IT-Grundschutz/Leitlinie: Unterschied zwischen den Versionen
Zeile 12: | Zeile 12: | ||
; Veröffentlichung | ; Veröffentlichung | ||
* Muss allen betroffenen Mitarbeitern bekannt gegeben | |||
* Kontinuierlich aktualisiert werden | |||
== Inhalte == | == Inhalte == |
Version vom 22. August 2023, 22:51 Uhr
Beschreibung
- Leitlinie zur Informationssicherheit
Grundsatzdokument der Leitung zur Informationssicherheit in einer Institution
- Stellenwert
- Verbindliche Prinzipien
- Anzustrebenden Niveau
- Anforderungen
- Für die betroffenen Mitarbeiter verständlich, wird auf wenigen Seiten beschrieben, welche Sicherheitsziele angestrebt und in welchem organisatorischen Rahmen diese umgesetzt werden sollen.
- Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden.
- Der wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom -Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.
- Veröffentlichung
- Muss allen betroffenen Mitarbeitern bekannt gegeben
- Kontinuierlich aktualisiert werden
Inhalte
- Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?
- Der Geltungsbereich wird konkretisiert.
- Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
- Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
- Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
- Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
- Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
- Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
- Anforderungen
Im Baustein Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert.
- Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.
Beispiel
- Für das Beispielunternehmen RECPLAST hat das BSI eine Sicherheitsleitlinie entwickelt
Folgende Themen werden adressiert
- Stellenwert der Informationssicherheit
- Bedeutung der Leitlinie
- Sicherheitsniveau und Ziele
- Verantwortlichkeiten
- Verstöße und Folgen
- Geltungsbereich
- Verweis auf Konkretisierung
Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST.
Übung
- Wie gestalten Sie eine Sicherheitsleitlinie für Ihre Einrichtung?
- Wie definieren Sie den Geltungsbereich?
- Welche Ziele nennen Sie?
- Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe? Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
- Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
- Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?