Leitlinie zur Informationssicherheit: Verantwortung souverän übernehmen

In der Leitlinie zur Informationssicherheit werden jene Leitaussagen der Sicherheitsstrategie zusammengefasst, die die Sicherheitsziele und das angestrebte Sicherheitsniveau betreffen. Für alle Mitarbeiter lässt sich so verbindlich dokumentieren, worauf der Fokus im Bereich IT-Sicherheit liegt. Die IT-Sicherheitsleitlinie dient dazu, sich zur Verantwortung für die hauseigene Informationssicherheit zu bekennen.

Verantwortung übernehmen und sichtbar darstellen

In aller Regel initiiert die Behörden- oder Unternehmensleitung das Erstellen der Leitlinie zur Informationssicherheit. Für die Umsetzung ist neben der Leitung auch ein IT-Sicherheitsbeauftragter verantwortlich.

Einer der wichtigsten Grundsätze bei der IT-Sicherheitsleitlinie ist, dass die Behörden- oder Unternehmensleitung absolut und in vollem Umfang hinter dieser Leitlinie zur Informationssicherheit steht – einschließlich aller dort festgelegten Ziele. Um dies auch nach außen sichtbar darzustellen, unterzeichnet die Geschäftsleitung die Leitlinie und veröffentlicht sie in ihrem Namen.

Einzelne Aufgaben können durchaus an Personen im Unternehmen oder Organisationseinheiten vergeben werden. Nichtsdestotrotz: Die Gesamtverantwortung für die Informationssicherheit im Unternehmen liegt immer bei der Leitung.

Für wen ist eine IT-Sicherheitsleitlinie sinnvoll?

Die IT-Sicherheitsleitlinie ist in jeder Institution, jeder Behörde und jedem Unternehmen relevant, in denen mit Daten umgegangen wird. Daten müssen stets verfügbar, vertraulich und integer sein – das ist eines der Ziele der Informationssicherheit.

Die Leitlinie zur Informationssicherheit ist auch dann sinnvoll, wenn im Unternehmen ein Managementsystem aufgebaut werden soll. Mitarbeitern gibt die IT-Sicherheitsleitlinie die Möglichkeit, jederzeit Einblick in die gesetzten Ziele zur Informationssicherheit zu nehmen.

Welche Voraussetzungen müssen geschaffen werden?

Je nach Schwerpunkt und Ausrichtung eines Unternehmens muss die IT-Sicherheitsleitlinie individuell angepasst werden. Dafür ist es zunächst einmal notwendig, das Unternehmen und seine Systeme in ihrer Gesamtheit zu betrachten: Ohne Ist-Analyse geht es nicht.

Daneben müssen Ziele gesetzt werden: Wo soll Ihr Unternehmen bzw. Ihre Organisation hin? Formulieren Sie möglichst konkret! “Datenschutz” als eines der Ziele zu nennen, ist schon mal ein Weg, jedoch zu unkonkret. Benennen Sie, wo Sie den Datenschutz mit welchen Mitteln bis zu welchem Punkt optimieren möchten.

Fürs Einhalten einer fertiggestellten Leitlinie zur Informationssicherheit ist die Zugänglichkeit für alle Mitarbeiter wichtig. Eine weitere wichtige Voraussetzung ist die Flexibilität: Es gilt, die IT-Sicherheitsleitlinie regelmäßig zu überarbeiten und an aktuelle Gegebenheiten anzupassen.

Welche Inhalte gehören in eine Leitlinie?

Für die Praxis haben sich drei bis zehn Seiten bewährt – mehr als 20 Seiten zeigen sich ungünstig, da diese oft nur unzureichend gelesen werden. Mindestens die folgenden Aspekte sollten in der IT-Sicherheitsleitlinie berücksichtigt werden:

• Stellen Sie den Stellenwert der Informationssicherheit für den Betrieb dar. Beleuchten Sie dabei die Relevanz wesentlicher Informationen, der Geschäftsprozesse und der IT heraus.
• Erläutern Sie nicht nur die Sicherheitsziele selbst, sondern auch ihren Bezug zu den Geschäftszielen Ihrer Organisation.
• Benennen Sie zudem die Kernelemente der Sicherheitsstrategie Ihrer Institution.
• Erstellen Sie Leitaussagen zum Kontrollieren der Erfolge. Die Sicherheitsleitlinie sollte allen Mitarbeitern klar machen, dass die Leitungsebene hinter der Leitlinie zur Informationssicherheit steht und diese durchsetzt.
• Beschreiben Sie die Organisationsstruktur, die für das Umsetzen der Sicherheitsprozesse verantwortlich ist.

Eine gelungene Leitlinie zur Informationssicherheit finden Sie bei der Hochschule Augsburg. Hier können Sie einen Blick in die Inhalte und Formulierungen werfen – bedenken Sie jedoch, dass Ihre IT-Sicherheitslinie natürlich auf Ihr Unternehmen zugeschnitten sein muss.

Welche Gründe sprechen für eine IT-Sicherheitsleitlinie?

Datenschutz ist eines der wichtigsten Themen unserer Zeit. Mit einer IT-Sicherheitsleitlinie gelingt es Ihnen, die Wichtigkeit dieser Thematik intern und extern zu kommunizieren. Nicht nur Ihre Mitarbeiter wissen, dass auch ihre Daten effektiv geschützt werden, sondern Kunden, Lieferanten und Partner können dies ebenfalls einschätzen.

Je konkreter die IT-Sicherheitsleitlinie formuliert ist, umso mehr geben Sie Ihren Mitarbeitern an die Hand. Man kennt Verantwortlichkeiten, weiß, auf welche Ziele hingearbeitet wird. So können sich Mitarbeiter und IT-Verantwortliche besser zurechtfinden.

Auch im Fall der Fälle weiß jeder Beteiligte, was zu tun ist. Kommt es beispielsweise zu einem Datenleck, gelingt es, den Verantwortlichen ausfindig zu machen und die Systeme schnellstmöglich wieder abzusichern. Für Mitarbeiter bedeutet dies ein hohes Maß an Orientierung, Externe wie Kunden oder Dienstleister können erkennen, dass viel Mühe darauf verwendet wird, die sensiblen Daten zu schützen.

Leitlinie zur Informationssicherheit: Das Plus an Vertrauen

Zugegeben: Das Erstellen einer solchen Leitlinie zur Informationssicherheit nimmt Zeit und Konzentration in Anspruch. Die daraus resultierenden Vorteile sind jedoch nicht von der Hand zu weisen:

• Sicherheit für Mitarbeiter, Verantwortliche und Externe wie Kunden oder Dienstleister
• Klare Verteilung von Verantwortlichkeiten
• Geradliniges Erreichen der IT-Sicherheitsziele
• Basis zum Aufbau eines Managementsystems und damit zur ISO/IEC 27001-Zertifizierung
• Ermöglicht zügiges Handeln im Fall der Fälle und verhindert somit teure Ausfälle
• Durch regelmäßige Aktualisierungen sind Fortschritte schnell sichtbar und das Anpassen an aktuelle Gegebenheiten zügig möglich

Haben Sie Fragen oder möchten Sie Unterstützung beim Erstellen Ihrer Leitlinie zur Informationssicherheit? Kommen Sie gerne mit uns in Kontakt – wir beraten Sie bedarfsgerecht!