Informationssicherheitsleitlinie
Mustervorlage: "Leitlinie zur Informationssicherheit"
Einleitung
Die Leitlinie zur Informationssicherheit ist das grundlegendste Dokument eines ISMS.
In ihm legt die Leitung einer Organisation verbindlichen Prinzipien und das anzustrebenden Niveau der Informationssicherheit fest. Es werden in einer geringen Detailtiefe für alle Mitarbeiter verständlich, die angestrebten Sicherheitsziele und der organisatorischen Rahmen zu deren Umsetzung beschrieben. Die Entwicklung der Leitlinie muss von der Leitung der Organisation initiiert und begleitet werden. Die Leitlinie muss von der Leitung der Organisation in kraft gesetzt werden.
Geltungsbereich
Diese Leitlinie gilt für alle Bereiche der Organisation, mit Außnahme von....
Sie ist für alle Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.:
- Bewusstsein für Informationssicherheit in der gesamte Organisation schaffen
- Einhaltung von Gesetzen oder Vorschriften
- Einhaltung von Verträgen und Lieferzusagen
- Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
- Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
- Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
- Vermeidung von Ansehensverlust bzw. Imageschaden der Organisation
Gesetzliche Rahmenbedingungen
Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.:
- Europäischen Datenschutz-Grundverordnung (DSVGO)
- Bundesdatenschutzgesetz (BDSG)
- Telekommunikationsgesetz (TKG)
- Telemediengesetz (TMG)
Geschäftsprozesse
Kurze Beschreibung der Kernprozesse der Organisation und deren Abhängigkeit von der Informationssicherheit.
Verantwortung
Verantwortung der Organisationsleitung
Verantwortung der Führungskräfte
Verantwortung der Mitarbeiter und Mitarbeiterinnen
Organisation der Informationssicherheit
Beschreibung der Organisationsstruktur ggf. mit Organigramm.
Aufgaben der/des Informationssicherheitsbeauftragten
Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.
Seine Aufgaben sind u.a.:
- Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
- Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
- Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
- Begleitung und Auswertung von Sicherheitsvorfällen
- Begleitung der Einführung neuer Verfahren und Anwendungen
Ansprechpartnerin bzw. Ansprechpartner für Informationssicherheit
Je nach Organisationsgröße ggf. weitere Beteiligte im Informationssicherheitsmanagement, fachliche Ansprechpartner in der Organisation etc.
Verstöße gegen die Informationssicherheit
Meldung von Auffälligkeiten oder Verstößen
Jede Mitarbeiterin und jeder Mitarbeiter ist unabhängig von deiner Funktion berechtigt und aufgefordert Auffälligkeiten oder mögliche Verstöße gegen die Informationssicherheit unverzüglich zu melden.
Ggf. Beschreibung der Meldewege.
Konsequenzen bei Verstößen
Beabsichtigte oder grob fahrlässige Verstöße gegen Sicherheitsvorgaben, können der Organisation, Mitarbeitenden, Geschäftspartner und Kunden Schäden zufügen. Bewusste Verstöße gegen Sicherheitsvorgaben können arbeitsrechtliche bzw. strafrechtliche Konsequenzen haben.
Schlussbemerkung
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung
