RiLi-Informationssicherheit KKU

Aus ISMS-Ratgeber WiKi
Version vom 28. April 2023, 12:29 Uhr von Dirk (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{#seo: |title=Richtlinie zur Informationssicherheit nach DIN SPEC 27076 |keywords=Beispiel,Muster,Informationssicherheit,Richtlinie,DIN 27076,Kleinunternehmen,Kleinstunternehmen |description=Muster Richtlinie zur Informationssicherheit auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen. }} Mustervorlage: '''"Richtlinie zur Informationssicherheit nach DIN SPEC 27076"''' ''Diese Mustervorlage dien…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Mustervorlage: "Richtlinie zur Informationssicherheit nach DIN SPEC 27076"

Diese Mustervorlage dient als Entwurf für ein Sicherheits-Richtlinie für Kleinst- und Kleinunternehmen auf Basis von DIN SPEC 27076. Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen, stellt also eigentlich keine Basis für ein Sicherheits-Richtlinie oder gar ein ISMS dar. Sie definiert aber Anforderungen, die im Zuge der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.

Ein expliziter Nachweis einer Sicherheits-Richtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheits-Richtlinie einfließen zu lassen, so hat das Unternehmen zumindest eine rudimentäre schriftliche Richtlinie zur Informationssicherheit in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheits-Richtlinie kann auch zur Vorbereitung einer Beratung oder ganz unabhängig davon als mit vertretbarem Aufwand einfach umzusetzendes internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.

Informationssicherheits-Richtlinie

Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“

Unternehmen

Name des Unternehmens: <Organisationsname>

Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>

Rechtsform des Unternehmens: <Rechtsform>

Handelsregister-Nummer: <(falls vorhanden)>

Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>

Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>

Tätigkeit des Unternehmens

Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen Tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.

Einleitung

IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für ihr Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.

Geltungsbereich

Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.

Zielsetzung

Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)

Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:

  • Bewusstsein für Informationssicherheit in der gesamte <Organisation> schaffen
  • Einhaltung von Gesetzen oder Vorschriften
  • Einhaltung von Verträgen und Lieferzusagen
  • Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und Kunden
  • Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der Geschäftsprozesse
  • Schutz der Verfügbarkeit von IT-Systemen, Diensten und Informationen
  • Vermeidung von Ansehensverlust bzw. Imageschaden der Organisation

Gesetzliche Rahmenbedingungen

Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)

  • Europäischen Datenschutz-Grundverordnung (DSVGO)
  • Bundesdatenschutzgesetz (BDSG)
  • Telekommunikationsgesetz (TKG)
  • Telemediengesetz (TMG)
  • ...

Geschäftsprozesse

Kurze Beschreibung der Kern-Geschäftsprozesse der Organisation.

Kern-Geschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und somit entscheidend für den Erfolg des Unternehmens sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.

Um deine Kern-Geschäftsprozesse herauszufinden, nutze folgende Schritte:

  1. Geschäftsziele: Überlege dir, welche Ziele dein Unternehmen erreichen möchten. Dies kann Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätssteigerung oder andere Ziele sein.
  2. Geschäftsprozesse: Mache eine Liste aller Prozesse, die in deinem Unternehmen stattfinden. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe die zur Erreichung der Geschäftsziele oder zur Erzeugung der Produkte deines Unternehmens erforderlich sind.
  3. Kern-Geschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (das sollten i.d.R. nicht mehr als 3-4 sein).

Einige Beispiele für Kern-Geschäftsprozesse könnten sein:

  • Produktion oder Fertigung
  • Vertrieb und Marketing
  • Kundenbetreuung und Service
  • Forschung und Entwicklung

Verantwortliche

Geschäftsführung

Mitarbeitende

Maßnahmen zur Informationssicherheit

Organisation & Sensibilisierung

Verantwortlichkeit für Informationssicherheit

Beauftragter für Informationssicherheit

Die Geschäftsführung hat <Name des ISB> als Informationssicherheitsbeauftragten (ISB) benannt.

Der ISB wird zu <xx> Prozent von seinen sonstigen Tätigkeiten für die Bearbeitung von Themen der Informationssicherheit freigestellt.

Der ISB schult und sensibilisiert alle Mitarbeitenden regelmäßig (min. 2x / Jahr) zu Themen der Informationssicherheit.

Meldung von Sicherheitsvorfällen

Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.

Sicherheitsvorfälle können z.B. sein:

  • ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
  • vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails oder Anrufe,
  • ..
  • Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.

Externe Dienstleister

Externe Dienstleister..

Vertraulichkeitserklärung

Umgang mit Informationen

Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.

In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.

Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.

Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:

öffentlich
nicht klassifiziert
intern vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Richtlinien, Konzepte, Raumpläne, Organigramme, Informationen zu Kunden, Vertragsdaten Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten
Kenntnis jeder nur Mitarbeitende
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Geschäftsführung oder Entwickler)
Ablage beliebig nur auf internen Systemen der Organisation nur in besonders zugriffsgeschützten Bereichen
Cloud beliebig nur europäische Cloudspeicher nur europäische Cloudspeicher und zusätzlich Verschlüsselt
Mobile
Speicher
beliebig nur zusätzlich verschlüsselt nur auf vom ISB freigegebenen, verschlüsselten Datenträger
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B. Geschäftsführung, Entwicklung)
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2

Identitäts- und Berechtigungsmanagement

Datensicherung

Patch- und Änderungsmanagement

Schutz vor Schadprogrammen

IT-Systeme und Netzwerke

Schlussbemerkung

Inkrafttreten

Diese Richtlinie tritt zum <01.01.2222> in Kraft.

Freigegeben durch: <Organisationsleitung>

Ort, 01.12.2220,

Unterschrift, Name der Leitung