TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
Das Verständnis von TISAX® kann schwierig sein, daher haben wir einen einfachen kostenlosen Leitfaden erstellt
Die Existenz und Umsetzung von Richtlinien zur Informationssicherheit sind entscheidend für den Schutz von Unternehmensinformationen und -daten. Diese Richtlinien sollten klar definiert, von der Unternehmensleitung genehmigt und sowohl den Mitarbeitern als auch relevanten externen Parteien bekannt gemacht werden.
VDA ISA 5.1
Ziel
Die Organisation benötigt mindestens eine Richtlinie für Informationssicherheit. Diese spiegelt die Wichtigkeit und Bedeutung der Informationssicherheit wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.
Anforderungen (muss):
Anforderungen (sollte):
Zusatzanforderungen
keine
Umsetzung
Informationssicherheitsrichtlinien
Eine effektive Informationssicherheitspolitik sollte auf höchster Unternehmensebene definiert und vom Management genehmigt werden. Sie sollte einen klaren Ansatz zur Bewältigung der Informationssicherheitsziele festlegen und Anforderungen behandeln, die sich aus der Geschäftsstrategie, Vorschriften, Gesetzen, Verträgen und dem aktuellen sowie voraussichtlichen Bedrohungsumfeld der Informationssicherheit ergeben.
Die Informationssicherheitspolitik sollte Aussagen enthalten über:
Darüber hinaus sollte die Informationssicherheitspolitik durch themenspezifische Richtlinien unterstützt werden, die die Umsetzung von Maßnahmen zur Informationssicherheit anordnen. Diese Richtlinien sollten auf die Bedürfnisse bestimmter Zielgruppen innerhalb der Organisation zugeschnitten sein und bestimmte Themen abdecken, wie z.B. Zugangssteuerung, Informationsklassifizierung, physische und umgebungsbezogene Sicherheit, Datenschutz und Lieferantenbeziehungen.
Diese Richtlinien sollten den Mitarbeitern und allen relevanten externen Parteien in einer Form kommuniziert werden, die für die Zielgruppe relevant, zugänglich und verständlich ist.
Überprüfung der Informationssicherheitsrichtlinien
Die Informationssicherheitsrichtlinien sollten in geplanten Abständen oder nach erheblichen Änderungen überprüft werden, um sicherzustellen, dass sie nach wie vor geeignet, angemessen und wirksam sind. Jede Richtlinie sollte einen Zuständigen haben, dem die Verantwortung für die Entwicklung, Überprüfung und Bewertung der Richtlinien übertragen wurde. Die Überprüfung sollte eine Bewertung des Verbesserungspotenzials für die Richtlinien der Organisation enthalten und einen Ansatz zur Handhabung von Informationssicherheit als Reaktion auf Änderungen im organisatorischen Umfeld, der geschäftlichen und gesetzlichen Rahmenbedingungen und der technischen Umgebung umfassen.
Die Überprüfung der Richtlinien zur Informationssicherheit sollte die Ergebnisse der Managementbewertung berücksichtigen. Eine überarbeitete Richtlinie sollte durch das Management genehmigt werden.
Weitere Informationen
Der Bedarf an internen Richtlinien zur Informationssicherheit variiert je nach Organisation. Sie sind besonders nützlich in größeren, komplexeren Organisationen, in denen die Stellen, die Maßnahmen festlegen und genehmigen, von den Stellen getrennt sind, die diese Maßnahmen einführen. Richtlinien für Informationssicherheit können in einer einzelnen „Richtlinie zur Informationssicherheit“ oder in mehreren einzelnen, aber zusammengehörigen Dokumenten verfasst werden.
TISAX® Anforderungen
TISAX® Kapitel 1.1.1 - Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
TISAX® Kapitel 1.2.1 - Inwieweit wird in der Organisation Informationssicherheit gemanagt?
TISAX® Kapitel 1.3.1 - Inwieweit werden Informationswerte (Assets) identifiziert und erfasst?
TISAX® Kapitel 1.4.1 - Inwieweit werden Informationssicherheitsrisiken gemanagt?
TISAX® Kapitel 1.5.2 - Inwieweit wird das ISMS von einer unabhängigen Instanz überprüft?
© DeltaSecure GmbH. Alle Rechte vorbehalten.