Bundesamt für Sicherheit in der Informationstechnik

M 2.192 Erstellung einer Leitlinie zur Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Die Leitaussagen zur Sicherheitsstrategie sollten in einer Leitlinie zur Informationssicherheit zusammengefasst werden, um die zu verfolgenden Sicherheitsziele und das angestrebte Sicherheitsniveau für alle Mitarbeiter zu dokumentieren. Mit der Sicherheitsleitlinie bekennt sich die Behörden- bzw. Unternehmensleitung sichtbar zu ihrer Verantwortung für Informationssicherheit.

Bei der Erstellung der Leitlinie zur Informationssicherheit müssen folgende Punkte beachtet werden:

Verantwortung der Behörden- bzw. Unternehmensleitung

Wichtig ist, dass die Behörden- bzw. Unternehmensleitung in vollem Umfang hinter der Leitlinie zur Informationssicherheit und den darin festgehaltenen Zielen steht. Daher muss die Sicherheitsleitlinie von der Behörden- bzw. Unternehmensleitung unterschrieben und in deren Namen veröffentlicht werden. Selbst wenn einzelne Aufgaben im Rahmen des Sicherheitsprozesses an Personen oder Organisationseinheiten delegiert werden, verbleibt die Gesamtverantwortung für die Informationssicherheit immer bei der Behörden- bzw. Unternehmensleitung.

Festlegung des Geltungsbereichs

In der Informationssicherheitsleitlinie muss beschrieben werden, für welche Bereiche diese gelten soll. Der Geltungsbereich kann die gesamte Institution umfassen oder aus Teilbereichen dieser bestehen. Wichtig ist jedoch, dass die betrachteten Fachaufgaben und Geschäftsprozesse im Geltungsbereich komplett enthalten sind.

Festlegung von Sicherheitszielen

Zu Beginn des Sicherheitsprozesses muss die Behörden- bzw. Unternehmensleitung die Sicherheitsziele festlegen, abstimmen und dokumentieren. Diese lassen sich aus den Geschäftsprozessen und Fachaufgaben, gesetzlichen Rahmenbedingungen und allgemeinen Behörden- oder Unternehmenszielen ableiten. Die Sicherheitsziele dienen als Grundlage für die Erstellung der Leitlinie zur Informationssicherheit.

Inhalt der Sicherheitsleitlinie

Die Leitlinie zur Informationssicherheit sollte kurz und bündig formuliert sein, da sich mehr als 20 Seiten in der Praxis nicht bewährt haben. Sie sollte dabei aber mindestens die folgenden Aspekte enthalten:

  • Der Stellenwert der Informationssicherheit und die Bedeutung der wesentlichen Informationen, Geschäftsprozesse und IT für die Institution müssen dargestellt werden.
  • Die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution müssen dabei erläutert werden.
  • Die Kernelemente der Sicherheitsstrategie sollten genannt werden.
  • Die Leitungsebene muss allen Mitarbeitern aufzeigen, dass die Sicherheitsleitlinie von ihr getragen und durchgesetzt wird. Ebenso muss es Leitaussagen zur Erfolgskontrolle geben.
  • Die für die Umsetzung des Sicherheitsprozesses etablierte Organisationsstruktur muss beschrieben werden (siehe M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit ).

Bekanntgabe der Leitlinie zur Informationssicherheit

Sicherheitsmaßnahmen und organisatorische Regelungen werden erfahrungsgemäß nur dann von allen Mitarbeitern befolgt, wenn diese ihren Sinn erkennen. Die Sicherheitsleitlinie muss daher veröffentlicht werden, um die Strategie des verantwortlichen Managements zu dokumentieren. Dies sollte so erfolgen, dass der Stellenwert der Informationssicherheit deutlich wird. Es ist wichtig, dass alle Mitarbeiter die Inhalte der Sicherheitsleitlinie kennen und nachvollziehen können. Neue Mitarbeiter sollten auf die Leitlinie zur Informationssicherheit hingewiesen werden, bevor sie Zugang zu geschäftsrelevanten Informationen erhalten. Müssen alle Mitarbeiter die Kenntnis der Sicherheitsleitlinie schriftlich bestätigen, wird deren Bedeutung unterstrichen. Generell sollte die Leitlinie zur Informationssicherheit so allgemein gehalten sein, dass sich alle Mitarbeiter aus den verschiedenen Organisationsbereichen einer Institution davon angesprochen fühlen. Es ist aber auch möglich, die Sicherheitsleitlinie für spezielle Anwendungen oder Bereiche innerhalb einer Institution um Inhalte zu ergänzen, die nur für einen eingeschränkten Personenkreis relevant oder die vertraulich sind. Es empfiehlt sich, diese Abschnitte in eine Anlage zur Leitlinie zu verlagern, um so flexibler und zeitnah auf erforderliche Änderungen reagieren zu können, ohne dass der allgemeine Teil der Leitlinie angepasst werden muss. Falls erforderlich, kann die Anlage separat als vertraulich gekennzeichnet und besonders geschützt werden.

Aktualisierung der Sicherheitsleitlinie

Die Leitlinie zur Informationssicherheit sollte in regelmäßigen Abständen auf ihre Aktualität hin überprüft und gegebenenfalls angepasst werden. Änderungen von Rahmenbedingungen, Geschäftszielen, Aufgaben oder der Sicherheitsstrategie sollten einfließen. Bei den häufig rasanten Entwicklungen sowohl im Bereich der IT als auch im Bereich der Sicherheit empfiehlt es sich, die Sicherheitsleitlinie alle zwei Jahre zu überarbeiten.

Prüffragen:

  • Gibt es eine von der Leitungsebene verabschiedete Leitlinie zur Informationssicherheit?

  • Ist ein klarer Geltungsbereich für die Sicherheitsleitlinie festgelegt?

  • Beschreibt die Sicherheitsleitlinie den Stellenwert der Informationssicherheit, die Sicherheitsziele, die Kernelemente der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit?

  • Sind alle Mitarbeiter auf die Leitlinie zur Informationssicherheit hingewiesen worden?

  • Ist die Sicherheitsleitlinie aktuell?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK