Sicherheitsleitlinie - Organisation der Informationssicherheit
 

Zuweisung der Verantwortlichkeiten

Im Rahmen der Informationssicherheit müssen alle Verantwortlichkeiten innerhalb der Organisation klar definiert werden. Die Leitung obliegt dabei den Verantwortlichen sowie ihrem Verantwortungsbereich. Jeder Verantwortliche gewährleistet die Umsetzung der Leitlinien in seinem Kompetenzbereich. Diese Verantwortlichen nehmen auch an der jährlichen Überprüfung teil.

Rollendefinierung

Die Leitung:

  • genehmigt die globale Sicherheitspolitik, die Leitlinien sowie die Richtlinien

  • stellt die benötigten Ressourcen zur Erfüllung der Sicherheitsziele

  • sorgt für die Sicherheit der Geschäftsprozesse

  • designiert einen Sicherheitsbeauftragten sowie einen Informationssicherheitsbeauftragten

Der Sicherheitsbeauftragte (SB) und der Informationssicherheitsbeauftragte (ISB)

Der SB (Sicherheitsbeauftragte) und der ISB (Informationssicherheitsbeauftragte) haben Koordinationsverantwortung. Zu diesem Zweck hat jeder für sich, in seinem Bereich, die Verantwortung:

  • einen Aktionsplan zu erstellen, umzusetzen sowie regelmäßig zu aktualisieren

  • dem Personal sowie den Partnern der Organisation die Orientierung der Informationssicherheit mitzuteilen

  • für die Einhaltung der Informationssicherheitsleitlinien sowie dem Datenschutzgesetz zu sorgen

  • die Leitung regelmäßig über den Fortschritt im Bereich Sicherheit zu informieren

  • dem Personal bei der Umsetzung der Sicherheitsmaßnahmen zu unterstützen.

Die Werte-Verantwortlichen

Die jeweiligen Verantwortungsträger für Werte der Organisation müssen:

  • ein Inventar der Güter und Informationen erstellen, für die sie verantwortlich sind

  • Sicherheitsaspekte managen

  • über die Verwendung dieser Informationen bestimmen

  • darauf achten, dass angemessene Sicherheitsmaßnahmen eingerichtet, verwendet und regelmäßig überprüft werden

  • zur Sensibilisierung der Nutzer beitragen.

Sicherheitskoordination

Der SB sowie der ISB widmen sich dem Sicherheitsmanagement Der SB sowie der ISB organisieren und unterhalten die Sicherheit Sie sind sowohl Koordinatoren als auch Ansprechpartner in diesem Bereich

Sie sind ständige Mitglieder des Sicherheitskomitees, ihnen obliegt es, allen Informationssicherheitsereignissen nachzugehen.

Es handelt sich um transversale Aufgaben innerhalb der hierarchisch organisierten Organisation, was ihnen erlaubt, selbständig zu allen sicherheitsrelevanten Themen Stellung zu nehmen.

Sie werden von der Leitung zur Entscheidungsfindung herangezogen, sobald sicherheitsrelevante Aspekte eine Rolle spielen.

Sie sind auch Hauptansprechpartner für externe Stellen sowie für Expertengruppen.

Genehmigungsverfahren für Informationsverarbeitende Einrichtungen

Die Sicherheitsleitlinie muss eine Prozedur zur Einführung von neuen Informationsverarbeitungssystemen enthalten.

Das Hinzufügen neuer Geräte oder Programme (KMU: siehe Benutzung unerlaubter Programme und Einbringen oder Entfernen von Material und Ungültige oder fehlende Lizenz und Missbrauch von organisationsinternen Ressourcen) innerhalb der Organisation muss vom Verantwortlichen genehmigt werden (siehe Festlegung der Verantwortungsbereiche). Die Installation von vom Internet heruntergeladener Programme gehört zu dieser Kategorie Diese Leitlinie muss bei der Benutzung privater Geräte innerhalb der Organisation angewendet werden, besonders wenn diese ans Netzwerk angeschlossen werden.

Kontakte zu Spezialisten

Die Organisation muss mit einem Experten der Informationssicherheit in Kontakt stehen, der Hauptansprechpartner für alle Sicherheitsaspekte ist. Er beteiligt sich an:

  • der Definition der Sicherheitsleitlinien sowie an der jährlichen Überprüfung;

  • Prüfungen;

  • den Umsetzungsmeetings der Sicherheitsmaßnahmen;

  • der Umsetzung technischer Maßnahmen;

  • der technologischen Überwachung, indem er die Organisation über jene Themen informiert, die eine Auswirkung auf die Sicherheit der Organisation haben könnten.

Die Leitung beauftragt die externe Firma, welche mit dieser Aufgabe betraut ist.

Unabhängige Überprüfung der Informationssicherheit

Die Organisation kann einen externen Spezialisten mit der jährlichen Überprüfung der Sicherheitsleitlinie beauftragen. Das Ziel dieser Überprüfung liegt darin, festzustellen, ob die Leitlinien in einem angemessenen Verhältnis zu den Aufgaben der Organisation stehen und ob sie auch wirklich umgesetzt werden.

Dieser Punkt ist optional

Einbringung von Dienstleistungen

Der logische oder physische Zugriff von Externen (Verwaltung der Zugriffsrechte), auf Werte und Informationen der Organisation muss in einem sehr engen Rahm genehmigt werden. Der Zugriff muss formell von einem Verantwortlichen genehmigt werden. Die externen Kräfte müssen unter der direkten Überwachung eines Angestellten der Organisation arbeiten oder das hier zur Verfügung gestellte Dokument unterschreiben: "Verpflichtung zur Einhaltung der Sicherheitsvorschriften für Subunternehmer der Organisation" (KMU: siehe Eindringen in Einrichtungen Entfernen von Eigentum (Diestahl) Entsorgung von Datenträgern Einbringen oder Entfernen von Material).

In allen Fällen müssen Dienstleistungsverträge für die kritische Werte der Organisation Vorschriften zum Schutz dieser Werte enthalten.