Die Leitlinie zur Informationssicherheit ist ein wichtiges Grundsatzdokument der Leitung zu dem Stellenwert, den verbindlichen Prinzipien und dem anzustrebenden Niveau der Informationssicherheit in einer Institution. Für die betroffenen Mitarbeiter verständlich, wird auf wenigen Seiten beschrieben, welche Sicherheitsziele angestrebt und in welchem organisatorischen Rahmen diese umgesetzt werden sollen. Die Entwicklung der Leitlinie muss von der Leitung der Institution angestoßen und aktiv begleitet werden. Der ISB wird die Leitlinie in enger Kooperation mit der Leitung erarbeiten und dabei (sofern vorhanden) vom IS-Management-Team und weiteren Verantwortlichen für Informationssicherheit unterstützt.

Die Leitlinie muss allen betroffenen Mitarbeitern bekannt gegeben und kontinuierlich aktualisiert werden.

Was sollte in der Leitlinie zur Informationssicherheit festgelegt werden?

• Der Geltungsbereich wird konkretisiert.
• Die Bedeutung, die Informationssicherheit für eine Institution hat, wird hervorgehoben, etwa indem darauf hingewiesen wird, dass ein Ausfall der Informationstechnik oder Verletzungen der Vertraulichkeit und Integrität von Informationen die Existenz der Institution gefährden.
• Die Verantwortung der Leitung wird betont, sowohl im Hinblick auf die Initiierung des Sicherheitsprozesses als auch auf dessen kontinuierliche Verbesserung.
• Es wird auf einschlägige Gesetze und Regulierungsauflagen hingewiesen und die Mitarbeiter werden verpflichtet, diese zu beachten.
• Es werden für die Informationssicherheit besonders wichtige Geschäftsprozesse genannt, etwa Produktionsabläufe, Forschungsverfahren oder Personalbearbeitung, und auf die strikte Einhaltung von Sicherheitsregeln hingewiesen.
• Die Organisationsstruktur für Informationssicherheit und die Aufgaben der verschiedenen Sicherheitsverantwortlichen werden vorgestellt.
• Sinnvoll ist auch der Hinweis auf Sicherheitsschulungen und Sensibilisierungsmaßnahmen.

Im Baustein ISMS Sicherheitsmanagement werden die Anforderungen an eine Leitlinie formuliert. Hinweise zum Vorgehen und zur inhaltlichen Struktur finden sich in den zugehörigen Umsetzungshinweisen.

Beispiel: Leitlinie für die Informationssicherheit bei der RECPLAST GmbH

Auch das Unternehmen RECPLAST GmbH hat eine Sicherheitsleitlinie entwickelt. Folgende Themen werden adressiert:

• Stellenwert der Informationssicherheit und Bedeutung der Leitlinie,
• Sicherheitsniveau und Ziele,
• Verantwortlichkeiten,
• Verstöße und Folgen,
• Geltungsbereich und Verweis auf Konkretisierung.

Sie finden dieses Muster in Kapitel 2 der ausführlichen Darstellung zur RECPLAST GmbH.

Übung zur Anwendung

Bitte überlegen Sie, wie Sie eine Sicherheitsleitlinie für Ihr Unternehmen oder Ihre Behörde gestalten würden.

• Wie definieren Sie den Geltungsbereich?
• Welche Ziele nennen Sie?
• Gibt es bereits Beauftragte für Informationssicherheit oder einzelne Aspekte dieser Aufgabe? Wie würden Sie diese in den Entwicklungsprozess einbeziehen?
• Wie stellen Sie die Verantwortung und die Aufgaben der Mitarbeiter dar?
• Gibt es besonders kritische Geschäftsprozesse, deren Anforderungen Sie in der Leitlinie hervorheben möchten?