Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 3

In den vorherigen zwei Teilen dieses Leitfadens ging es um die Gründe für eine Policy und um Informationsbeschaffung als Vorbereitung. Nun, im letzten Teil des Leitfadens, geht es um die Erstellung der Policy und darüber hinaus, welche weiteren Aufgaben im Nachhinein zu erledigen sind.

Bei der Erstellung gilt es darauf zu achten, dass die Policy kurz und effektiv ist. Eine gute Policy deckt alle sicherheitsrelevanten Aspekte ab und ist dennoch überschaubar. Zusätzlich sollte die Policy einem geordneten Schema folgen. Zu aller erst eine kurze Einleitung, um das Commitment der Unternehmensleitung und die Notwendigkeit für die Policy zu erklären. Im Anschluss eine Übersicht über die Unternehmenswerte, die es zu schützen gilt. Nach der Einführung folgt dann der Hauptteil, welcher alle sicherheitsrelevanten Regeln und Maßnahmen beinhaltet. Hierbei ist es wieder ratsam sich an etablierten Lösungen zu orientieren. Zum Schluss sollten noch die Folgen bei Missachtung der Regelungen erwähnt werden, um einen gewissen Druck hinter die Forderungen zu stellen und die Notwendigkeit erneut zu betonen.

Nach der Fertigstellung muss die Policy auf dem richtigen Weg publik gemacht werden. Dabei reicht es nicht aus, die Policy jedem zur Verfügung zu stellen und davon auszugehen sie würde gelesen, verstanden und umgesetzt werden. Damit die Policy realisiert werden kann, muss sie den Mitarbeitern auf eine angemessene Art und Weise vermittelt werden. Da die Realisierung oft mit zusätzlichem Aufwand verbunden ist und die Policy zunächst nur eine organisatorische Maßnahme darstellt, kann sie potenziellerweise auch umgangen werden. Um ein systematisches Unterwandern zu vermeiden, reicht Zwang alleine nicht aus. Es muss ein Verständnis für Informationssicherheit bei den Mitarbeitern erzeugt werden. Dieses Verständnis könnte man erzeugen, indem man zusätzlich zu den in der Policy erwähnten Regeln und Maßnahmen, auch die Gründe und Notwendigkeiten dafür aufzeigt. 

Es empfiehlt sich Schulungen zu arrangieren. Dabei sollte die Policy Schritt für Schritt den Mitarbeitern erläutert werden. Zeitgleich können Missverständnisse sowie Unklarheiten beseitigt werden und offene Fragen seitens der Mitarbeiter beantwortet werden. Des Weiteren sollte in den Schulungen auch über die Hintergründe informiert werden. Im Anschluss muss die Teilnahme der Schulung, das Verständnis der Policy und die Einwilligung der Umsetzung schriftlich dokumentiert werden. 

Letzten Endes, wenn alle Mitarbeiter die Policy gelesen, ohne restliche Fragen verstanden und mit ihrer Unterschrift die Einhaltung nach bestem Wissen und Gewissen bestätigt haben, ist die Arbeit fürs Erste getan. Doch, da sich Unternehmen verändern, stetige Risikoanalysen neue Informationen liefern, die Schutzmaßnahmen an neuen Risiken oder Technologien angepasst werden, ist der Kontext, auf dem die Policy basiert im Wandel. Aus diesem Grund muss die Policy regelmäßig überprüft und ggf. angepasst werden. Auch die Einhaltung der Policy muss kontinuierlich überprüft werden. Denn die Policy erfüllt nur dann ihren Zweck, wenn sie auch eingehalten wird.

Zusammengefasst lässt sich also sagen, dass eine Policy nicht nur geschrieben sondern auch umgesetzt werden muss. Dazu gehört nicht nur die richtige Kommunikation der Regeln, sondern auch die Überprüfung der Einhaltung und die Anpassung an den sich verändernden Kontext. Da eine Policy, als organisatorische Maßnahme, nur einen Teil zur Informationssicherheit beiträgt, diese aber nicht garantiert, ist es notwendig noch einmal in die Standards, die ggf. zur Erstellung der Policy beigetragen haben, zu gucken und noch weitere Maßnahmen umzusetzen.

Tags: , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.