M 2.192 Erstellung einer IT-Sicherheitsleitlinie
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter
Die Leitaussagen zur IT-Sicherheitsstrategie sollten in einer IT-Sicherheitsleitlinie zusammengefasst werden, um die zu verfolgenden IT-Sicherheitsziele und das angestrebte IT-Sicherheitsniveau für alle Mitarbeiter zu dokumentieren. Mit der IT-Sicherheitsleitlinie bekennt sich die Behörden- bzw. Unternehmensleitung sichtbar zu ihrer Verantwortung für IT-Sicherheit.
Bei der Erstellung der IT-Sicherheitsleitlinie müssen folgende Punkte beachtet werden:
Verantwortung der Behörden- bzw. Unternehmensleitung
Wichtig ist, dass die Behörden- bzw. Unternehmensleitung in vollem Umfang hinter der IT-Sicherheitsleitlinie und den darin festgehaltenen Zielen steht. Daher muss die IT-Sicherheitsleitlinie von der Behörden- bzw. Unternehmensleitung unterschrieben und in deren Namen veröffentlicht werden. Selbst wenn einzelne Aufgaben im Rahmen des IT-Sicherheitsprozesses an Personen oder Organisationseinheiten delegiert werden, die dann für die Umsetzung zuständig sind, bleibt die Gesamtverantwortung immer bei der Behörden- bzw. Unternehmensleitung.
Festlegung des Geltungsbereichs
Für die Feststellung von Rahmenbedingungen, IT-Sicherheitsanforderungen, Einflussfaktoren und weiteren sicherheitsrelevanten Aspekten muss der Geltungsbereich der IT-Sicherheitsleitlinie klar definiert werden. Dieser kann die gesamte Institution umfassen oder aus einzelnen Teilbereichen bestehen. Um einen sinnvollen IT-Sicherheitsprozess aufzusetzen ist es jedoch wichtig, dass im betrachteten Geltungsbereich die zugehörigen Fachaufgaben und Geschäftsprozesse komplett enthalten sind.
Festlegung von Sicherheitszielen
Zu Beginn des Sicherheitsprozesses muss die Behörden- bzw. Unternehmensleitung die Sicherheitsziele festlegen, abstimmen und dokumentieren. Diese lassen sich aus den Geschäftsaufgaben und Fachaufgaben, gesetzlichen Rahmenbedingungen und allgemeinen Behörden- oder Unternehmenszielen ableiten. Die Sicherheitsziele dienen als Grundlage der Sicherheitsleitlinie.
Inhalt der IT-Sicherheitsleitlinie
Die IT-Sicherheitsleitlinie sollte kurz und übersichtlich sein, dabei aber mindestens die folgenden Aspekte enthalten:
- Der Stellenwert der IT-Sicherheit und die Bedeutung der IT für die Institution müssen dargestellt werden.
- Die IT-Sicherheitsziele und der Bezug der IT-Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution müssen dabei erläutert werden.
- Die Kernelemente der IT-Sicherheitsstrategie sollten genannt werden.
- Die Leitungsebene muss allen Mitarbeitern aufzeigen, dass die IT-Sicherheitsleitlinie von ihr getragen und durchgesetzt wird. Ebenso muss es Leitaussagen zur Erfolgskontrolle geben.
- Die für die Umsetzung des IT-Sicherheitsprozesses etablierte Organisationsstruktur muss beschrieben werden (siehe M 2.193 Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit).
Bekanntgabe der IT-Sicherheitsleitlinie
IT-Sicherheitsmaßnahmen und organisatorische Regelungen werden erfahrungsgemäß nur dann von allen Mitarbeitern befolgt, wenn diese ihren Sinn erkennen. Die IT-Sicherheitsleitlinie muss daher veröffentlicht werden, um die Strategie des verantwortlichen Managements zu dokumentieren. Dies sollte so erfolgen, dass der Stellenwert der IT-Sicherheit deutlich wird. Es ist wichtig, dass alle Mitarbeiter die Inhalte der IT-Sicherheitsleitlinie kennen und nachvollziehen können. Neue Mitarbeiter sollten auf die IT-Sicherheitsleitlinie hingewiesen werden, bevor sie Zugang zur Informationsverarbeitung erhalten. Deren Bedeutung wird unterstrichen, wenn alle Mitarbeiter die Kenntnis der IT-Sicherheitsleitlinie schriftlich bestätigen müssen.
Generell sollte die IT-Sicherheitsleitlinie so allgemein gehalten sein, dass sich alle Mitarbeiter aus den verschiedenen Organisationsbereichen einer Institution davon angesprochen fühlen. Es ist aber auch möglich, die IT-Sicherheitsleitlinie für spezielle Anwendungen oder Bereiche innerhalb einer Institution um Inhalte zu ergänzen, die nur für einen eingeschränkten Personenkreis relevant oder die vertraulich sind. Es empfiehlt sich, diese Abschnitte in eine Anlage zur Leitlinie zu verlagern, um so flexibler und zeitnah auf erforderliche Änderungen zu reagieren zu können, ohne das der allgemeine Teil der Leitlinie angepasst werden muss. Falls erforderlich, kann die Anlage separat als vertraulich gekennzeichnet und besonders geschützt werden.
Aktualisierung der IT-Sicherheitsleitlinie
Die IT-Sicherheitsleitlinie muss regelmäßig bei Änderungen von Rahmenbedingungen, Geschäftszielen, Aufgaben oder der IT-Sicherheitsstrategie überprüft und gegebenenfalls aktualisiert werden.
Ergänzende Kontrollfragen:
- Gibt es eine von der Leitungsebene verabschiedete IT-Sicherheitsleitlinie?
- Enthält die Leitlinie Aussagen zu allen in dieser Maßnahme genannten Aspekten?
- Ist die IT-Sicherheitsleitlinie allen Mitarbeitern bekannt?
- Wann wurde die IT-Sicherheitsleitlinie das letzte Mal überprüft?