ISO 27001 Richtlinien – was ist das? Und wozu braucht man so etwas?
Die ISO 27001 gibt den Rahmen vor, wie Unternehmen sensible Daten und IT-Systeme vor Bedrohungen schützen können. Ein Bestandteil der Norm ist die Forderung nach sog. Richtlinien, die klare Regeln für den Umgang mit Informationen und IT-Systemen festlegen.
Was regeln ISO 27001 Richtlinien?
ISO 27001 deckt sowohl Informationssicherheit als auch IT-Sicherheit ab. Das bedeutet, dass die Richtlinien für viele Bereiche relevante Vorgaben enthalten – von technischen Sicherheitsvorkehrungen bis hin zu Verhaltensregeln für Mitarbeiter.
Technische Maßnahmen: Vieles lässt sich automatisieren
Ein großer Vorteil moderner IT-Sicherheit ist, dass sich viele Aspekte technisch umsetzen lassen. Beispiele:
- Automatische Sperrung: Unbenutzte Computer sperren sich nach 10 Minuten Inaktivität selbst – das ist simpel über eine Gruppenrichtlinie umsetzbar. Niemand muss danach noch daran denken, den eigenen Rechner zu sperren.
- Verschlüsselung: Festplatten werden standardmäßig verschlüsselt. Auch das kann man 1x einstellen und danach geschieht es automatisch-
- Zugriffsbeschränkungen auf bestimmte Ordner auf Servern: Und wieder: das lässt sich maschinell einstellen. Niemand muss darauf achten, dass er nicht unabsichtlich auf die falschen Dateien schaut.
Diese technischen Vorkehrungen sind wichtig, aber sie allein reichen nicht aus, denn...
...man kann einfach nicht alles automatisieren
Es gibt viele Situationen, die technische Maßnahmen nicht abdecken können. Hier kommen dann Richtlinien ins Spiel. Sie legen fest, wie Mitarbeiter in sicherheitskritischen Situationen handeln sollen. Beispiele:
- Dienstreise: Dürfen Mitarbeiter ihre Laptops in Länder wie Russland oder China mitnehmen? Welche Vorkehrungen sind für den Schutz der Daten auf Dienstreisen zu treffen?
- Neueinstellungen: Worauf sollte HR achten, wenn ein neuer Chef-IT-Admin eingestellt wird?
- Sicherheit in Meetingräumen: Was muss man beachten, wenn nach einem Meeting sensible Informationen an Whiteboards oder Flipcharts zurückgeblieben sind? Wer ist dafür verantwortlich? Derjenige, der zum Meeting eingeladen hat? Office Management?
- Ablage: welche Informationen müssen wo abgelegt werden, damit sie geeignet geschützt sind und damit die Kollegen sie auch wiederfinden?
Diese Punkte und noch vieles mehr lässt sich nicht automatisiert erledigen: hier sind Richtlinien hilfreich.
Warum fordert die ISO 27001 Richtlinien?
Die ISO 27001 "weiß", dass Menschen eine zentrale Rolle in der Informationssicherheit spielen. Technische Maßnahmen sind zwar effektiv, aber sie können überlegtes Verhalten nicht an jeder Stelle ersetzen. Richtlinien geben Orientierung und helfen, Risiken durch menschliche Fehler zu minimieren.
Unser Tipp
Nutzen Sie Beispiele zur Orientierung! Um den Start zu erleichtern, bieten wir einen Beispielsatz an ISO 27001 Richtlinien an, den Sie kostenlos herunterladen können. So erhalten Sie eine klare Vorstellung davon, wie solche Richtlinien gestaltet werden können und wie Sie sie an Ihr Unternehmen anpassen.
Interesse geweckt?
Möchten Sie mehr zum Thema Richtlinien wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!