ISMS Sicherheitspolitik gemäß DIN EN ISO 27001 und DIN EN ISO 27002

- Ziele und Grundsätze der IT Sicherheitspolitik ISO 27001 und ISO 27002
1. Sicherheitsrichtlinie

1.1. Einleitung und Geltungsbereich
Die Richtlinie beschreibt Grundsätze für einen angemessenen Schutz von Mitarbeitern und Informationen im Musterunternehmen. Diese Richtlinie ist unter Berücksichtigung der Normenreihe ISO 27001 aufgestellt worden. Der Geltungsbereich ist das Musterunternehmen mit Hauptsitz in XYZ. Ebenso zum Geltungsbereich gehören alle Niederlassungen und Geschäftsstellen in XYZ.
Herausgeber und verantwortlich für die Aktualisierung ist der Sicherheitsbeauftragte. Die im Intranet freigegebene und veröffentliche Fassung ist die gültige und verbindliche Fassung. Druckversionen dienen nur der Information. Falls lokale Regelungen erforderlich sind, sind diese Änderungen mit dem Informationssicherheitsmanagement abzustimmen. Die nachfolgenden Grundsätze der Richtlinie gelten uneingeschränkt und unmittelbar, unabhängig von der Erstellung eigener Regelungen.

KOSTENLOSE VORLAGE: Mit der  kostenlosen Verfahrensanweisung ISMS ISO 27001 bauen Sie ein dokumentiertes ISMS-Managementsystem auf.

1.2. Grundsätze
Es lassen sich verschiedene Grundsätze in der ISMS Sicherheitspolitik zusammenfassen. So sind alle Mitarbeiter verpflichtet, die Informationen zu schützen, sodass dem Unternehmen kein Schaden durch unberechtigte Nutzung von Informationen entsteht. Das Sicherheitsmanagement hat Mitarbeiter und Führungskräfte bei der Umsetzung aller Sicherheitsrichtlinien zu unterstützen und führt angemessene Kontrollen durch. Ziel der Sicherheitspolitik ist, die Sicherheit der IT im Unternehmen aufrecht zu erhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Außerdem sind durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen, Image-Schäden für die Organisation sowie Missbrauch von organisationseigenen Daten zu verhindern.

1.3. Zuständigkeit
Der Sicherheitsbeauftragte, der von der Geschäftsleitung des Musterunternehmens eingesetzt wird, und das Sicherheitsmanagementteam stellen die Entwicklung der IT Sicherheitspolitik und der damit verbundenen Standards sicher.
Der Sicherheitsbeauftragte und das Sicherheitsmanagement verfolgen die Umsetzung der IT Sicherheitspolitik des Musterunternehmens und vereinbaren entsprechende Maßnahmen. Das IT-Sicherheitsmanagement berät in Sicherheitsfragen, überwacht das Einhalten der Sicherheitsvorschriften und ermittelt und betreibt Aufklärung im Schadensfall.

Das Sicherheitsmanagement ist verantwortlich für…
• …die Eskalation etwaiger Risiken an die Geschäftsleitung.
• …die Beratung der Mitarbeiter zu Fragen des ISMS.
• …die Schulung der Mitarbeiter in Fragen der Informationssicherheit.

Elemente des IT-Sicherheitsmanagements sind…
• …der IT Sicherheitsbeauftragte
• …die IT-Sicherheitsbeauftragten einzelner Bereiche
• …der Qualitätsmanagementbeauftragte

Die zuständigen Stellen der Informationsverarbeitung…
• …unterstützen die Belange des Informationsschutzes.
• …schaffen technische Voraussetzungen für einen ausreichenden Schutz der betrieblichen Informationen, die mittels Informationstechnologie gespeichert, verarbeitet und übermittelt werden und überwachen – zusammen mit den Funktionen der Sicherheit – die Einhaltung der Sicherheitsmaßnahmen.

Zum Seitenanfang
2. Informationsschutz

Schäden für das Unternehmen oder Dritte können entstehen, wenn Unbefugte oder Nicht-Berechtigte Kenntnis von internen Informationen erlangen und diese zum Nachteil des Musterunternehmens verwenden. Daher müssen alle „Berechtigten“ einen wirkungsvollen Schutz der Informationen sicherstellen, unabhängig von der Form, in der sie vorliegen.

Beispiele:
• persönliche Übermittlung, Telefonate, Fax,
• Schriftstücke, Datenträger,
• Programmcodes

2.1. Vorgaben
Als „Berechtigte“ dürfen alle Mitarbeiter des Musterunternehmens und externe Partner, die mit der Firma in einer Geschäftsbeziehung stehen, die zur Erfüllung ihrer Aufgaben erforderlichen Informationen erhalten. Alle Mitarbeiter sind verpflichtet, durch ihr Verhalten Informationen zu schützen, damit Schaden vom Unternehmen abgewendet wird.

2.2. Regeln zur Behandlung von Informationen
Alle das Musterunternehmen sowie dessen Mitarbeiter und Kunden betreffenden Informationen, sind entsprechend den nachfolgenden Regeln zu behandeln.
Ausnahme: Pressemitteilungen oder Vorträge und Beiträge in Publikationen. Nur autorisierte Stellen, wie z.B. die Marketing-Abteilung und die Geschäftsführung, dürfen die Presse informieren. Im Zweifel sind Informationen vertraulich zu behandeln.
Für alle Informationen und Dokumente gelten die folgenden Schutzklassen:

• „offen (public)“
Keine Kennzeichnungspflicht
• „nur für internen Gebrauch (for internal use only)“
Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der Interessen des Musterunternehmens schaffen.
Beispiele: Besprechungsprotokolle, Projektdokumentationen, Arbeitsbeschreibungen, Softwareprogramme.
• „vertraulich (confidential)“
Informationen, die bei Veröffentlichung eine schwere Schädigung der Interessen des Musterunternehmens wahrscheinlich machen würden, und Informationen, die nach dem Bundesdatenschutzgesetz unter strafrechtlichem Geheimhaltungsschutz stehen.
Beispiele: Vertragsunterlagen, Marketingstrategien, Organigramme, Bilanz- und Steuerunterlagen, jegliche personenbezogenen Daten (Mitarbeiterdaten, Kundendaten)

AUSBILDUNG: Mit der Ausbildung ISMS Beauftragter – ISO/IEC 27001 – Informationssicherheitsmanagement betreuen Sie Ihr ISMS im Unternehmen erfolgreich.

2.2.1. Festlegung der Verantwortlichkeiten und der Vorgehensweise
• Jeder Informationsinhaber ist für den Schutz der Informationen verantwortlich, also für Kennzeichnung, Aufbewahrung, Speicherung, Verarbeitung, Weitergabe und Vernichtung.
• Führungskräfte veranlassen für ihre Aufgabenumfänge und Geschäftsprozesse Schutzmaßnahmen für die Informationen. Hierbei sind Verfügbarkeit, Integrität und Authentizität sowie die Vertraulichkeit der Informationen zu berücksichtigen.
• Der Informationsgeber stellt bei Informationen mit vertraulichem Inhalt sicher, dass der Informationsempfänger über den Grad der Vertraulichkeit und den besonderen Umgang mit einer Information Kenntnis erhält. Hierzu muss die Information unabhängig von der Art der Übermittlung entsprechend den gültigen Regeln gekennzeichnet und geschützt werden.
Kundendaten und Informationen, die den Kunden betreffen, sind vertraulich und zweckbestimmt zu behandeln.

2.2.2. Festlegung des Umgangs und der Kennzeichnung von Informationen und Dokumenten
Vertrauliche Informationen in schriftlicher Form werden als vertraulich gekennzeichnet. Die Kennzeichnung von vertraulichen Schriftstücken erfolgt deutlich lesbar. Bei neu zu erstellenden, nicht gekennzeichneten und vertraulichen Dokumenten ist die Vorlage „Vertraulich“ zu verwenden. Vertrauliche Informationen in elektronischer Form sowie in E-Mails sind… Weiter lesen Sie hier.

Zum Seitenanfang
3. Schutz des Eigentums

Jeder Mitarbeiter ist zum Schutz des Eigentums verpflichtet.

- Zum Eigentum zählen alle… Weiter lesen Sie hier.

Zum Seitenanfang
4. Anweisungen, Leitlinien, Maßnahmen

Alle Policies, Anweisungen und Leitlinien des Musterunternehmens finden Sie im Intranet. Neben den Maßnahmen und Regelungen zum IT-Grundschutz im Musterunternehmen werden hier auch… Weiter lesen Sie hier.

Zum Seitenanfang
5. Risikomanagement

Die Zuständigkeit für die regelmäßige Ermittlung und Bewertung der Risiken verbleibt beim… Weiter lesen Sie hier.

VORLAGE: Mit der Vorlage ISMS IT Sicherheitspolitik gemäß ISO 27001 und ISO 27002 erfahren Sie alles zur Sicherheitspolitik ISO 27001 und ISO 27002.

Zum Seitenanfang
 6. Unabhängige Prüfung

Die Einhaltung dieser Policy wird regelmäßig sowohl in internen Audits als auch durch… Weiter lesen Sie hier.

Zum Seitenanfang
7. Verstöße

Als Verstöße gelten beabsichtigte oder grob fahrlässige Handlungen, die… Weiter lesen Sie hier.

Zum Seitenanfang
8. Ansprechpartner und Organisationsstruktur

IT-Sicherheitsbeauftragter für ISMS, IT Sicherheit, Geräte, Anlagen und… Weiter lesen Sie hier.

Zum Seitenanfang
9. Anhang

Stichworterklärungen

Informationen: Daten, die auf Systemen oder Medien, wie z.B…. Weiter lesen Sie hier.