Diskussion:IT-Grundschutz/Leitlinie

Aus Foxwiki

Unternehmensvorstellung

<Tätigkeitsfeld, Unternehmensphilosophie, Leitbild>

Einleitung

Digitale Informationsverarbeitung und Telekommunikation spielen eine zentrale Rolle für die Aufgabenerfüllung und bedienen sich maßgeblicher Unterstützung durch die Informationstechnik (IT) bei der Ausübung wesentlicher Funktionen und Aufgaben.

Wir verarbeiten insbesondere personenbezogene sowie sensible Daten und Informationen, um unsere Aufgaben und Pflichten gegenüber unseren Kunden, Vertragspartnern, Beschäftigten, Dienstleistern, Behörden und sonstigen Dritten zu erfüllen.

Wir verarbeiten Daten und Informationen, die einen spezifischen Schutzbedarf aufweisen und somit vor einer unberechtigten Kenntniserlangung durch unberechtigte Dritte besonders zu schützen und zu sichern sind.

Der Schutz vor unberechtigtem Zugriff und vor unerlaubter Änderung von Daten und Informationen, die die Entwicklung innovativer Produkte betreffen, ist von existenzieller Bedeutung für unsere Organisation.

Die <oberste Leitung> sieht sich in der Pflicht, Maßnahmen zur Informationssicherheit insbesondere in den Bereichen IT-Sicherheit und Datenschutz in allen relevanten Geschäfts- und Produktionsprozessen zu implementieren und durch den Betrieb eines Informationssicherheitsmanagementsystems (ISMS) aufrecht zu erhalten und zu verbessern.

Die Entwicklung und Umsetzung eines angemessenen Schutz- und Informationssicherheitsniveaus orientiert sich an den geltenden Rechtsvorschriften sowie grundsätzlich an der ISO 27001 sowie dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Geltungsbereich

Die Leitlinie zur Informationssicherheit gilt für <die gesamte Organisation>.

Ziele der Informationssicherheit

Bei der Planung und Ausübung unserer Geschäfts- und Produktionsprozesse werden wir stets Maßnahmen zur Sicherstellung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie darüber hinaus zur Authentizität, Revisionsfähigkeit, Belastbarkeit und Transparenz unserer Daten und Informationen einbeziehen und deren Umsetzung sicherstellen.

Für die weitreichende Unterstützung durch die IT gilt es, ein angemessenes Informationssicherheitsniveau mit der Aufrechterhaltung und Weiterentwicklung organisatorischer Rahmenbedingungen für betriebene und geplante IT-Systeme und Anwendungen anzustreben und nachhaltig zu gewährleisten. Dabei werden insbesondere die kontinuierliche Verbesserung des Informationssicherheitsmanagements, abgestimmte Standards zur Informationssicherheit und die erforderliche Dokumentation der getroffenen Vorkehrungen und Maßnahmen im Bereich der Informationssicherheit berücksichtigt.

Den Anforderungen aus der Compliance an die Informationssicherheit ist in besonderem Maße nachzukommen, so dass Informationssicherheitsrisiken angemessen behandelt werden können und das Risiko von Informationssicherheitsvorfällen und damit verbundene Schadensauswirkungen sukzessive gemindert werden kann.

Informationssicherheitsstrategie

Die Informationssicherheitsstrategie für die <Organisation> besteht darin, mit wirtschaftlichem Ressourceneinsatz ein höchst mögliches Maß an Informationssicherheit zu erreichen und verbleibende Restrisiken zu minimieren. Dieser kontinuierliche Prozess wird durch die <oberste Leitung> unterstützt und mitgetragen. Die Entwicklung und Freigabe dieser Leitlinie zur Informationssicherheit, die Festlegung von Grenzwerten für tolerierbare Informationssicherheitsrisiken in Form von Vorgaben für die Akzeptanz von Informationssicherheitsrisiken sowie die Übernahme der Verantwortung für die ausgewiesenen Restrisiken durch die <oberste Leitung> stellen die Wirksamkeit des ISMS und dieser Informationssicherheitsstrategie sicher.

Das Verhältnis von Aufwand und Behandlung von Informationssicherheitsrisiken ist für den spezifischen Schutzbedarf innerhalb des Geltungsbereichs dieser Leitlinie angemessen zu gestalten. Zur Sicherstellung der kontinuierlichen Ausrichtung der Maßnahmen zur Informationssicherheit an dieser Leitlinie ist ein Risikomanagement zu implementieren.

Informationssicherheitssorganisation

Die <oberste Leitung> benennt einen IT-Sicherheitsbeauftragten, welcher, unterstützt durch eine Informationssicherheitsorganisation, das ISMS initiiert, plant, umsetzt, aufrechterhält und kontinuierlich verbessert. Der IT-Sicherheitsbeauftragte berichtet in seiner Funktion direkt an die <oberste Leitung>. Der Informationssicherheitsorganisation werden von der <obersten Leitung> ausreichende Ressourcen u. a. Personal, Budget und Zeit für die Umsetzung erforderlicher Maßnahmen zur Informationssicherheit zur Verfügung gestellt.

Die Informationssicherheitsorganisation wirkt auf die Einhaltung und Verbesserung sämtlicher Maßnahmen zur Informationssicherheit hin und erarbeitet Konzepte und Lösungsvorschläge für alle relevanten Geschäfts- und Produktionsprozesse sowie Verfahren innerhalb des Geltungsbereichs dieser Leitlinie.

Zentrale Aufgabe der Informationssicherheitsorganisation ist die Kontrolle und Überprüfung der getroffenen Maßnahmen zur Informationssicherheit auf Vollständigkeit, Mechanismenstärke und Widerstandsfähigkeit sowie Zuverlässigkeit und Angemessenheit unter Berücksichtigung des aktuellen Stands der Technik.

Die Informationssicherheitsorganisation ist frühzeitig in alle zu berücksichtigenden Projekte einzubinden, um bereits in der Planungsphase relevante Aspekte für die Informationssicherheit zu berücksichtigen. Sofern personenbezogene Daten betroffen sind, gilt gleiches für den Datenschutzbeauftragten.

Innerhalb der Informationssicherheitsorganisation sind geeignete Vertretungsregelungen zu treffen.

Die Administratoren und IT-Benutzer haben sich in relevanten Fragestellungen zur Informationssicherheit an die Anweisungen des IT-Sicherheitsbeauftragten beziehungsweise der Informationssicherheits- organisation zu halten und unterstützen diese bei der Wahrnehmung ihrer Aufgaben.

Maßnahmen zur Informationssicherheit

Maßnahmen zur Informationssicherheit sind insbesondere in den Bereichen Personal, Infrastruktur, Technik und Organisation sowie Compliance und Governance zu erarbeiten und umzusetzen.

Sämtliche Maßnahmen werden in einem angemessenen wirtschaftlichen Verhältnis zum jeweils angestrebten Schutzbedarf der Daten und Informationen stehen und in Bezug auf die dynamische Entwicklung des Unternehmens sorgfältig ausgewählt.

Verbesserung der Informationssicherheit

Die Leitlinie zur Informationssicherheit sowie das IT-Sicherheitskonzept werden regelmäßig auf ihre Aktualität und Wirksamkeit hin geprüft und gegebenenfalls angepasst.

Die <oberste Leitung> unterstützt aktiv die ständige Verbesserung der Informationssicherheit.

Alle relevanten Personen des Unternehmens sowie die <oberste Leitung> sind angehalten, die Umsetzung und Aufrechterhaltung sämtlicher Maßnahmen aktiv zu unterstützen und sich anbahnende und auftretende Informationssicherheitsvorfälle unverzüglich zu melden. Darüber hinaus werden alle relevanten Personen der <Organisation> regelmäßig in Bezug auf die Informationssicherheit geschult und sensibilisiert.

Verstöße und Folgen

Ein für die Informationssicherheit oder den Datenschutz der <Organisation> gefährdendes Verhalten, kann disziplinar-, straf- oder arbeitsrechtliche Konsequenzen haben.