VDA ISA 6.0.2

TISAX® Kapitel 1.1.1
Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Die Organisation benötigt mindestens eine Richtlinie für Informationssicherheit. Diese spiegelt die Wichtigkeit und Bedeutung der Informationssicherheit wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.

Anforderungen

Muss
Die Anforderungen an die Informationssicherheit sind ermittelt und dokumentiert
Muss
Die Anforderungen sind an die Ziele der Organisation angepasst
Muss
Eine Richtlinie ist erstellt und von der Organisationsleitung freigegeben
Sollte
Die Richtlinie enthält Ziele und den Stellenwert der Informationssicherheit in der Organisation.
Sollte
Die Anforderungen an die Informationssicherheit auf der Grundlage der Organisationsstrategie, Gesetzen und Verträgen sind in der Richtlinie berücksichtigt
Sollte
Die Richtlinie weist auf Konsequenzen bei Nichtbeachtung hin
Sollte
Weitere relevante Richtlinien zur Informationssicherheit sind erstellt
Sollte
Eine regelmäßige Prüfung und - falls notwendig - Überarbeitung der Richtlinien sind etabliert
Sollte
Die Richtlinien werden Mitarbeitern in geeigneter Form (z. B. Intranet) zur Verfügung gestellt
Sollte
Die Richtlinien werden fallbezogen (ggf. auch in Auszügen) an externe Geschäftspartner weitergegeben
Sollte
Mitarbeiter und externe Geschäftspartner werden über für sie relevante Änderungen informiert

Umsetzung

Informationssicherheitsrichtlinien

Eine effektive Informationssicherheitspolitik sollte auf höchster Unternehmensebene definiert und vom Management genehmigt werden. Sie sollte einen klaren Ansatz zur Bewältigung der Informationssicherheitsziele festlegen und Anforderungen behandeln, die sich aus der Geschäftsstrategie, Vorschriften, Gesetzen, Verträgen und dem aktuellen sowie voraussichtlichen Bedrohungsumfeld der Informationssicherheit ergeben.

Die Informationssicherheitspolitik sollte Aussagen enthalten über:

  • Die Definition von Informationssicherheit, Zielen und Grundsätzen, um alle Aktivitäten in Bezug auf Informationssicherheit lenken zu können.
  • Zuordnung allgemeiner und spezifischer Verantwortlichkeiten zu definierten Rollen für die Handhabung von Informationssicherheit.
  • Prozesse für den Umgang mit Abweichungen und Ausnahmen.

Darüber hinaus sollte die Informationssicherheitspolitik durch themenspezifische Richtlinien unterstützt werden, die die Umsetzung von Maßnahmen zur Informationssicherheit anordnen. Diese Richtlinien sollten auf die Bedürfnisse bestimmter Zielgruppen innerhalb der Organisation zugeschnitten sein und bestimmte Themen abdecken, wie z.B. Zugangssteuerung, Informationsklassifizierung, physische und umgebungsbezogene Sicherheit, Datenschutz und Lieferantenbeziehungen.

Diese Richtlinien sollten den Mitarbeitern und allen relevanten externen Parteien in einer Form kommuniziert werden, die für die Zielgruppe relevant, zugänglich und verständlich ist.

Überprüfung der Informationssicherheitsrichtlinien

Die Informationssicherheitsrichtlinien sollten in geplanten Abständen oder nach erheblichen Änderungen überprüft werden, um sicherzustellen, dass sie nach wie vor geeignet, angemessen und wirksam sind. Jede Richtlinie sollte einen Zuständigen haben, dem die Verantwortung für die Entwicklung, Überprüfung und Bewertung der Richtlinien übertragen wurde. Die Überprüfung sollte eine Bewertung des Verbesserungspotenzials für die Richtlinien der Organisation enthalten und einen Ansatz zur Handhabung von Informationssicherheit als Reaktion auf Änderungen im organisatorischen Umfeld, der geschäftlichen und gesetzlichen Rahmenbedingungen und der technischen Umgebung umfassen. Die Überprüfung der Richtlinien zur Informationssicherheit sollte die Ergebnisse der Managementbewertung berücksichtigen. Eine überarbeitete Richtlinie sollte durch das Management genehmigt werden.

Weitere Informationen

Der Bedarf an internen Richtlinien zur Informationssicherheit variiert je nach Organisation. Sie sind besonders nützlich in größeren, komplexeren Organisationen, in denen die Stellen, die Maßnahmen festlegen und genehmigen, von den Stellen getrennt sind, die diese Maßnahmen einführen. Richtlinien für Informationssicherheit können in einer einzelnen „Richtlinie zur Informationssicherheit“ oder in mehreren einzelnen, aber zusammengehörigen Dokumenten verfasst werden.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde