IT-Grundschutz/Leitlinie: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Grundschutz/Dokumentation nach Grundschutz/Leitlinie, ohne dabei eine Weiterleitung anzulegen |
|||
Zeile 20: | Zeile 20: | ||
== Beispiel: Leitlinie für die Informationssicherheit bei der RECPLAST == | == Beispiel: Leitlinie für die Informationssicherheit bei der RECPLAST == | ||
Auch das Unternehmen RECPLAST hat eine Sicherheitsleitlinie entwickelt. | ; Auch das Unternehmen RECPLAST hat eine Sicherheitsleitlinie entwickelt. | ||
Folgende Themen werden adressiert: | |||
* Stellenwert der Informationssicherheit und Bedeutung der Leitlinie, | * Stellenwert der Informationssicherheit und Bedeutung der Leitlinie, | ||
* Sicherheitsniveau und Ziele, | * Sicherheitsniveau und Ziele, | ||
Zeile 28: | Zeile 28: | ||
* Geltungsbereich und Verweis auf Konkretisierung. | * Geltungsbereich und Verweis auf Konkretisierung. | ||
Sie finden dieses Muster in Kapitel 2 der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html ausführlichen Darstellung zur RECPLAST .] | Sie finden dieses Muster in Kapitel 2 der [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Hilfsmittel-und-Anwenderbeitraege/Recplast/recplast_node.html ausführlichen Darstellung zur RECPLAST.] | ||
== Übung zur Anwendung == | == Übung zur Anwendung == |
Version vom 22. August 2023, 22:35 Uhr
Beschreibung
Die Leitlinie zur Informationssicherheit ist ein wichtiges Grundsatzdokument der Leitung zu dem Stellenwert, den verbindlichen Prinzipien und dem anzustrebenden Niveau der Informationssicherheit in einer Institution.
- Für die betroffenen Mitarbeiter verständlich, wird auf wenigen Seiten beschrieben, welche Sicherheitsziele angestrebt und in welchem organisatorischen Rahmen diese umgesetzt werden sollen.
- Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden.
- Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.
Die Leitlinie muss allen betroffenen Mitarbeitern bekannt gegeben und kontinuierlich aktualisiert werden.
Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
- Der Geltungsbereich wird konkretisiert.
- Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
- Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
- Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
- Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
- Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
- Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
Im Baustein Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert.
- Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.
Beispiel: Leitlinie für die Informationssicherheit bei der RECPLAST
- Auch das Unternehmen RECPLAST hat eine Sicherheitsleitlinie entwickelt.
Folgende Themen werden adressiert:
- Stellenwert der Informationssicherheit und Bedeutung der Leitlinie,
- Sicherheitsniveau und Ziele,
- Verantwortlichkeiten,
- Verstöße und Folgen,
- Geltungsbereich und Verweis auf Konkretisierung.
Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST.
Übung zur Anwendung
Bitte überlegen Sie, wie Sie eine Sicherheitsleitlinie für Ihr Unternehmen oder Ihre Behörde gestalten würden.
- Wie definieren Sie den Geltungsbereich?
- Welche Ziele nennen Sie?
- Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe? Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
- Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
- Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?