Festlegung der Sicherheitsziele (IT-Sicherheitsrichtlinien)
Die IT-Richtlinie ist ein zentraler Baustein der IT-Sicherheit eines Unternehmens. Sie dient der Schaffung hinreichender Kenntnis bei den Beschäftigten, zugleich werden bestimmte Verhaltensregeln aufgestellt, die sich aus gesetzlichen Maßstäben nicht oder nicht mit hinreichender Sicherheit ergeben.[1] In diesem Dokument soll für alle Mitarbeiter verständlich beschrieben werden, welche Sicherheitsziele angestrebt werden und in welchem organisatorischen Rahmen diese umgesetzt werden sollen.
Die Leitlinie soll dabei in folgenden Schritten ausgearbeitet werden:
Die Sicherheitsleitlinie sollte mindestens Aussagen zu den folgenden Themen enthalten:[3]
- Sicherheitsziele des Unternehmens,
- Beziehung der Sicherheitsziele zu den Geschäftszielen,
- angestrebtes Sicherheitsniveau,
- Leitaussagen, wie das angestrebte Sicherheitsniveau erreicht werden soll und
- Leitaussagen, ob und wodurch das Sicherheitsniveau nachgewiesen werden soll.
[1] Grützner/Jakob, in: Grützner/Jakob, Compliance von A-Z, IT-Richtlinie.
[2] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Schulung, 2.5 Sicherheitsleitlinie. Abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzSchulung/WebkursITGrundschutz/Sicherheitsmanagement/Sicherheitsleitlinie/sicherheitsleitlinie_node.html.
[3] BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), S. 24.