Ganzheitliche IT-Security Beratung: Bodenständig und mit Passion.
ISMS: Richtlinien, tiefer betrachtet.
Meinung: Die Richtlinien-Thematik
⚠️ "Wir verwenden einfach ein paar Vorlagen"⚠️
- Oft möchten Unternehmen Zeit bei der Erstellung von Richtlinien für ein ISMS nach ISO 27001 sparen, und greifen dann auf "irgendwelche" Vorlagen zurück. Richtlinien sollten immer an den genauen Bedürfnissen des Unternehmens ausgerichtet sein und inhaltlich so formuliert und gestaltet werden, dass diese:
Technisch akkurat einen Sachverhalt darstellen können (hierzu gehören auch Tabellen, Diagramme und der Bezug zu Maßnahmen-Controls und sonstigen Quellen). - Angenehm sind, diese zu lesen.
- Neue Mitarbeiter (sowie auch Stamm-Mitarbeiter) schnell und gezielt eingearbeitet werden.
- Einen echten Mehrwert bieten und folglich eine breite Akzeptanz finden.
Richtlinien ergänzen die allgemeine, themenbezogene Dokumention und sollten immer zusammen mit dem jeweiligen Fach-Team (und sonstigen Beteiligten) erstellt werden.
"Vorlagen" hingegen, spiegeln weder die Bedürfnisse und Gegebenheiten des Unternehmens wider, noch finden diese inhaltlich eine nennenswerte Akzeptanz. Das Resultat ist digitaler Papiermüll und ein Bruch des gelebten, ganzheitlichen Informations-Sicherheit-Gedanken eines wirksamen ISMS.
Eine vereinfachte Darstellung, wie die Erstellung einer Richtlinie aussehen kann, ist wie folgt abgebildet. Man beachte, dass die Richtlinie eines ISMS nach ISO 27001 immer überprüft werden muss,
insbesondere auf deren Bekanntheit und Sinnhaftigkeit. Die Grafik verdeutlicht auch, dass alle Beteiligten einer bestimmten Thematik den passenden Content liefern müssen. Folglich ist eine Richtlinie nicht in der Hand von einer Person (was leider öfters passiert), sondern eines Teams.
Um die Qualität einer Richtlinie zu erhöhen, sind ergänzende Informationen aus Quellen wie z.B. der ISO 27002 oder auch internationale Best Practices ratsam. Besonders wenn Fragestellungen zu Themen wie z.B. einer Passwort-Richtlinie geklärt werden müssen. Doch auch hier gilt: Immer die eigenen Bedürfnisse des Unternehmens berücksichtigen.
Merke: Ein ISMS nach ISO 27001 passt sich dem Unternehmen an, nicht umgekehrt!
