|
In einer Security Policy wird das angestrebte Sicherheitsniveau definiert, das für die Erfüllung der Aufgaben des Unternehmens oder der Behörde benötigt wird. Eine gute Security Policy mit allen weiteren nachgelagerten Detaildokumenten ist Garant, dass Sicherheit wirklich gelebt wird.
|
|
Eine Security Policy (oder Sicherheitsrichtlinie oder Sicherheitsleitlinie oder Sicherheitspolitik oder ...) beinhaltet die von der Organisation angestrebten IT-Sicherheitsziele sowie die verfolgte IT-Sicherheitsstrategie. Sie ist somit Anspruch und Aussage zugleich, dass das IT-Sicherheitsniveau auf allen Ebenen der Organisation erreicht werden soll.
Es ist wichtig, dass Unternehmens- und Behördenleitung für die Security Policy verantwortlich ist. Dies bedeutet im Klartext, dass die Policy von ihr verabschiedet und auch vorgelebt werden muss.
Folgende Punkte sollten in einer Security Policy idealerweise enthalten sein:
- Stellenwert der IT Sicherheit und Bedeutung der IT für die Aufgabenerfüllung
- Sicherheitsziele und die Sicherheitsstrategie für die eingesetzte IT
- Zusicherung, dass die IT Sicherheitsleitlinie von der Leitungsebene durchgesetzt wird und Verstöße sanktioniert werden
- Beschreibung der etablierten Organisationsstruktur
- Beschreibung der in Zukunft gelebten Dokumentationsstruktur
- Aussagen zur periodischem Überprüfung der IT-Sicherheitsmaßnahmen
- Aussagen zu Programmen zur Förderung der IT-Sicherheit durch Schulungs- und Sensibilisierungsmaßnahmen
- Klassifizierung der Informationen, Kontrolle von Zutritt, Zugang und Zugriff auf Informationen
- Verantwortlichkeiten im IT-Sicherheitsprozess für das IT-Sicherheitsmanagement-Team, den IT-Sicherheitsbeauftragten, die IT-Anwender und die IT-Administratoren.
Jeder Mitarbeiter muss sich bewusst sein, was von ihm innerhalb der Sicherheitsprozesse erwartet wird und welche Konsequenzen „unsicheres“ Verhalten für die Organisation haben kann.
|
