IT-Grundschutz/Leitlinie: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 28: Zeile 28:
* Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.
* Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.


== Beispiel: Leitlinie für die Informationssicherheit bei der RECPLAST ==
== Beispiel ==
; Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt
; Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt



Version vom 22. August 2023, 22:50 Uhr

Beschreibung

Leitlinie zur Informationssicherheit

Grundsatzdokument der Leitung der Informationssicherheit in einer Institution

  • Stellenwert
  • Verbindliche Prinzipien
  • Anzustrebenden Niveau
Anforderungen
  • Für die betroffenen Mitarbeiter verständlich, wird auf wenigen Seiten beschrieben, welche Sicherheitsziele angestrebt und in welchem organisatorischen Rahmen diese umgesetzt werden sollen.
  • Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden.
  • Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.
Veröffentlichung

Die Leitlinie muss allen betroffenen Mitarbeitern bekannt gegeben und kontinuierlich aktualisiert werden.

Inhalte

Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
  • Der Geltungsbereich wird konkretisiert.
  • Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
  • Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
  • Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
  • Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
  • Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
  • Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
Anforderungen

Im Baustein Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert.

  • Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.

Beispiel

Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt

Folgende Themen werden adressiert

  • Stellenwert der Informationssicherheit
  • Bedeutung der Leitlinie
  • Sicherheitsniveau und Ziele
  • Verantwortlichkeiten
  • Verstöße und Folgen
  • Geltungsbereich
  • Verweis auf Konkretisierung

Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST.

Übung

Wie gestalten Sie eine Sicherheitsleitlinie für Ihre Einrichtung?
  • Wie definieren Sie den Geltungsbereich?
  • Welche Ziele nennen Sie?
  • Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe? Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
  • Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
  • Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?