Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.192 Erstellung einer IT-Sicherheitsleitlinie - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.192 Erstellung einer IT-Sicherheitsleitlinie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Die Leitaussagen zur IT-Sicherheitsstrategie sollten in einer IT-Sicherheitsleitlinie zusammengefasst werden, um die zu verfolgenden IT-Sicherheitsziele und das angestrebte IT-Sicherheitsniveau für alle Mitarbeiter zu dokumentieren. Mit der IT-Sicherheitsleitlinie bekennt sich die Behörden- bzw. Unternehmensleitung sichtbar zu ihrer Verantwortung für IT-Sicherheit.

Bei der Erstellung der IT-Sicherheitsleitlinie müssen folgende Punkte beachtet werden:

Verantwortung der Behörden- bzw. Unternehmensleitung

Wichtig ist, dass die Behörden- bzw. Unternehmensleitung in vollem Umfang hinter der IT-Sicherheitsleitlinie und den darin festgehaltenen Zielen steht. Daher muss die IT-Sicherheitsleitlinie von der Behörden- bzw. Unternehmensleitung unterschrieben und in deren Namen veröffentlicht werden. Selbst wenn einzelne Aufgaben im Rahmen des IT-Sicherheitsprozesses an Personen oder Organisationseinheiten delegiert werden, die dann für die Umsetzung zuständig sind, bleibt die Gesamtverantwortung immer bei der Behörden- bzw. Unternehmensleitung.

Festlegung des Geltungsbereichs

Für die Feststellung von Rahmenbedingungen, IT-Sicherheitsanforderungen, Einflussfaktoren und weiteren sicherheitsrelevanten Aspekten muss der Geltungsbereich der IT-Sicherheitsleitlinie klar definiert werden. Dieser kann die gesamte Institution umfassen oder aus einzelnen Teilbereichen bestehen. Um einen sinnvollen IT-Sicherheitsprozess aufzusetzen ist es jedoch wichtig, dass im betrachteten Geltungsbereich die zugehörigen Fachaufgaben und Geschäftsprozesse komplett enthalten sind.

Festlegung von Sicherheitszielen

Zu Beginn des Sicherheitsprozesses muss die Behörden- bzw. Unternehmensleitung die Sicherheitsziele festlegen, abstimmen und dokumentieren. Diese lassen sich aus den Geschäftsaufgaben und Fachaufgaben, gesetzlichen Rahmenbedingungen und allgemeinen Behörden- oder Unternehmenszielen ableiten. Die Sicherheitsziele dienen als Grundlage der Sicherheitsleitlinie.

Inhalt der IT-Sicherheitsleitlinie

Die IT-Sicherheitsleitlinie sollte kurz und übersichtlich sein, dabei aber mindestens die folgenden Aspekte enthalten:

Bekanntgabe der IT-Sicherheitsleitlinie

IT-Sicherheitsmaßnahmen und organisatorische Regelungen werden erfahrungsgemäß nur dann von allen Mitarbeitern befolgt, wenn diese ihren Sinn erkennen. Die IT-Sicherheitsleitlinie muss daher veröffentlicht werden, um die Strategie des verantwortlichen Managements zu dokumentieren. Dies sollte so erfolgen, dass der Stellenwert der IT-Sicherheit deutlich wird. Es ist wichtig, dass alle Mitarbeiter die Inhalte der IT-Sicherheitsleitlinie kennen und nachvollziehen können. Neue Mitarbeiter sollten auf die IT-Sicherheitsleitlinie hingewiesen werden, bevor sie Zugang zur Informationsverarbeitung erhalten. Deren Bedeutung wird unterstrichen, wenn alle Mitarbeiter die Kenntnis der IT-Sicherheitsleitlinie schriftlich bestätigen müssen.

Generell sollte die IT-Sicherheitsleitlinie so allgemein gehalten sein, dass sich alle Mitarbeiter aus den verschiedenen Organisationsbereichen einer Institution davon angesprochen fühlen. Es ist aber auch möglich, die IT-Sicherheitsleitlinie für spezielle Anwendungen oder Bereiche innerhalb einer Institution um Inhalte zu ergänzen, die nur für einen eingeschränkten Personenkreis relevant oder die vertraulich sind. Es empfiehlt sich, diese Abschnitte in eine Anlage zur Leitlinie zu verlagern, um so flexibler und zeitnah auf erforderliche Änderungen zu reagieren zu können, ohne das der allgemeine Teil der Leitlinie angepasst werden muss. Falls erforderlich, kann die Anlage separat als vertraulich gekennzeichnet und besonders geschützt werden.

Aktualisierung der IT-Sicherheitsleitlinie

Die IT-Sicherheitsleitlinie muss regelmäßig bei Änderungen von Rahmenbedingungen, Geschäftszielen, Aufgaben oder der IT-Sicherheitsstrategie überprüft und gegebenenfalls aktualisiert werden.

Ergänzende Kontrollfragen: