ISMS Sicherheitspolitik ISO 27001 / ISO 27002

Ziele und Grundsätze der IT Sicherheitspolitik ISO 27001 

Organisationen, die ein ISMS gem. ISO 27001 einführen möchten bzw. bereits implementiert haben, müssen einen Informationssicherheitspolitik festlegen. Diese ISMS Politik muss dem Zweck der Oranisation angemessen sein, die Informationssicherheitsziele beinhalten bzw. einen Rahmen zur Festlegung von ISMS Zielen bieten und eine Verpflichtung zur Erfüllung zutreffender Anforderungen mit Bezug zur Informationssicherheit sowie eine Verpflichtung zur fortlaufenden Verbesserung des Informationssicherheitsmanagementsystems enthalten. Zudem muss die IT Sicherheitspolitik als dokumentierte Information verfügbar sein, den Mitarbeitern bekannt gemacht werden und für interessierte Parteien verfügbar sein. Auf dieser Seite finden Sie Auszüge aus einer beispielhaften ISMS Politik. Diese soll Ihnen als mögliche Darstellung dienen, damit Ihnen die Festlegung Ihrer eigenen Sicherheitspolitik leichter fällt.


1. Sicherheitsrichtlinie

1.1. Einleitung und Geltungsbereich

Die Richtlinie beschreibt Grundsätze für einen angemessenen Schutz von Mitarbeitern und Informationen im Musterunternehmen. Diese Richtlinie ist unter Berücksichtigung der Normenreihe ISO 27001 aufgestellt worden. Der Geltungsbereich ist das Musterunternehmen mit Hauptsitz in XYZ. Ebenso zum Geltungsbereich gehören alle Niederlassungen und Geschäftsstellen in XYZ. Herausgeber und verantwortlich für die Aktualisierung ist der Sicherheitsbeauftragte. Die im Intranet freigegebene und veröffentliche Fassung ist die gültige und verbindliche Fassung. Druckversionen dienen nur der Information. Falls lokale Regelungen erforderlich sind, sind diese Änderungen mit dem Informationssicherheitsmanagement abzustimmen. Die nachfolgenden Grundsätze der Richtlinie gelten uneingeschränkt und unmittelbar, unabhängig von der Erstellung eigener Regelungen.


Unser Tipp
Gratis Vorlage:
Mit der gratis Vorlage Erstellung einer Prozessbeschreibung zeigen wir Ihnen, wie Sie Ihre Geschäftsprozessse zielführend beschreiben und in Visualisierungsmodellen darstellen, um Ihren Mitarbeitern Arbeitsabläufe verständlich aufzuzeigen.

Ausbildung: Oder besuchen Sie unsere Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 und steigen Sie in die ISMS Grundlagen ein. Wir machen Sie dabei mit der ISO 27001 vertraut und zeigen, wie Sie deren Anforderungen in Ihrem ISMS umsetzen.


1.2. Grundsätze

Es lassen sich verschiedene Grundsätze in der ISMS Sicherheitspolitik zusammenfassen. So sind alle Mitarbeiter verpflichtet, die Informationen zu schützen, sodass dem Unternehmen kein Schaden durch unberechtigte Nutzung von Informationen entsteht. Das Sicherheitsmanagement hat Mitarbeiter und Führungskräfte bei der Umsetzung aller Sicherheitsrichtlinien zu unterstützen und führt angemessene Kontrollen durch. Ziel der Sicherheitspolitik ist, die Sicherheit der IT im Unternehmen aufrecht zu erhalten, so dass die Geschäftsinformationen bei Bedarf verfügbar sind. Außerdem sind durch Sicherheitsmängel im Umgang mit IT verursachte Ersatzansprüche, Schadensregulierungen, Image-Schäden für die Organisation sowie Missbrauch von organisationseigenen Daten zu verhindern.


1.3. Zuständigkeit

Der Sicherheitsbeauftragte, der von der Geschäftsleitung des Musterunternehmens eingesetzt wird, und das Sicherheitsmanagementteam stellen die Entwicklung der IT Sicherheitspolitik und der damit verbundenen Standards sicher. Der Sicherheitsbeauftragte und das Sicherheitsmanagement verfolgen die Umsetzung der IT Sicherheitspolitik des Musterunternehmens und vereinbaren entsprechende Maßnahmen. Das IT-Sicherheitsmanagement berät in Sicherheitsfragen, überwacht das Einhalten der Sicherheitsvorschriften und ermittelt und betreibt Aufklärung im Schadensfall.

Das Sicherheitsmanagement ist verantwortlich für…

  • …die Eskalation etwaiger Risiken an die Geschäftsleitung.
  • …die Beratung der Mitarbeiter zu Fragen des ISMS.
  • …die Schulung der Mitarbeiter in Fragen der Informationssicherheit.

Elemente des IT-Sicherheitsmanagements sind…

  • …der IT Sicherheitsbeauftragte
  • …die IT-Sicherheitsbeauftragten einzelner Bereiche
  • …der Qualitätsmanagementbeauftragte

Die zuständigen Stellen der Informationsverarbeitung…

  • …unterstützen die Belange des Informationsschutzes.
  • …schaffen technische Voraussetzungen für einen ausreichenden Schutz der betrieblichen Informationen, die mittels Informationstechnologie gespeichert, verarbeitet und übermittelt werden und überwachen – zusammen mit den Funktionen der Sicherheit – die Einhaltung der Sicherheitsmaßnahmen. [space height=“20″]

Video: Arbeitsanweisung – Lebenszyklus und Erstellung
Video: 7 Punkte zur Erstellung einer Arbeitsanweisung


2. Informationsschutz

Schäden für das Unternehmen oder Dritte können entstehen, wenn Unbefugte oder Nicht-Berechtigte Kenntnis von internen Informationen erlangen und diese zum Nachteil des Musterunternehmens verwenden. Daher müssen alle „Berechtigten“ einen wirkungsvollen Schutz der Informationen sicherstellen, unabhängig von der Form, in der sie vorliegen.

Beispiele:

  • persönliche Übermittlung, Telefonate, Fax,
  • Schriftstücke, Datenträger,
  • Programmcodes

2.1. Vorgaben

Als „Berechtigte“ dürfen alle Mitarbeiter des Musterunternehmens und externe Partner, die mit der Firma in einer Geschäftsbeziehung stehen, die zur Erfüllung ihrer Aufgaben erforderlichen Informationen erhalten. Alle Mitarbeiter sind verpflichtet, durch ihr Verhalten Informationen zu schützen, damit Schaden vom Unternehmen abgewendet wird.


Unser Tipp
Gratis Vorlage:
Absolvieren Sie gratis E-Learning Kurs Arbeitsanweisungen erstellen und erhalten Sie einen schnellen Einstieg ins Thema. Anhand verschiedener Videos machen wir Sie mit den Vorteilen, der Struktur sowie dem Lebenszyklus von Arbeitsanweisungen vertraut.


2.2. Regeln zur Behandlung von Informationen

Alle das Musterunternehmen sowie dessen Mitarbeiter und Kunden betreffenden Informationen, sind entsprechend den nachfolgenden Regeln zu behandeln.
Ausnahme: Pressemitteilungen oder Vorträge und Beiträge in Publikationen. Nur autorisierte Stellen, wie z.B. die Marketing-Abteilung und die Geschäftsführung, dürfen die Presse informieren. Im Zweifel sind Informationen vertraulich zu behandeln. Für alle Informationen und Dokumente gelten die folgenden Schutzklassen:

„offen (public)“
Keine Kennzeichnungspflicht

 „nur für internen Gebrauch (for internal use only)“
Die Informationen sind vertraulich und ihre Preisgabe würde zudem die Gefahr einer erheblichen Schädigung der Interessen des Musterunternehmens schaffen.
Beispiele: Besprechungsprotokolle, Projektdokumentationen, Arbeitsbeschreibungen, Softwareprogramme.

„vertraulich (confidential)“
Informationen, die bei Veröffentlichung eine schwere Schädigung der Interessen des Musterunternehmens wahrscheinlich machen würden, und Informationen, die nach dem Bundesdatenschutzgesetz unter strafrechtlichem Geheimhaltungsschutz stehen.
Beispiele: Vertragsunterlagen, Marketingstrategien, Organigramme, Bilanz- und Steuerunterlagen, jegliche personenbezogenen Daten (Mitarbeiterdaten, Kundendaten)


2.2.1. Festlegung der Verantwortlichkeiten und der Vorgehensweise

  • Jeder Informationsinhaber ist für den Schutz der Informationen verantwortlich, also für Kennzeichnung, Aufbewahrung, Speicherung, Verarbeitung, Weitergabe und Vernichtung.
  • Führungskräfte veranlassen für ihre Aufgabenumfänge und Geschäftsprozesse Schutzmaßnahmen für die Informationen. Hierbei sind Verfügbarkeit, Integrität und Authentizität sowie die Vertraulichkeit der Informationen zu berücksichtigen.
  • Der Informationsgeber stellt bei Informationen mit vertraulichem Inhalt sicher, dass der Informationsempfänger über den Grad der Vertraulichkeit und den besonderen Umgang mit einer Information Kenntnis erhält. Hierzu muss die Information unabhängig von der Art der Übermittlung entsprechend den gültigen Regeln gekennzeichnet und geschützt werden.
  • Kundendaten und Informationen, die den Kunden betreffen, sind vertraulich und zweckbestimmt zu behandeln.

Video: Was ist ein Prozess
Video: Aufbau einer Prozessbeschreibung


2.2.2. Festlegung des Umgangs und der Kennzeichnung von Informationen und Dokumenten

Vertrauliche Informationen in schriftlicher Form werden als vertraulich gekennzeichnet. Die Kennzeichnung von vertraulichen Schriftstücken erfolgt deutlich lesbar. Bei neu zu erstellenden, nicht gekennzeichneten und vertraulichen Dokumenten ist die Vorlage „Vertraulich“ zu verwenden. Vertrauliche Informationen in elektronischer Form sowie in E-Mails sind… Weiter lesen Sie hier.


3. Schutz des Eigentums

Jeder Mitarbeiter ist zum Schutz des Eigentums verpflichtet. Zum Eigentum zählen alle Sach- und Vermögenswerte des Unternehmens, das Privateigentum von Mitarbeitern und Besuchern auf… Weiter lesen Sie hier.


4. Anweisungen, Leitlinien, Maßnahmen

Alle Policies, Anweisungen und Leitlinien des Musterunternehmens finden Sie im Intranet. Neben den Maßnahmen und Regelungen zum IT-Grundschutz im Musterunternehmen werden hier auch Anweisungen für besonders schützenswerte Informationen sowie nützliche Hilfsmittel für alle Mitarbeiter angegeben. Das Dokument Informationssicherheitspolitik… Weiter lesen Sie hier.


5. Risikomanagement

Die Zuständigkeit für die regelmäßige Ermittlung und Bewertung der Risiken verbleibt beim jeweiligen… Weiter lesen Sie hier.


 6. Unabhängige Prüfung

Die Einhaltung dieser Policy wird regelmäßig sowohl in internen Audits als auch durch eine unabhängige Institution überprüft. Gegenstand einer Prüfung sind insbesondere… Weiter lesen Sie hier.


7. Verstöße

Als Verstöße gelten beabsichtigte oder grob fahrlässige Handlungen, die

  • eine Kompromittierung des Rufes des Musterunternehmens darstellen,
  • die Sicherheit der Mitarbeiter, Vertragspartner, Berater und des Vermögens des Musterunternehmens kompromittieren,… Weiter lesen Sie hier.

8. Ansprechpartner und Organisationsstruktur

IT-Sicherheitsbeauftragter für ISMS, IT Sicherheit, Geräte, Anlagen und… Weiter lesen Sie hier.


9. Anhang

Stichworterklärungen

Informationen:
Daten, die auf Systemen oder Medien, wie z.B. Daten, die auf Systemen oder Medien, wie z. B. auf Disketten, in der Infrastruktur oder im Rahmen von Geschäftsabläufen gespeichert oder verwaltet werden.

Sicherheit:
Schutz von Informationsquellen vor… Weiter lesen Sie hier.