Gastbeitrag: Erstellung und Kommunikation einer Informationssicherheitsrichtlinie nach ISO 27001 – Teil 2

Im ersten Teil dieses dreiteiligen Leitfadens ging es um die Motivation für eine Informationssicherheitsrichtlinie (fortan Policy genannt). Es wurde unter anderem darauf aufmerksam gemacht, dass ohne entsprechendes Bewusstsein bei den Mitarbeitern, die Informationssicherheit an Effektivität verliert, da Sicherheit oft mit zusätzlichem Aufwand verbunden ist. Im zweiten Teil des Leitfadens geht es nun um die Informationsbeschaffung, als Vorbereitung auf die Erstellung einer Policy.

Teil 2: Informationsbeschaffung für eine Policy

Im Vorfeld der Erstellung einer Policy, gilt es einiges zu erledigen. Zunächst muss das Commitment des Top Managements eingeholt werden. Dazu zählt nicht nur die offizielle Auftragserteilung und die Besprechung des Umfangs der Policy, sondern auch die Zusicherung von Ressourcen wie zum Beispiel finanzielle Mittel oder Personal. Weiterhin ist es von größter Bedeutung für die Policy, dass sie von der Geschäftsleitung gewollt ist. Dadurch steht ein entsprechender Druck hinter den Regeln. 

Des Weiteren muss der Kontext des Unternehmens analysiert werden. Dazu zählen unter anderem die Kerngeschäftsprozesse, die obersten Schutzziele, die bekannten Risiken und Schwachstellen, bereits realisierte Maßnahmen sowie die Mitarbeiter und Kunden. Zur Informationsbeschaffung spricht man am besten mit den Mitarbeitern im Unternehmen. Es sollten Mitarbeiter aus allen Bereichen und Positionen befragt werden, um möglichst viele Blickwinkel nachzuvollziehen und die größte Menge an Informationen zu sammeln. Falsch wäre es entweder nur mit den Vorgesetzten oder nur den Angestellten zu sprechen, denn diese wissen nicht immer wo Probleme oder Schwierigkeiten bei der jeweils anderen Partei liegen. Die Informationen über Schwachstellen und bereits vorhandene sowie zukünftig geplante Maßnahmen bekommt man von den Mitarbeitern der IT-Abteilung. Weiterhin sollte man sich, sofern vorhanden, mit dem Datenschutzbeauftragten kurzschließen. Alle gesammelten Informationen fließen in die Policy ein, denn sie muss speziell für den gegebenen Kontext, also das Arbeitsumfeld, die Art der verrichteten Arbeit, die Mitarbeiter und die Kunden, passend sein.

Es ist immer ratsam sich an bereits vorhandenes Frameworks zu orientieren. Die ISO 27001 Norm liefert einen Anforderungskatalog für eine Policy. Man kann auch Online nach einer veröffentlichen Policy suchen. Man kann immer von bereits etablierte Lösungen lernen. Zusammengefasst muss man bei der Informationsbeschaffung gründlich sein. Man muss in das Unternehmen gehen und Vorort mit den Personen des Unternehmens sprechen und sie beobachten, muss sich mit den Arbeitsabläufen vertraut machen und sich in die einzelnen Rollen hineinversetzten. Es reicht nicht nur von außen einen Blick auf das Unternehmen zu werden. 

Im letzten Teil dieses Leitfadens wird die Erstellung einer Policy beschrieben. Es wird geschildert, was eine Policy alles beinhalten sollte und wie sie geschrieben werden sollte. Weiterhin werden die weiteren Aufgaben die mit der Erstellung einhergehen beschrieben.

Fortsetzung folgt …