TISAX® Kapitel 1.1.1
Inwieweit sind Richtlinien zur Informationssicherheit vorhanden?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser Vorlagenpaket für TISAX®.
Ziel
Die Organisation benötigt mindestens eine Richtlinie für Informationssicherheit. Diese spiegelt die Wichtigkeit und Bedeutung der Informationssicherheit wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein.
Anforderungen
- Muss
- Die Anforderungen an die Informationssicherheit sind ermittelt und dokumentiert
- Muss
- Die Anforderungen sind an die Ziele der Organisation angepasst
- Muss
- Eine Richtlinie ist erstellt und von der Organisationsleitung freigegeben
- Sollte
- Die Richtlinie enthält Ziele und den Stellenwert der Informationssicherheit in der Organisation.
- Sollte
- Die Anforderungen an die Informationssicherheit auf der Grundlage der Organisationsstrategie, Gesetzen und Verträgen sind in der Richtlinie berücksichtigt
- Sollte
- Die Richtlinie weist auf Konsequenzen bei Nichtbeachtung hin
- Sollte
- Weitere relevante Richtlinien zur Informationssicherheit sind erstellt
- Sollte
- Eine regelmäßige Prüfung und - falls notwendig - Überarbeitung der Richtlinien sind etabliert
- Sollte
- Die Richtlinien werden Mitarbeitern in geeigneter Form (z. B. Intranet) zur Verfügung gestellt
- Sollte
- Die Richtlinien werden fallbezogen (ggf. auch in Auszügen) an externe Geschäftspartner weitergegeben
- Sollte
- Mitarbeiter und externe Geschäftspartner werden über für sie relevante Änderungen informiert
Umsetzung
Informationssicherheitsrichtlinien
Eine effektive Informationssicherheitspolitik sollte auf höchster Unternehmensebene definiert und vom Management genehmigt werden. Sie sollte einen klaren Ansatz zur Bewältigung der Informationssicherheitsziele festlegen und Anforderungen behandeln, die sich aus der Geschäftsstrategie, Vorschriften, Gesetzen, Verträgen und dem aktuellen sowie voraussichtlichen Bedrohungsumfeld der Informationssicherheit ergeben.
Die Informationssicherheitspolitik sollte Aussagen enthalten über:
- Die Definition von Informationssicherheit, Zielen und Grundsätzen, um alle Aktivitäten in Bezug auf Informationssicherheit lenken zu können.
- Zuordnung allgemeiner und spezifischer Verantwortlichkeiten zu definierten Rollen für die Handhabung von Informationssicherheit.
- Prozesse für den Umgang mit Abweichungen und Ausnahmen.
Darüber hinaus sollte die Informationssicherheitspolitik durch themenspezifische Richtlinien unterstützt werden, die die Umsetzung von Maßnahmen zur Informationssicherheit anordnen. Diese Richtlinien sollten auf die Bedürfnisse bestimmter Zielgruppen innerhalb der Organisation zugeschnitten sein und bestimmte Themen abdecken, wie z.B. Zugangssteuerung, Informationsklassifizierung, physische und umgebungsbezogene Sicherheit, Datenschutz und Lieferantenbeziehungen.
Diese Richtlinien sollten den Mitarbeitern und allen relevanten externen Parteien in einer Form kommuniziert werden, die für die Zielgruppe relevant, zugänglich und verständlich ist.
Überprüfung der Informationssicherheitsrichtlinien
Die Informationssicherheitsrichtlinien sollten in geplanten Abständen oder nach erheblichen Änderungen überprüft werden, um sicherzustellen, dass sie nach wie vor geeignet, angemessen und wirksam sind. Jede Richtlinie sollte einen Zuständigen haben, dem die Verantwortung für die Entwicklung, Überprüfung und Bewertung der Richtlinien übertragen wurde. Die Überprüfung sollte eine Bewertung des Verbesserungspotenzials für die Richtlinien der Organisation enthalten und einen Ansatz zur Handhabung von Informationssicherheit als Reaktion auf Änderungen im organisatorischen Umfeld, der geschäftlichen und gesetzlichen Rahmenbedingungen und der technischen Umgebung umfassen. Die Überprüfung der Richtlinien zur Informationssicherheit sollte die Ergebnisse der Managementbewertung berücksichtigen. Eine überarbeitete Richtlinie sollte durch das Management genehmigt werden.
Weitere Informationen
Der Bedarf an internen Richtlinien zur Informationssicherheit variiert je nach Organisation. Sie sind besonders nützlich in größeren, komplexeren Organisationen, in denen die Stellen, die Maßnahmen festlegen und genehmigen, von den Stellen getrennt sind, die diese Maßnahmen einführen. Richtlinien für Informationssicherheit können in einer einzelnen „Richtlinie zur Informationssicherheit” oder in mehreren einzelnen, aber zusammengehörigen Dokumenten verfasst werden.
Verwandte TISAX-Kapitel
- Kapitel 1.2.1 – Informationssicherheit managen – Wie das ISMS organisatorisch verankert wird.
- Kapitel 1.4.1 – Risikomanagement – Risiken identifizieren, bewerten und behandeln.
- Kapitel 7.1.1 – Regulatorische Bestimmungen – Compliance-Anforderungen an die Organisation.
