Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten. Autor: Martin Renggli

Ziele und Inhalte einer Sicherheitsweisung (Sicherheitsleitlinie)

Das Thema Sicherheit geht alle Mitarbeitenden an. Daher ist es wichtig, das gemeinsame Verständnis zu diesem Thema zu regeln. Dies geschieht meist in Form einer Sicherheitsweisung oder einer Sicherheitsleitlinie. Sie beschreibt die strategische Positionierung, das angestrebte Sicherheitsniveau und legt allgemein verbindliche Regelungen im Bereich der Sicherheit fest. Daher wird sie auch von der Geschäftsleitung in Kraft gesetzt.

Sicherheitsleitlinie: Sicherheitsziele

Die Sicherheitsziele werden aus den Unternehmenszielen abgeleitet. Da sie unternehmensweit gelten und über längere Zeit Bestand haben, sollten sie bewusst gehalten werden. Mögliche Sicherheitsziele können sein:

• – Die gesetzlichen Anforderungen werden eingehalten.
• – Die IT-Infrastruktur und die bereitgestellten Arbeitsplätze entsprechen dem aktuellen Stand der Technik. Sie garantieren eine hohe Verfügbarkeit. Gespeicherte Daten sind integer.
• – Der gute Ruf des Unternehmens wird gewahrt.
• – Klassifizierte Informationen werden vertraulich behandelt und sind nur Berechtigten zugänglich.

Diese Sicherheitsziele werden in weiteren Dokumenten konkretisiert.

Sicherheitsleitlinie: Geltungsbereich

Üblicherweise gilt eine solche Weisung unternehmensweit. Daher ist sie für alle internen und externen Mitarbeitenden relevant. Werden Tätigkeiten ausgelagert, müssen diese Regeln auch dem externen Partner bekannt sein. Hier empfiehlt es sich, dies vertraglich zu regeln.

Sicherheitsleitlinie: Organisation und Verantwortlichkeiten

Um das Sicherheitsniveau zu erreichen und zu halten, gibt es verschiedene Aufgabenträgerinnen. Geschäftsleitung Sie trägt die nicht delegierbare Gesamtverantwortung im Thema Sicherheit. Sie genehmigt Weisungen und legt den Risikoappetit fest. Üblicherweise delegiert sie die operative Bearbeitung an eine Sicherheitsorganisation oder einen Sicherheitsbeauftragten. Hierfür stellt sie genügend Ressourcen und Geld zur Verfügung. Sicherheitsbeauftragter/Sicherheitsorganisation Die Sicherheitsbeauftragten sind zentrale Ansprechpersonen für alle Aspekte zum Thema Sicherheit. In grösseren Unternehmen werden sie von einer Sicherheitsorganisation unterstützt. Der Sicherheitsbeauftragte erstellt üblicherweise die Sicherheitsdokumente und überprüft deren Einhaltung. Die Sicherheitsbeauftragte fördert das Sicherheitsdenken, indem sie die Mitarbeitenden regelmässig mittels Security-Awareness-Massnahmen an diesem Thema aus- und weiterbildet. Ferner werden Projekte und neue Prozesse beraten. Zudem analysieren die Sicherheitsbeauftragten Sicherheitsvorfälle und leiten notwendige Massnahmen ein. Auch gehört es zu ihren Aufgaben, die Geschäftsleitung regelmässig über den Sicherheitsstatus zu informieren. Dies geschieht üblicherweise im Rahmen eines jährlichen Sicherheitsberichts. Datenschutzbeauftragter Der Datenschutzbeauftragte ist die Ansprechperson zu allen Aspekten des Datenschutzes. Dies umfasst Beratung und Kontrolle gesetzlicher Vorgaben. Da diese Funktion viel Rechtswissen verlangt, wird sie häufig von einem Mitglied des Rechtsdienstes wahrgenommen. Vorgesetzte Vorgesetzte müssen sicherstellen, dass ihre Mitarbeitenden die für sie geltenden Regeln kennen, verstanden haben und auch einhalten. Zu ihren Aufgaben gehört es, die Mitarbeitenden im Thema Sicherheit zu fördern und die Einhaltung der Vorgaben zu kontrollieren. Mitarbeitende Neben ihren eigentlichen Aufgaben im Job müssen sie die Sicherheitsvorgaben kennen, mittragen und einhalten.

Sicherheitsleitlinie: Regelmässige Aktualisierung

Ein Unternehmen steht im stetigen Wandel. Neben externen Umwelteinflüssen gibt es auch innerhalb eines Unternehmens stetige Weiterentwicklung. Neue Geschäftsziele, andere Aufgaben, geänderte Prozesse oder IT-Systeme sind nur einige Beispiele. Daher ist es wichtig, auch die Sicherheitsweisung regelmässig auf ihre Aktualität zu überprüfen. Üblich ist ein zweijährlicher Review.

---

Blogpost wurde erstellt von Martin Renggli (XING) (LindedIn) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.