Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 1

© Dahamoo 2019

Hier entsteht eine Blogreihe über den Weg einer Sicherheitsrichtlinie von der Erstellung bis zur Kommunikation und Einhaltung. Diese wurde durch unseren Praktikanten Dominik Sturm im Rahmen eines Praxisprojektes der Hochschule Bonn-Rhein-Sieg erstellt.

Teil 1: Was ist eine Informationssicherheitsrichtlinie

Mit der stetig steigenden Notwendigkeit für Informationssicherheit in Unternehmen, geht auch die Notwendigkeit einer Informationssicherheitsrichtlinie (im Englischen „Information Security Policy“, fortan „Policy“ genannt) einher. Da es einige Anforderungen an den Inhalt einer solchen Richtlinie gibt und mit der Erstellung viele weitere Aufgaben verbunden sind, ist das Ausmaß dieser Aufgabe gewaltig. Mit dem Inhalt dieses dreiteiligen Leitfadens, soll die Erstellung einer Policy erleichtert und viele offenen Fragen geklärt werden. 

Der erste Teil widmet sich dem Hintergrund einer Policy. Es wird erläutert, wozu eine Policy dient und warum diese so essenziell ist. Welche Informationen zur Erstellung einer Policy benötigt werden und wie man an diese Informationen gelangt, wird im zweiten Teil dieses Leitfadens erklärt. Der dritte und abschließende Teil handelt von der Erstellung und den weiteren Aufgaben, die mit einer Policy einhergehen. Die Kommunikation, die Kontrolle der Erfüllung und die regelmäßige Anpassung der Richtlinie sind die Aufgaben, die es nach der Erstellung umzusetzen gilt.

Ein Unternehmen, welches Informationen verarbeitet, muss besondere Vorkehrungen zum Schutze dieser treffen. Allgemein gilt es die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen zu gewährleisten. Ob ein Unternehmen durch Gesetze, wie zum Beispiel dieDatenschutzgrundverordnung oder das IT-Sicherheitsgesetz, dazu gezwungen ist, oder es allgemein als Service ansieht, Kundendaten sollen möglichst effektiv geschützt werden. Dafür müssen neben physischen und technischen auch organisatorische Maßnahmen umgesetzt werden.

Eine essenzielle organisatorische Maßnahme ist die Policy, denn sie schafft eine Grundlage für Informationssicherheit. Sie ist ein Regelwerk für alle Personen eines Unternehmens und gibt vor, wie die Informationssicherheit umgesetzt bzw. gelebt werden muss. Eine solche Policy dient als grundlegendes Security-Regelwerk, mit ihr wird ein Bewusstsein für Informationssicherheit bei Mitarbeitern geschaffen. Dadurch wird die Wahrscheinlichkeit für fahrlässiges Verhalten und die daraus resultierende Gefährdung gesenkt, sowie weiterhin die Effektivität von anderen Maßnahmen gesteigert. Als Beispiel: Der Inhalt eines Safes ist nur dann sicher, wenn der Safe ordnungsgemäß verschlossen wird und die Kombination oder der Schlüssel nicht unmittelbar zugänglich ist. Im Umkehrschluss ergibt sich daraus, dass viele Maßnahmen, wie etwa ein Safe zur sicheren Aufbewahrung von Informationen, nicht sicher sind, wenn der Mitarbeiter den Safe nicht richtig verschließt. Dies kann daran liegen, dass der Mitarbeiter sich nicht für die Informationssicherheit interessiert, oder er sich einfach nicht mit dem Safe auskennt und daher keine Ahnung hat, wie dieser ordnungsgemäß zu verschließen ist. Für beide Fälle ist eine Policy ein Teil der Lösung. Diese kann zwar ein Risiko nicht vollständig abwenden, allerdings zeigt sie den Mitarbeitern warum Informationssicherheit auch in ihrem Interesse ist und wie sie mit der entsprechenden Technologie im Sinne der Informationssicherheit umzugehen haben. Dadurch wird die Awareness der Mitarbeit erhöht.

Da die Erstellung einer Policy eine gewaltige Verantwortung mit sich bringt und darüber hinaus ein potentiell komplexes Unterfangen ist, muss eine entsprechende Verantwortlichkeit dafür ernannt werden. Diese Person erstellt dann, unter stetiger Rücksprache mit der Führungsebene des Unternehmens, die Policy, kommuniziert sie nach Möglichkeit und ist verantwortlich für die Umsetzung und Aktualisierung.

Zusammengefasst lässt sich sagen, dass eine Policy ein unvermeidlicher Teil von Informationssicherheit ist und einen großen Beitrag zum Thema Awareness leistet. Dazu braucht es eine Menge Informationen. Im folgenden Teil dieses Leitfadens wird die Informationsbeschaffung daher genauer betrachtet.

Fortsetzung folgt …