27.01.2006, 14:10 Uhr
Mit System zur IT-Sicherheitsrichtlinie
Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.
Frage:
Was beinhaltet eine Sicherheitsrichtlinie und wie kann sie mit möglichst wenig Aufwand erstellt werden?
Was beinhaltet eine Sicherheitsrichtlinie und wie kann sie mit möglichst wenig Aufwand erstellt werden?
Die Problemstellung ist klassisch: Einerseits hat die Geschäftsleitung eine aus der Unternehmensstrategie abgeleitete langfristige Security-Strategie in Form eines halb- bis mehrseitigen Dokuments abgesegnet. Andererseits wurden daraufhin im Zuge der organisatorischen Umsetzung als Sofortmassnahme Security Policies, Weisungen und Checklisten verfasst und in Kraft gesetzt. Aber der Mittelbau, die Verbindung der strategischen mit der operativen Ebene, fehlt oftmals. Diese Lücke schliesst die so genannte IT-Sicherheitsrichtlinie, ein Dokument, welches über hundert A4-Seiten umfassen kann, dafür aber sämtliche, für ein effektives und effizientes IT-Security-Management benötigten Bereiche abdeckt.
Das Verfassen einer IT-Sicherheitsrichtlinie mittels Konsolidierung bestehender sicherheitsrelevanter Dokumente bietet die Chance, das Informationssicherheitsmanagement nachhaltig zu verbessern, indem Widersprüche beseitigt und so genannte «weisse Flecken» auf- und anschliessend abgedeckt werden. Security Policies werden üblicherweise bezüglich Inhalt und Formulierung auf die Zielgruppe ausgerichtet. Wenn keine zentrale Koordination der Dokumente erfolgte, ist die Wahrscheinlichkeit gross, dass die Policies sich zumindest bezüglich der verwendeten Formulierungen unterscheiden. Schwerer wiegen andere potenzielle Probleme - etwa, dass nicht alle Bereiche abgedeckt wurden oder sich einzelne Weisungen und Regelungen widersprechen. Widersprüche mittels eines Direktvergleichs der einzelnen Dokumente untereinander aufzudecken ist reine Fleissarbeit. Anders verhält es sich mit allfällig bestehenden weissen Flecken.
Das Verfassen einer IT-Sicherheitsrichtlinie mittels Konsolidierung bestehender sicherheitsrelevanter Dokumente bietet die Chance, das Informationssicherheitsmanagement nachhaltig zu verbessern, indem Widersprüche beseitigt und so genannte «weisse Flecken» auf- und anschliessend abgedeckt werden. Security Policies werden üblicherweise bezüglich Inhalt und Formulierung auf die Zielgruppe ausgerichtet. Wenn keine zentrale Koordination der Dokumente erfolgte, ist die Wahrscheinlichkeit gross, dass die Policies sich zumindest bezüglich der verwendeten Formulierungen unterscheiden. Schwerer wiegen andere potenzielle Probleme - etwa, dass nicht alle Bereiche abgedeckt wurden oder sich einzelne Weisungen und Regelungen widersprechen. Widersprüche mittels eines Direktvergleichs der einzelnen Dokumente untereinander aufzudecken ist reine Fleissarbeit. Anders verhält es sich mit allfällig bestehenden weissen Flecken.
