Informationssicherheitspolitik - was ist das und was muss rein? "Informationssicherheitspolitik" klingt auf den ersten Blick wie ein sperriges Dokument, das eher für Bürokraten als für den Alltag gemacht ist. Aber der Schein trügt: Sie ist das Herzstück eines jeden Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Kurz gesagt: Es geht um eine glaubhafte Selbstverpflichtung eines Unternehmens, die sowohl nach innen als auch nach außen signalisiert, dass hier Informationssicherheit ernst genommen wird.
Was ist eine Informationssicherheitspolitik?
Die Informationssicherheitspolitik ist mehr als nur ein Dokument. Sie ist ein Commitment des Managements. Sie zeigt, dass das Unternehmen bewusst Verantwortung übernimmt und klare Regeln für den Umgang mit Informationen aufstellt. Nach außen vermittelt sie Kunden und Partnern Vertrauen. Nach innen gibt sie allen Mitarbeiter Orientierung.
Was muss in einer Informationssicherheitspolitik stehen?
Die ISO 27001 gibt klare Vorgaben, was in einer Informationssicherheitspolitik enthalten sein muss. Hier die wichtigsten Punkte, erklärt mit Beispielen aus der Praxis:
Sie muss für den Zweck der Organisation angemessen sein
Kein Copy-Paste-Dokument! Eine gute Informationssicherheitspolitik passt genau zum Unternehmen. Ein kleiner IT-Dienstleister wird hier andere Schwerpunkte setzen als ein internationaler Konzern.
Sie muss Ziele oder den Rahmen für Ziele bieten
Die Informationssicherheitspolitik sollte entweder konkrete Ziele nennen (z.B. „Schutz von Kundendaten“) oder einen Rahmen setzen, in dem Ziele definiert werden können (also bspw. "Wir setzen uns jedes Jahr neue konkrete Ziele."). Es geht darum, sich nicht in Allgemeinplätzen zu verlieren, sondern greifbare Sicherheitsziele zu haben, deren Erreichung man später auch messen kann.
Sie enthält die Verpflichtung zur Erfüllung relevanter Anforderungen
Hier geht es nicht nur um Gesetze, sondern auch um Anforderungen von Kunden, Partnern, Branchenanforderungen oder ähnliches. Die Botschaft: Wir halten uns an die Regeln – und zwar alle relevanten.
Sie verpflichtet zur kontinuierlichen Verbesserung
Stillstand ist keine Option. Informationssicherheit muss sich anpassen – an neue Technologien, Bedrohungen und Anforderungen. Deshalb schreibt die ISO 27001 vor, dass die Politik immer auch die ständige Weiterentwicklung des ISMS fordert. Die bösen Jungs da draußen schlafen schließlich auch nicht.
Praktische Anforderungen an die Informationssicherheitspolitik
Neben den inhaltlichen Punkten gibt es auch einige praktische Anforderungen:
Aufgeschrieben
Ganz ehrlich: Es wäre schwierig, sich all das zu merken. Darum sagt die ISO 27001, dass die Politik dokumentiert werden muss. Einfach aufschreiben – ob als PDF, Intranet-Seite im Wiki oder – für meinetwegen auch ausgedruckt und an die Wand gehängt.
Bekannt gemacht
Die beste Politik bringt nichts, wenn sie in einer Schublade verstaubt. Es wäre schon gut, wenn alle wissen, dass sowas existiert – und idealerweise auch, was drinsteht. Das klappt gut mit Schulungen, Meetings oder Infos im Intranet.
Für "interessierte Parteien" verfügbar
Kunden oder Partner fragen oft nach der Informationssicherheitspolitik. Je nachdem, wie sensibel die Inhalte sind, kann man eine gekürzte Version bereitstellen. In Ausschreibungen muss man sie auch manchmal beilegen.
Unser Tipp
Legen Sie sich eine kurze und knackige Informationssicherheitspolitik zurecht. Oder hängen Sie sie aus zusammen mit Ihrem Mission oder Vision Statement. Das gibt eine Leitplanke und sorgt für Kohärenz im Unternehmen. Alle wissen dann, in welche Richtung die Reise geht.
Und bedenken Sie immer: Die Treppe wird von oben gefegt! Wenn Ihre Mitarbeiter sich orientieren wollen, was wichtig ist, dann schauen Sie nach oben und was dort vorgelebt wird.
Dafür ist die Informationssicherheitspolitik auch gut.
Interesse geweckt?
Möchten Sie mehr zum Thema Informationssicherheitspolitik? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!
