Informationssicherheit ISO 27001

Was ist eine Informationssicherheitsrichtlinie und ISO 27001 Sicherheitspolitik?

Eine Informationssicherheitsrichtlinie stellt ein Vorgabedokument dar, mit dem Unternehmen die Informationssicherheit regeln. Organisationen, die ein ISMS gem. ISO 27001 einführen möchten bzw. bereits implementiert haben, müssen dabei eine Sicherheitspolitik festlegen. Diese ISMS Politik muss dem Zweck der Oranisation angemessen sein, die Informationssicherheitsziele beinhalten bzw. einen Rahmen zur Festlegung von ISMS Zielen bieten und eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit sowie eine Verpflichtung zur fortlaufenden Verbesserung des Managementsystems für Informationssicherheit enthalten. Zudem muss die IT Sicherheitspolitik als dokumentierte Information verfügbar sein, den Mitarbeitern bekannt gemacht werden und für interessierte Parteien verfügbar sein. Auf dieser Seite finden Sie Auszüge aus einer beispielhaften ISMS Politik. Diese soll Ihnen als mögliche Darstellung dienen, damit Ihnen die Festlegung Ihrer eigenen Sicherheitspolitik leichter fällt.


Wie kann eine Informationssicherheitsrichtlinie aufgebaut sein?

Der Aufbau einer ISO 27001 Sicherheitspolitik ist je nach Unternehmen unterschiedlich. Dabei hängen die Inhalte von der Größe und Struktur der Unternehmens sowie von den getroffenen Maßnahmen ab. Außerdem beeinflussen die Ziele und die Strategie für die Informationssicherheit den Aufbau der Leitlinie. Ein Punkt, der bei jeder Informationssicherheitsrichtlinie enthalten sein sollte, ist eine Beschreibung der Struktur der Organisation. Hierbei gilt es, die Abläufe, die für die Informationssicherheit relevant sind, aufzuzeigen und zu erläutern, wie diese umgesetzt werden. Darüber hinaus sollte die Sicherheitspolitik auch die Sicherheitsziele sowie die Strategie zur Erreichung dieser Ziele beinhalten. Auch sollten Unternehmen die Zuständigkeiten angeben. Im folgenden möchten wir Ihnen ein Beispiel einer Informationssicherheitsrichtlinie mal anreißen. Angaben, die sich auf der Beispielunternehmen beziehen, sind kursiv dargestellt.

Katalog: Download


Einleitung und Geltungsbereich für die Informationssicherheitsrichtlinie

Die Richtlinie beschreibt Grundsätze für einen angemessenen Schutz von Mitarbeitern und Informationen im Musterunternehmen. Diese Richtlinie ist unter Berücksichtigung der Normenreihe ISO 27001 aufgestellt worden. Der Geltungsbereich ist das Musterunternehmen mit Hauptsitz in XYZ. Ebenso zum Geltungsbereich gehören alle Niederlassungen und Geschäftsstellen in XYZ. Herausgeber und verantwortlich für die Aktualisierung ist der Sicherheitsbeauftragte. Die im Intranet freigegebene und veröffentliche Fassung ist die gültige und verbindliche Fassung. Druckversionen dienen nur der Information. Falls lokale Regelungen erforderlich sind, sind diese Änderungen mit dem Informationssicherheitsmanagement abzustimmen. Die nachfolgenden Grundsätze der Richtlinie gelten uneingeschränkt und unmittelbar, unabhängig von der Erstellung eigener Regelungen.


Grundsätze der Informationationssicherheit im Rahmen der ISO 27001 Sicherheitspolitik

Es lassen sich verschiedene Grundsätze in der Sicherheitspolitik zusammenfassen. Unter anderem sind alle Mitarbeiter verpflichtet, die Informationen zu schützen, sodass dem Unternehmen kein Schaden durch unberechtigte Nutzung von Informationen entsteht. Das Sicherheitsmanagement hat Mitarbeiter und Führungskräfte bei der Umsetzung aller Sicherheitsrichtlinien zu unterstützen und führt angemessene Kontrollen durch. Ziel der Sicherheitspolitik ist, die Sicherheit der IT im Unternehmen aufrecht zu erhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Außerdem sind durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen, Image-Schäden für die Organisation sowie Missbrauch von organisationseigenen Daten zu verhindern.


Wie können in der Informationssicherheitsrichtlinie Zuständigkeiten definiert werden?

Der Sicherheitsbeauftragte, der von der Geschäftsleitung eingesetzt wird, und das Sicherheitsmanagementteam stellen die Entwicklung der IT Sicherheitspolitik und der damit verbundenen Standards sicher. Der Sicherheitsbeauftragte und das Sicherheitsmanagement verfolgen die Umsetzung der ISO 27001 Sicherheitspolitik und vereinbaren hierfür entsprechende Maßnahmen. Das IT-Sicherheitsmanagement berät in Sicherheitsfragen, überwacht das Einhalten der Sicherheitsvorschriften und ermittelt und betreibt Aufklärung im Schadensfall.

Das Sicherheitsmanagement ist verantwortlich für…

  • …die Eskalation etwaiger Risiken an die Geschäftsleitung.
  • …die Beratung der Mitarbeiter zu Fragen des ISMS.
  • …die Schulung der Mitarbeiter in Fragen der Informationssicherheit.

Elemente des IT-Sicherheitsmanagements sind…

  • …der IT Sicherheitsbeauftragte
  • …die IT-Sicherheitsbeauftragten einzelner Bereiche
  • …der Qualitätsmanagementbeauftragte

Die zuständigen Stellen der Informationsverarbeitung…

  • …unterstützen die Belange des Informationsschutzes.
  • …schaffen technische Voraussetzungen für einen ausreichenden Schutz der betrieblichen Informationen, die mittels Informationstechnologie gespeichert, verarbeitet und übermittelt werden und überwachen – zusammen mit den Funktionen der Sicherheit – die Einhaltung der Sicherheitsmaßnahmen.

Ausbildung ISO 27001 Informationssicherheitsmanagement ISO 27001

Unser Tipp
Präsenzschulung: Besuchen Sie unsere Ausbildung ISO IEC 27001 Basiswissen und steigen Sie in die Grundlagen des Informationssicherheitsmanagements ein. Sie lernen dabei alle wichtigen Forderungen des Norm Standards kennen und erfahren, wie Sie diese erfolgreich umsetzen.
E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Sparen Sie Zeit und lernen Sie in Ihrem optimalen Tempo.

Der Schutz von Informationen

Schäden für das Unternehmen oder Dritte können entstehen, wenn Unbefugte oder Nicht-Berechtigte Kenntnis von internen Informationen erlangen und diese zum Nachteil des Musterunternehmens verwenden. Daher müssen alle „Berechtigten“ einen wirkungsvollen Schutz der Informationen sicherstellen, unabhängig von der Form, in der sie vorliegen. Beispiele hierfür sind:

  • persönliche Übermittlung, Telefonate, Fax,
  • Schriftstücke, Datenträger,
  • Programmcodes

Mögliche Vorgaben der ISO 27001 Sicherheitspolitik zur Behandlung von Informationen

Als „Berechtigte“ dürfen alle Mitarbeiter des Musterunternehmens und externe Partner, die mit der Firma in einer Geschäftsbeziehung stehen, die zur Erfüllung ihrer Aufgaben erforderlichen Informationen erhalten. Alle Mitarbeiter sind verpflichtet, durch ihr Verhalten Informationen zu schützen, damit Schaden vom Unternehmen abgewendet wird. Alle das Musterunternehmen sowie dessen Mitarbeiter und Kunden betreffenden Informationen, sind entsprechend den nachfolgenden Regeln zu behandeln.

Ausnahme: Pressemitteilungen oder Vorträge und Beiträge in Publikationen. Nur autorisierte Stellen, wie z.B. die Marketing-Abteilung und die Geschäftsführung, dürfen die Presse informieren. Im Zweifel sind Informationen vertraulich zu behandeln. Für alle Informationen und Dokumente gelten die folgenden Schutzklassen:

„offen (public)“
Keine Kennzeichnungspflicht

 „nur für internen Gebrauch (for internal use only)“
Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der Interessen des Musterunternehmens schaffen.
Beispiele: Besprechungsprotokolle, Projektdokumentationen, Arbeitsbeschreibungen, Softwareprogramme.

„vertraulich (confidential)“
Informationen, die bei Veröffentlichung eine schwere Schädigung der Interessen des Musterunternehmens wahrscheinlich machen würden, und Informationen, die nach dem Bundesdatenschutzgesetz unter strafrechtlichem Geheimhaltungsschutz stehen.
Beispiele: Vertragsunterlagen, Marketingstrategien, Organigramme, Bilanz- und Steuerunterlagen, jegliche personenbezogenen Daten (Mitarbeiterdaten, Kundendaten)


Word Icon
Unser Tipp
Gratis E-Learning Kurs: Nutzen Sie unseren gratis Online Kurs Was ist ein ISMS nach ISO 27001 und erhalten Sie einen schnellen Überblick über die Grundlagen und Informationssicherheitsmanagementsysteme nach ISO/IEC 27001.

Festlegung der Verantwortlichkeiten und der Vorgehensweise

Im Folgenden sehen Sie, wie in der Informationssicherheitsrichtlinie Verantwortlichkeiten geregelt werden können. Jeder Informationsinhaber ist für den Schutz der Informationen verantwortlich, also für Kennzeichnung, Aufbewahrung, Speicherung, Verarbeitung, Weitergabe und Vernichtung. Führungskräfte veranlassen dabei für ihre Aufgabenumfänge und Geschäftsprozesse Schutzmaßnahmen für die Informationen. Hierbei sind Verfügbarkeit, Integrität und Authentizität sowie die Vertraulichkeit der Informationen zu berücksichtigen. Der Informationsgeber stellt bei Informationen mit vertraulichem Inhalt sicher, dass der Informationsempfänger über den Grad der Vertraulichkeit und den besonderen Umgang mit einer Information Kenntnis erhält. Hierzu muss die Information unabhängig von der Art der Übermittlung entsprechend den gültigen Regeln gekennzeichnet und geschützt werden. Kundendaten und Informationen, die den Kunden betreffen, sind vertraulich und zweckbestimmt zu behandeln.


Festlegung des Umgangs und der Kennzeichnung von Informationen und Dokumenten

Vertrauliche Informationen in schriftlicher Form werden als vertraulich gekennzeichnet. Die Kennzeichnung von vertraulichen Schriftstücken erfolgt deutlich lesbar. Bei neu zu erstellenden, nicht gekennzeichneten und vertraulichen Dokumenten ist die Vorlage „Vertraulich“ zu verwenden. Weitere Hinweise zum Aufbau einer Informationssicherheitsrichtlinie finden Sie hier.

Ihre ISO 27001 Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog