. Diese Regeln und Vorgaben sind normalerweise in einem anderen Dokument: So erstellen Sie Eine IT-Nutzrichtlinie.
Zusammen bilden die Informationssicherheitsrichtlinie und die Vorgaben für die IT-Nutzung die Grundlage für eine starke IT-Sicherheitskultur in Ihrer Organisation.
Es ist wichtig, die Dokumente jährlich zu aktualisieren, um sicherzustellen, dass sie nützlich und auf dem neuesten Stand sind. Sie müssen aktiv mit den Zielsetzungen und Regeln in diesen beiden Dokumenten arbeiten, um sicherzustellen, dass Ihre Organisation vorankommt.
Erreichen Sie die Ziele Ihrer IT-Sicherheitsrichtlinie durch kontinuierliches Lernen
Ich hoffe, Sie fanden die Vorlage für eine IT-Sicherheitsrichtlinie nützlich! Vergessen Sie nicht, dass die Erstellung einer IT-Sicherheitspolitik nur ein Schritt auf dem Weg zu einer stärkeren Sicherheitskultur in Ihrer Organisation ist. Es ist zwar notwendig, Ihre Mitarbeiter*innen über Ihre IT-Sicherheitspolitik zu informieren, doch reicht dies nicht aus, um gute IT-Sicherheitsgewohnheiten zu fördern. Wir empfehlen, sich durch Sensibilisierungsschulungen und Phishing-Tests kontinuierlich über IT-Sicherheitsbedrohungen zu informieren. Error! Hyperlink reference not valid.Falls wir Ihnen dabei helfen können Ihre Sicherheitskultur zu stärken, kontaktieren Sie uns.
Hier können Sie sich auch unser Video über die Erstellung einer IT-Sicherheitsrichtlinie ansehen