Security Policy

Die Erstellung von IT und Information Security Policies ist Teil unserer ISM Dienstleistung und wird auch in KMUs immer wichtiger, da die Technik alleine keinesfalls die Sicherheit des Unternehmens heben kann. Im Gegenteil, wenn es keine organisatorischen Regelwerke dafür gibt, entsteht meist ein Negativeffekt und der Wildwuchs in der IT geht weiter. Es bedarf immer der Mithilfe durch die Anwender.

Security Policies und das Sicherheitshandbuch

Unser Unternehmen hat für namhafte Kunden in unterschiedlichen Bereichen Policies und Sicherheitshandbücher gemeinsam mit den Sicherheitsverantwortlichen erarbeitet. Derartige Sicherheitsvorgaben beinhalten wichtige Punkte, einige sind nachfolgend dargelegt:

  • Definition disziplinärer Maßnahmen bei Missbrauch der IT
  • Klassifizierung von Informationen (vertraulich, geheim, etc…)
  • Personelle Sicherheit
  • Physische und umgebungsbezogene Sicherheit
  • Schutz vor Schadsoftware und mobilem Programmcode
  • Datensicherung und Backup, Management der Netzsicherheit
  • Handhabung von Datenträgern, Austausch von Informationen
  • Überwachung der IT, Monitoring und Logging
  • Zeitsynchronisation, Zugriffskontrolle (Access Control)
  • Verantwortlichkeiten der Benutzer
  • Mobile Computing und Telearbeit
  • Kryptographische Maßnahmen
  • Management technischer Schwachstellen
  • U.v.m…

Dabei ist ein "top down" Ansatz empfehlenswert wie in der nachfolgenden Grafik gezeigt.

Policy Top Down Modell

High Level Policy-Dokumente definieren in erster Linie das „WAS“, nicht das „WIE“. D.h. es wird zuerst festgelegt, was zu schützen ist, bevor man über das „wie schütze ich etwas“ spricht. Dabei wird ein strukturierter Ansatz gewählt, der eine spätere Erweiterung möglich macht. Ein Sicherheitshandbuch lebt und muss laufend aktualisiert und an neue Bedrohungen angepasst werden. Dabei werden die "best practice" Anleitungen (z.B. aus dem Grundschutzhandbuch des BSI oder der ISO27001 Norm) erarbeitet.

Im nächsten Schritt werden detailiertere Vorgaben für die Technik erarbeitet, die ihrer IT helfen, die Sicherheitsvorgaben umzusetzen. Diese Vorgaben haben zum Ziel standardisierte Prozesse zu erarbeiten, die dann auch von weniger qualifizierten IT Mitarbeitern durchgeführt werden können, und Ihnen somit die Ressourcen Ihrer IT Experten freispielen.