Informationssicherheitsleitlinie

Aus ISMS-Ratgeber WiKi
Version vom 22. August 2024, 18:21 Uhr von Dirk (Diskussion | Beiträge) (→‎Zielsetzung)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Der Artikel erläutert die Grundsätze und Ziele der Informationssicherheitsleitlinie sowie die Verantwortlichkeiten zur Sicherstellung der Informationssicherheit.

Einleitung

Informationssicherheit hat für die Organisation eine sehr hohe Bedeutung, da alle wesentlichen strategischen und operativen Geschäftsprozesse im Unternehmen maßgeblich durch Informationstechnologie (IT) unterstützt werden.

Die Leitlinie zur Informationssicherheit ist das grundlegendste Dokument für ein Managementsystem für die Informationssicherheit (ISMS).

In ihr legt die Leitung der Organisation die verbindlichen Grundsätze und das anzustrebende Niveau der Informationssicherheit fest. Sie beschreibt in einem für alle Mitarbeitenden verständlichen Detaillierungsgrad die angestrebten Sicherheitsziele und den organisatorischen Rahmen für deren Umsetzung. Die Entwicklung der Leitlinie wurde von der Leitung der Organisation initiiert und begleitet. Die Leitlinie wird von der Leitung der Organisation in Kraft gesetzt.

Geltungsbereich

Diese Leitlinie gilt für alle Bereiche der Organisation, mit Außnahme von....

Sie ist für alle Mitarbeitenden der Organisation verbindlich.

Zielsetzung

Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.:

  • Bewusstsein für Informationssicherheit in der gesamte Organisation schaffen
  • Einhaltung von Gesetzen oder Vorschriften
  • Einhaltung von Verträgen und Lieferzusagen
  • Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
  • Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
  • Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
  • Vermeidung von Ansehensverlust bzw. Imageschaden der Organisation

Gesetzliche Rahmenbedingungen

Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.:

  • Europäischen Datenschutz-Grundverordnung (DSVGO)
  • Bundesdatenschutzgesetz (BDSG)
  • Telekommunikationsgesetz (TKG)
  • Telemediengesetz (TMG)

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Geschäftsprozesse

Kurze Beschreibung der Kernprozesse der Organisation und deren Abhängigkeit von der Informationssicherheit.

Verantwortung

Verantwortung der Organisationsleitung

Die Organisationsleitung hat die Gesamtverantwortung für die Informationssicherheit der Organisation. Sie ist dafür verantwortlich, angemessene und wirksame Regelungen zum Schutz der Informationen der Organisation zu ergreifen. Dies umfasst unter anderem:

  • Sicherheitsziele: Die Organisationsleitung legt messbare und erreichbare Sicherheitsziele für die Organisation fest, an denen sich alle Maßnahmen der Organisation orientieren.
  • Risikomanagement: Die Organisationsleitung identifiziert die Risiken für die Informationssicherheit der Geschäftsprozesse der Organisation, bewertet diese und ergreift angemessene Maßnahmen, um diese zu minimieren.
  • Strategie und Richtlinien: Die Organisationsleitung entwickelt eine umfassende Strategie für die Informationssicherheit, die Richtlinien, Verfahren und Standards enthält, um die Umsetzung der Strategie zu gewährleisten.
  • Ressourcenmanagement: Die Organisationsleitung stellt ausreichende Ressourcen für die Umsetzung der Informationssicherheitsstrategie bereit, einschließlich finanzieller, personeller und technischer Ressourcen.
  • Schulung und Sensibilisierung: Die Organisationsleitung stellt sicher, dass alle Mitarbeitenden über die Bedeutung der Informationssicherheit und die von ihnen zu ergreifenden Maßnahmen informiert sind und entsprechend geschult werden.
  • Überwachung und Verbesserung: Die Organisationsleitung überwacht die Wirksamkeit der Informationssicherheitsmaßnahmen, um sicherzustellen, dass sie angemessen sind und den sich ändernden Bedrohungen und Risiken gerecht werden. Zudem veranlasst sie bei Bedarf Verbesserungen und Anpassungen, um die Informationssicherheit aufrechtzuerhalten und zu verbessern.

Verantwortung der Führungskräfte

Die Verantwortung für die Informationssicherheit der Organisation liegt auch bei den Führungskräften. Die Führungskräfte tragen eine wichtige Rolle bei der Informationssicherheit und der Minimierung von Risiken.

Verantwortlichkeiten der Führungskräfte im Bereich der Informationssicherheit liegen insbesondere in:

  • der Sicherstellung der Implementierung von geeigneten Richtlinien und Verfahren in der Organisation.
  • der Festlegung von klaren Verantwortlichkeiten und Zuständigkeiten für die Informationssicherheit in ihrem Verantwortungsbereich.
  • der Sicherstellung der angemessenen Schulung und Sensibilisierung der Mitarbeitenden für die Informationssicherheit.
  • der Gewährleistung einer regelmäßigen Überprüfung und Aktualisierung der Sicherheitsrichtlinien und -verfahren.
  • der Sicherstellung der Einhaltung von Sicherheitsstandards, -richtlinien und -regelungen.

Zusammenfassend ist es die Verantwortung der Führungskräfte, eine Kultur der Informationssicherheit in der Organisation zu fördern und sicherzustellen, dass die IT-Sicherheitsmaßnahmen der Organisation kontinuierlich verbessert werden, um die Informationen der Organisation zu schützen.

Verantwortung der Mitarbeiter und Mitarbeiterinnen

Die Verantwortung für die Informationssicherheit liegt nicht allein bei der IT-Abteilung oder den Führungskräften der Organisation. Jeder Mitarbeitende trägt Verantwortung für die Sicherheit von Informationen und Systemen der Organisation.

Mitarbeitende sind verantwortlich für die Einhaltung von Sicherheitsrichtlinien, -verfahren und -vorschriften der Organisation. Sie müssen sicherstellen, dass sie alle Sicherheitsmaßnahmen verstehen und befolgen, die vom der Organisation vorgeschrieben sind, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systeme der Organisation zu gewährleisten.

Darüber hinaus sollten Mitarbeitende aufmerksam sein und verdächtige Aktivitäten oder ungewöhnliches Verhalten an die zuständige Abteilung oder das Sicherheitsmanagement der Organisation melden.

Organisation der Informationssicherheit

Beschreibung der Organisationsstruktur ggf. mit Organigramm.

Informationssicherheitsmanagement Prozess

Das Informationssicherheitsmanagement der Organisation ist ein kontinuierlicher Prozess der fortlaufend angepasst werden muss. Geänderte Prozesse und Verfahren, der Wandel in den gesetzlichen Rahmenbedingungen und neue Technologien erfordern genauso laufende Anpassungen, wie neue und veränderte Bedrohungen und Schwachstellen.

Für eine nachhaltige Angemessenheit und Wirksamkeit des Sicherheitsmanagements unterliegt der gesamte Prozess einem PDCA-Zyklus der regelmäßig durchlaufen wird:

  • Plan – Planung von Sicherheitsmaßnahmen
  • Do – Umsetzung der geplanten Maßnahmen
  • Check – Überwachung und Kontrolle der Zielerreichung
  • Act – Beseitigung von Defiziten durch Korrekturmaßnahmen und Verbesserung.

Aufgaben der/des Informationssicherheitsbeauftragten

Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.

Seine Aufgaben sind u.a.:

  • Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
  • Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
  • Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
  • Begleitung und Auswertung von Sicherheitsvorfällen
  • Begleitung der Einführung neuer Verfahren und Anwendungen

Ansprechpartnerin bzw. Ansprechpartner für Informationssicherheit

Je nach Organisationsgröße ggf. weitere Beteiligte im Informationssicherheitsmanagement, fachliche Ansprechpartner in der Organisation etc.

Verstöße gegen die Informationssicherheit

Meldung von Auffälligkeiten oder Verstößen

Jede Mitarbeiterin und jeder Mitarbeiter ist unabhängig von seiner Funktion berechtigt und aufgefordert Auffälligkeiten oder mögliche Verstöße gegen die Informationssicherheit unverzüglich zu melden.

Ggf. Beschreibung der Meldewege.

Konsequenzen bei Verstößen

Verstöße gegen Sicherheitsvorgaben können der Organisation, den Mitarbeitenden, Geschäftspartnern und Kunden Schaden zufügen.

Unbeabsichtigte Verstöße können auch bei sorgfältiger Arbeit vorkommen und bleiben in der Regel ohne Folgen für die Betroffenen, wenn sie unverzüglich gemeldet werden.

Vorsätzliche Verstöße gegen Sicherheitsvorgaben können arbeits- oder strafrechtliche Konsequenzen nach sich ziehen.

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung