RiLi-Ausnahmemanagement
Die Richtlinie für Ausnahmemanagement beschreibt den Prozess zur Genehmigung und Verwaltung von Abweichungen von Sicherheitsstandards. Er umfasst Kriterien, Dokumentation, Genehmigungsverfahren, Risikobewertungen und die laufende Überwachung, um sicherzustellen, dass Ausnahmen kontrolliert und sicher umgesetzt werden.
Einleitung
Das Regelwerk der Organisation zur Informationssicherheit ist grundsätzlich einzuhalten. Es kann jedoch vorkommen, dass dies aus technischen oder organisatorischen Gründen nicht oder nur mit unvertretbarem Aufwand möglich ist.
Diese Richtlinie legt klare Verfahren und Verantwortlichkeiten fest, um sicherzustellen, dass Abweichungen von den etablierten Sicherheitsstandards und dem Regelwerk der Organisation angemessen behandelt werden. Sie soll Risiken minimieren und sicherstellen, dass unsere Informationssicherheit stets auf höchstem Niveau bleibt.
Diese Richtlinie behandelt die wichtigsten Aspekte des Ausnahmemanagements, einschließlich der Schritte zur Identifizierung von Ausnahmen, der Bewertung ihrer Auswirkungen und der erforderlichen Maßnahmen zur Risikominimierung. Darüber hinaus werden der Genehmigungsprozess und die Dokumentation von Ausnahmen beschrieben.
Geltungsbereich
Diese Richtlinie gilt innerhalb des gesamten Informationssicherheits-Managementsystems (ISMS) der Organisation für alle Abweichungen vom Regelwerk.
Diese Richtlinie ist für alle zuständigen Mitarbeitenden der Organisation verbindlich.
Zielsetzung
Ziel des Ausnahmemanagements, ist die Minimierung von Risiken bei Abweichungen vom Regelwerk und die Gewährleistung der Einhaltung von Sicherheitsstandards.
Verantwortliche
Antragsteller
Personen oder Organisationseinheiten, die einen Antrag auf Ausnahmen vom geltenden Regelwerk stellen, müssen in der Lage sein, den Grund für die Ausnahme und die geplanten Sicherheitsmaßnahmen darzulegen und für Rückfragen während des Genehmigungsprozesses zur Verfügung zu stehen.
Risikomanager
Risikomanager sind Experten auf dem Gebiet des Risikomanagements und führen die ggf. erforderliche Risikoanalyse durch, um die mit der Ausnahme verbundenen Risiken transparent zu machen und die Angemessenheit der geplanten Sicherheitsmaßnahmen zu überprüfen.
Sicherheitsbeauftragter
Der/die Sicherheitsbeauftragte ist für die Koordination des Ausnahmeprozesses verantwortlich. Er/sie stellt sicher, dass alle notwendigen Schritte eingeleitet und dokumentiert werden und gibt aus Sicht der Informationssicherheit eine Empfehlung an die Entscheidungsträger ab.
Betriebsverantwortliche
Betriebsverantwortliche prüfen die betriebliche Umsetzbarkeit, insbesondere der ggf. vorgesehenen Sicherheitsmaßnahmen und schätzen den Aufwand ab.
Führungskräfte / Geschäftsführung
Die oberste Führungsebene muss Ausnahmeanträge genehmigen und die Risiken und Auswirkungen von Ausnahmen verstehen und bei Genehmigung die ggf. verbleibenden Risiken tragen.
Ausnahmeprozess
Ausnahmekriterien
Eine Ausnahme bezieht sich auf eine Situation oder einen Zustand, bei dem von den festgelegten Sicherheitsstandards, Richtlinien oder Regelungen der Organisation abgewichen wird. Eine solche Abweichung kann aus verschiedenen Gründen auftreten, z.B. aufgrund besonderer betrieblicher Anforderungen, technischer Einschränkungen oder unvorhergesehener Ereignisse.
Es ist zu beachten, dass Ausnahmen nicht die Regel sind, sondern Ausnahmen bleiben sollten. Sie erfordern eine sorgfältige Prüfung, Genehmigung und Dokumentation, um sicherzustellen, dass sie die Informationssicherheit und den Datenschutz nicht unnötig gefährden. Ausnahmen sollten nur dann gewährt werden, wenn es keine praktikable Alternative gibt und angemessene Sicherheitsmaßnahmen zur Risikominimierung getroffen werden können.
Bei einer Häufung von Ausnahmen muss geprüft werden, ob die zugrundeliegenden Regelungen angepasst werden müssen, um den betrieblichen oder organisatorischen Anforderungen besser gerecht zu werden und so die Zahl der Ausnahmen zu verringern.
Dokumentation
Die Dokumentation von Ausnahmen im Ausnahmemanagement ist entscheidend, um Transparenz, Nachverfolgbarkeit und Compliance sicherzustellen. Die Dokumentation muss den gesamten Ausnahmeprozess dokumentieren, von der Antragstellung über die Risikoanalyse, den Genehmigungsprozess, die Umsetzung der Sicherheitsmaßnahmen, die Überwachung sowie dem Abschluss (Rückkehr zum regelkonformen Betrieb).
Alle Dokumente im Zusammenhang mit der Ausnahme müssen mindestens zwei Jahre aufbewahrt werden, um die Nachverfolgbarkeit und Compliance sicherzustellen.
Die genaue Dokumentation kann je nach den Anforderungen und Richtlinien Ihrer Organisation variieren, aber sie ist entscheidend, um sicherzustellen, dass Ausnahmen vom Regelwerk angemessen behandelt werden. Die Form der Dokumentaion ist zu beschreiben (schriftlicher Antrag auf Papier oder Email oder ein Vorgangsbearbeitungs- oder Ticketsysten), je nachdem was für Möglichkeiten die Organisation bietet.
Ausnahmeantrag
Der Prozess beginnt mit einem formellen Antrag auf eine Ausnahme. Dieser Antrag muss mindestens die folgenden Angaben enthalten:
- Antragsteller und Ansprechpartner für Rückfragen.
- Beschreibung der Ausnahme (der Abweichung vom Regelwerk).
- Die Gründe für die Ausnahme.
- Die betroffenen Anwendungen und Nutzergruppen.
- Den geplanten Umfang (Anzahl betroffener Systeme/Nutzer sowie Zeitraum der Ausnahme).
- Die geplanten Sicherheitsmaßnahmen.
Genehmigungsverfahren
Risikobewertung
Eine gründliche Risikoanalyse muss durchgeführt werden, um die potenziellen Auswirkungen der Ausnahme auf die Informationssicherheit zu analysieren. Die Ergebnisse dieser Bewertung müssen in der Dokumentation festgehalten werden.
Die geplanten Sicherheitsmaßnahmen zur Minimierung der mit der Ausnahme verbundenen Risiken müssen detailliert beschrieben werden.
Beschreibung der Form der Risikobewertung (vereinfachte Risikobewertung oder Risikoanalyse (z.B. nach BSI Standard 200-3)). Wer führt die Risikobewertung/Riskoanalyse in der Organisation durch?
Sicherheitsbewertung
Auf Basis des Ausnahmeantrags und der Risikobewertung erstellt der Informationssicherheitsbeauftragte eine Sicherheitsbewertung und gibt eine Empfehlung ab, ob dem Antrag aus Sicht der Informationssicherheit zugestimmt werden kann oder nicht.
Betriebliche Bewertung
Auf der Grundlage des Ausnahmeantrags, der Risikobewertung und der geplanten Sicherheitsmaßnahmen erstellt die zuständige Betriebsorganisation eine Empfehlung, ob die Ausnahme aus betrieblicher Sicht befürwortet werden kann oder nicht. Insbesondere auch, ob und mit welchem Aufwand die geplanten Sicherheitsmaßnahmen umgesetzt werden können.
Genehmigung
Genehmigende sind die Führungskräfte der betroffenen Bereiche. Bei bereichsübergreifenden Ausnahmen oder Ausnahmen mit hohem Risiko kann nur die Organisationsleitung eine Genehmigung erteilen.
Der Genehmigende prüft den Ausnahmeantrag unter Berücksichtigung der Risikobewertung und der Empfehlungen des Sicherheitsbeauftragten und der Betriebsorganisation. Die Genehmigung und der Genehmigende sind im Antrag zu dokumentieren. Im Falle einer Ablehnung wird der Antragsteller mit einer kurzen Begründung informiert.
Umsetzung
Nach Erteilung der Genehmigung kann die Ausnahme umgesetzt werden. Je nach Art der Ausnahme kann es sich dabei um organisatorische oder betriebliche Umsetzungen handeln.
Alle im Zuge der Umsetzung vorgenommenen Änderungen sind in der entsprechenden Betriebs- und Verfahrensdokumentation zu dokumentieren und als Ausnahme mit Verweis auf den Ausnahmeantrag zu kennzeichnen.
Laufende Überwachung
Während der Umsetzung der Ausnahme ist eine kontinuierliche Überwachung erforderlich, um sicherzustellen, dass die Sicherheitsmaßnahmen wirksam sind und die Ausnahme wie geplant verläuft.
Bei länger andauernden Ausnahmen muss regelmäßig (mindestens einmal jährlich) eine Evaluierung der Risiken und Maßnahmen durchgeführt werden. Die durchgeführte Evaluierung und deren Ergebnis sind im Ausnahmeantrag zu dokumentieren.
Dokumentation von Änderungen
Sind während der Umsetzung der Ausnahme Änderungen erforderlich, müssen diese dokumentiert werden. Dies kann eine Neubewertung der Risiken, eine Anpassung der Sicherheitsmaßnahmen oder eine Anpassung des geplanten Umfangs sein.
Bei wesentlichen Änderungen in Art oder Umfang der Ausnahme ist der gesamte Ausnahmeprozess neu zu durchlaufen.
Abschluss und Berichterstattung
Sobald die Ausnahme abgeschlossen ist, sollte eine Abschlussdokumentation erstellt werden. Diese Dokumentation sollte alle Ergebnisse, Erfahrungen und Empfehlungen enthalten. Darüber hinaus sollten Berichte über die Ausnahme erstellt werden, um das Management und relevante Stakeholder zu informieren.
Schlussbemerkung
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung