Was ist eine Informationssicherheitsleitlinie (ISO27001)?

Eine Informationssicherheitsleitlinie stellt nach ISO27001 ein Vorgabedokument dar, mit dem Unternehmen ihre Informationssicherheit regeln. Eine Informationssicherheitsrichtlinie definiert den Gesamtansatz der Organisation zur Informationssicherheit. Diese Richtlinie verpflichtet die Organisation zur Informationssicherheit. Dabei werden die Vermögenswerte der Organisation identifiziert. Nur so werden alle Werte geschützt. Die ISO27001:2022 Norm nimmt Stellung in Kapitel 5.2 zur Informationssicherheitsleitlinie.

Die Richtlinie gilt für alle Mitarbeiter im Geltungsbereich. Das Kerndokument im ISMS definiert welche Unternehmensbereiche sich nach den enthaltenen Richtlinien halten müssen. Wenn der Geltungsbereich nur die Muttergesellschaft und bestimmte Tochtergesellschaften auflistet, dann gilt das ISMS nicht für die in der Liste fehlenden Unternehmen der Gesamtorganisation. Eine Strukturanalyse hilft bei der Erkennung, ob bestimmte Unternehmen ebenfalls unbedingt das ISMS einführen müssen, damit die zu zertifizierenden Organisationseinheiten norm-konform agieren können.

Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?

Folgendes sollte in der Leitlinie zur Informationssicherheit festgelegt sein:

  • Der Geltungsbereich wird konkretisiert.
  • Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
  • Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
  • Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
  • Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
  • Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
  • Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.
Informationssicherheit erfordert Richtlinien, damit Menschen den richtigen Weg erkennen

Informationssicherheitsleitlinie ist eine Grundlage für mehr Sicherheit

Die Informationssicherheitsleitlinie (ISLL) stellt die formale Grundlage zur Einführung eines ISMS dar. Sie wird von der Geschäftsleitung vorgegeben. Sie gibt die Sicherheitszielen vor. Dabei werden die Erwartungen und Anforderungen an die Beteiligten genannt. Der Umgang mit möglichen Risiken und die Verantwortlichkeiten soll so unmissverständlich deklariert werden.

Die Informationssicherheitsleitlinie sollte unter Berücksichtigung der beiden anderen Säulen (Organisation und Sicherheitskonzept) des Sicherheitsprozesses erstellt werden. Sie ist Teil des Sicherheitsprozesses und unterliegt einem Lebenszyklus, wobei sie regelmäßig aktualisiert bzw. fortgeschrieben werden sollte. Eine Informationssicherheitsleitlinie sollte möglichst prägnant und übersichtlich die von ISO und BSI vorgegebenen Inhalte adressieren, d.h. die einzelnen Punkte sollten in eben dieser Form behandelt werden. 

Stellenwert der Informationssicherheit und zu schützende Objekte

Organisationen stützen ihre betrieblichen Abläufe vornehmlich auf interne und externe IT Systeme. Die von der Organisation zu erhebenden und zu verarbeitenden Informationen werden zunehmend auf IT-Systemen verarbeitet und gespeichert. Diese Informationen sind die wesentlichen zu schützenden Objekte der modernen Verwaltung einer Organisation.

Bezug der Informationssicherheit zu den Geschäftszielen oder Aufgaben der Organisation

In der Informationssicherheitsleitlinie wird dargestellt, wie sich die Informationssicherheit und die unternehmensspezifischen Organisationsziele wechselseitig beeinflussen.

Sicherheitsziele

In diesem Abschnitt können Sicherheitsziele aufgelistet werden, die über das allgemeine Ziel hinaus konkreter gefasst werden sollen (z. B. Vertraulichkeit, Integrität, Verfügbarkeit). Das allgemeine Ziel ist ein geeignetes Niveau der Informationssicherheit zu erreichen. Da es sich um eine Informationssicherheitsleitlinie handelt, sollte eine
zu große Detailtiefe vermieden werden. Es kann auch ausreichen aufzuzeigen, wie und unter welchen Rahmenbedingungen die Organisation die eigenen Ziele herleiten will.

Kernelemente der Sicherheitsstrategie

Hier wird beschreiben, wie die Organisation die Ziele erreichen will. Dabei sollte  dies auf einem hohen Abstraktionsniveau erfolgen. Zum Beispiel: die Organisation führt ein Sicherheitsmanagement mit einem ISMS ein und erlässt entsprechende Sicherheitsrichtlinien.

Verpflichtung zur Umsetzung der Informationssicherheitsleitlinie

Die Geschäftsleitung soll klar formulieren, dass sie hinter den Sicherheitszielen steht und die benötigten Ressourcen zur Verfügung stellt.

IS-Organisation

Die Informationssicherheitsleitlinie sollte den Rahmen aufzeigen, wie das Thema Informationssicherheit in der Organisation verankert wird. Die Gesamtverantwortung für die Informationssicherheit liegt bei der Geschäftsleitung. Es kann zielführend sein, die Zuständigkeit für die Informationssicherheit zu delegieren. Hierfür kommen das IS-Management-Team und/oder der IT-Sicherheitsbeauftragte in Betracht. Die Ausgestaltung der IS-Organisation hängt von der Größe und Komplexität der Organisation ab. Unter diesem Punkt kann auch auf die Verantwortung der Führungskräfte und aller Beschäftigten für das Erreichen der Sicherheitsziele explizit verwiesen werden. Auch disziplinarische Folgen können aufgeführt werden.

Verpflichtung zur kontinuierlichen Verbesserung

Eine klar formulierte Aussage zur Fortentwicklung der Strategie zur Informationssicherheit sollte dokumentiert sein.

Inkraftsetzung

Hier erfolgt eine Darstellung, wie die Informationssicherheitsleitlinie in Kraft gesetzt wird.