Stefan-Marc Rehm
Stefan-Marc Rehm
 Fachanwalt für Strafrecht / Rechtsanwalt
Informationssicherheitsleitlinie
Bild: mauritius images / Izel Photography - RF / Alamy Eine Informationssicherheitsrichtlinie im Unternehmen hilft, die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren.

Damit die Informationssicherheit in jedem Unternehmen gewährleistet werden kann, müssen nicht nur entsprechende Vorkehrungen getroffen werden, sondern auch alle Mitarbeiter des Unternehmens in Kenntnis gesetzt und geschult werden.

Informationssicherheitsrichtlinie

Für viele Unternehmen gestaltet sich die Informationssicherheit als ein schwieriges Thema. Häufig wissen die meisten Unternehmensführungen nicht, welche Maßnahmen für sie angemessen wären. In anderen Unternehmen hingegen wurden Maßnahmen getroffen, können jedoch nicht korrekt umgesetzt werden, da die meisten Mitarbeiter sich nicht auskennen und den Überblick verlieren. Um solche Probleme vermeiden zu können, ist es von Vorteil, eine interne Informationssicherheitsrichtlinie zu erschaffen. In der Informationssicherheitsrichtlinie werden die technischen und nicht-technischen Systeme der Datenverarbeitung beschrieben und damit auch die einhergehenden Sicherheitsanforderungen. Dabei sollten alle Informationen erfasst werden: Solche Informationen, die für das Unternehmen selbst einen großen Wert darstellen und auch die Informationen, die vom Gesetz her schon geschützt werden müssen. In der Informationssicherheitsleitlinie sollten die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu Grunde gelegt werden und mit der Einhaltung der Richtlinie sichergestellt werden. Eine solche Leitlinie (Richtlinie) sollte von der Unternehmensleitung entworfen und festgelegt werden. Dazu gehört auch, dass die Unternehmensführung die Vorschriften und Maßnahmen selber einhält und vor allem auch vorlebt. Alle Mitglieder des Unternehmens müssen die Möglichkeit erhalten, von der Informationssicherheitsrichtlinie Kenntnis zu erlangen und diese auch insbesondere zu verstehen. Denn nur wenn die Richtlinie von allen Beteiligten verstanden und akzeptiert wird, können die Vorschriften erst eingehalten und richtig umgesetzt werden. Die Unternehmensführung sollte auch festlegen, dass vorsätzliche Verstöße gegen die Leitlinie sanktioniert werden.

Leitlinie zur Informationssicherheit

Eine Leitlinie für Informationssicherheit unterscheidet sich von Unternehmen zu Unternehmen. Die Inhalte variieren je nach Unternehmensstruktur und den getroffenen Maßnahmen. Dabei kommt es auch auf die angestrebten Ziele sowie die jeweilige Informationssicherheitsstrategie an. In jedem Fall sollte die Organisationsstruktur beschrieben werden. Es sollte erläutert werden, welche Abläufe es im Unternehmen gibt und wie diese durchgeführt werden. Außerdem sollte die Richtlinie aufweisen, dass die Geschäftsführung die Leitlinie durchsetzt und Verstöße sanktioniert werden. Die Sanktionen sollten ebenfalls kurz aufgeführt werden. Des Weiteren sollten die bezweckten Sicherheitsziele benannt werden und die entsprechende Sicherheitsstrategie zur Erreichung der Ziele aufgeführt werden. Zuletzt könnten die Verantwortlichen benannt werden sowie der Informationssicherheitsbeauftragte.

Leitlinie zur Informationssicherheit: Beispiel

Ein allgemeines Beispiel für eine Leitlinie zur Informationssicherheit könnte wie folgt aussehen:

Informationssicherheitsleitlinie

  1. Unternehmen -> kurze Beschreibung des Unternehmens, seines Zwecks und seiner Ziele
  2. Anwendungsbereich der Leitlinie
  3. Schutzziele -> welche Informationen sollen geschützt werden? Welche Vorgaben werden eingehalten?
  4. Grundsätzliche Regeln -> jedes Unternehmen legt diese individuell fest (ausführlich)
  5. Sicherheitsstrategie
  6. Verstöße und Sanktionen
Schlagworte zum Thema:  Informationssicherheit, Datenschutz, Datenschutz-Grundverordnung, Datenschutzbeauftragter
Meistgelesene beiträge
Neueste beiträge