14 Punkte der Informationssicherheits-Baseline

Die Informationssicherheitsrichtlinie stellt das grundlegende Bekenntnis des Unternehmens zur Informationssicherheit dar. Sie definiert den verantwortungsvollen Umgang mit Informationen im Hinblick auf deren Verfügbarkeit, Integrität und Vertraulichkeit. Dabei umfasst sie sämtliche Informationen im Unternehmen und nicht nur die oft vorrangig betrachteten IT-Daten. Informationssicherheit ist somit kein reines IT-Thema, sondern liegt in der unternehmerischen Verantwortung der Führungsebene.

ChatGPT beschreibt es so:

Eine Informationssicherheitsrichtlinie (oft auch IS-Richtlinie genannt) ist ein dokumentiertes Regelwerk, das die Anforderungen, Vorgaben und Maßnahmen zur Gewährleistung der Informationssicherheit in einer Organisation festlegt. Sie dient als Leitlinie für alle Mitarbeitenden und externe Partner, um den Schutz von vertraulichen Daten und IT-Systemen sicherzustellen.

📋 Inhalte einer Informationssicherheitsrichtlinie:

• Ziele der Informationssicherheit: Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
• Geltungsbereich: Welche Bereiche, Systeme und Daten betroffen sind.
• Verantwortlichkeiten: Wer ist für die Informationssicherheit zuständig (z. B. IT-Abteilung, Informationssicherheitsbeauftragter)?
• Sicherheitsanforderungen: Konkrete Anforderungen an die Nutzung von IT-Systemen, Passwortrichtlinien, Zugangsberechtigungen, Datenklassifizierung usw.
• Verhaltensregeln: Vorgaben für den Umgang mit sensiblen Informationen und IT-Systemen.
• Notfall- und Vorfallmanagement: Vorgehen bei Sicherheitsvorfällen oder Datenpannen.
• Schulungen und Sensibilisierung: Maßnahmen zur Schulung der Mitarbeitenden in Sicherheitsfragen.
• Überprüfung und Aktualisierung: Regelmäßige Kontrolle und Anpassung der Richtlinie an neue Bedrohungslagen oder technische Entwicklungen.

🎯 Ziele der Informationssicherheitsrichtlinie:

1. Schutz sensibler Daten: Vor unberechtigtem Zugriff und Datenverlust.
2. Minimierung von Risiken: Durch präventive Sicherheitsmaßnahmen.
3. Einhaltung gesetzlicher Vorgaben: (z. B. DSGVO, ISO 27001).
4. Erhöhung des Sicherheitsbewusstseins: Bei Mitarbeitenden und Partnern.

Wie erstelle ich eine Informationssicherheitsleitlinie ?

1. Zielsetzung und Rahmenbedingungen festlegen

• Ziel: Was soll die Leitlinie erreichen? (z. B. Schutz sensibler Daten, Einhaltung gesetzlicher Vorgaben)
• Geltungsbereich: Für welche Bereiche, Abteilungen oder Standorte gilt die Leitlinie?

2. Verantwortlichkeiten definieren

• Wer ist für die Informationssicherheit verantwortlich? (z. B. IT-Sicherheitsbeauftragter)
• Welche Rollen haben Mitarbeiter und Führungskräfte?

3. Grundsätze der Informationssicherheit festlegen

• Vertraulichkeit, Integrität, Verfügbarkeit
• Risikobasierter Ansatz (Schutzbedarfsermittlung)

4. Schutzmaßnahmen beschreiben

• Organisatorisch: Schulungen, Regelungen zur Nutzung von IT-Systemen
• Technisch: Zugriffskontrollen, Verschlüsselung, Backups
• Physisch: Zutrittskontrollen, Schutz vor Umwelteinflüssen

5. Regelungen zur Meldung von Sicherheitsvorfällen

• Wie sollen Vorfälle gemeldet werden?
• Wer bearbeitet diese?

6. Schulung und Sensibilisierung der Mitarbeiter

• Regelmäßige Schulungen zur Informationssicherheit
• Awareness-Kampagnen

7. Überprüfung und Aktualisierung der Leitlinie

• Regelmäßige Audits
• Anpassung an neue Bedrohungen oder gesetzliche Anforderungen