Deutsch
English 
日本語 
Español 
Hrvatski 
Português 
This entry was posted on Friday, March 25th, 2011 at 11:13 and is filed under Main. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.
Oft sehe ich zu detailliert festgehaltene Informationssicherheitsleitlinien, bei denen versucht wird, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte. Das einzige Problem bei solchen Leitlinien ist, dass sie 50 oder mehr Seiten umfassen, und niemand sie wirklich ernst nimmt. Sie enden meist als künstliche Dokumente, deren einziger Zweck besteht, den Auditor zufriedenzustellen.
Aber warum sind solche Leitlinien sehr schwierig umzusetzen? Weil sie zu ehrgeizig sind – sie versuchen, zu viele Themen abzudecken, und sie sind für einen großen Kreis von Personen bestimmt.
Deshalb definiert ISO 27001, die führende Norm für Informationssicherheitsleitlinien, unterschiedliche Ebenen dieser Leitlinie:
- High-Level-Leitlinien, wie zum Beispiel die Leitlinie für das Informationssicherheits-Managementsystem – diese High-Level-Leitlinien definieren üblicherweise strategische Absichten, Ziele usw.
- Detaillierte Leitlinien – diese Art von Leitlinien beschreibt normalerweise einen ausgewählten Bereich der Informationssicherheit im Detail, mit genauen Verantwortlichkeiten usw.
ISO 27001 verlangt, dass die Leitlinie des Informationssicherheits-Managementsystems (ISMS) als ranghöchstes Dokument folgende Elemente enthält: den Rahmen für die Festlegung von Zielen, die Berücksichtigung verschiedener Anforderungen und Verpflichtungen, Ausrichtung am Kontext des strategischen Risikomanagements eines Unternehmens sowie die Erstellung von Kriterien für die Risikobewertung. Eine solche Leitlinie sollte eigentlich sehr kurz sein (vielleicht ein oder zwei Seiten), da sein Hauptzweck darin besteht, dass das leitende Management ihr ISMS steuern kann.
Für die betriebliche Nutzung sollten dagegen detaillierte Leitlinien erstellt werden, die sich auf einen engeren Bereich der Sicherheitsaktivitäten konzentrieren. Beispiele für solche Richtlinien sind: Klassifizierungsleitlinie, Leitlinie zur akzeptablen Nutzung von Informationswerten, Back-up-Leitlinie, Zugangskontrollrichtlinie, Passwortrichtlinie, ‚Clear Desk und clear screen‘-Leitlinie, Richtlinie zur Nutzung von Netzwerkdiensten, Richtlinien für mobile Computer, Richtlinie zur Verschlüsselung usw. Hinweis: Nach ISO 27001 ist es nicht erforderlich, sämtliche dieser Leitlinien umzusetzen und/oder zu dokumentieren, weil die Entscheidung, ob und in welchem Umfang solche Maßnahmen anwendbar sind, von den Ergebnissen der Risikoeinschätzung abhängt.
Da solche Leitlinien mehr Details festlegen, sind sie meist länger – bis zu zehn Seiten. Wenn sie viel länger als zehn Seiten sind, wäre es sehr schwierig, diese Leitlinien umzusetzen und zu pflegen.
Mit anderen Worten ist Informationssicherheit zu komplex, um in einer einzelnen Richtlinie definiert zu werden – für unterschiedliche Aspekte des ISMS und verschiedene „Zielgruppen“ sollte es gesonderte Richtlinien geben. Mittelgroße Organisationen erstellen für ihre ISMS in der Regel bis zu fünfzehn Leitlinien.
Man könnte argumentieren, dass diese Zahl von Leitlinien für Unternehmen nichts anderes als eine Mehrbelastung ist. Ich würde sicherlich zustimmen, wenn diese Leitlinien nur mit dem Zertifizierungsaudit im Hinterkopf geschrieben werden – eine solche Leitlinie bringt nur mehr Bürokratie. Wenn eine Leitlinie jedoch mit der Absicht verfasst wurde, die Risiken zu verringern, dann wird sie höchstwahrscheinlich ihren Wert aufzeigen – wenn nicht sofort, dann möglicherweise in zwei oder drei Jahren, weil die Anzahl der Vorfälle gesenkt werden konnte.
Sie können sich auch unser Video Tutorial How to Write the ISMS Policy According to ISO 27001 ansehen (kommerzielles Video).
This post is also available in: Englisch, Japanisch, Spanisch, Kroatisch, Portugiesisch, Brasilien
