{"id":4822,"date":"2011-03-25T11:13:31","date_gmt":"2011-03-25T11:13:31","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/03\/25\/informationssicherheitsleitlinie-wie-detailliert-sollte-sie-sein\/"},"modified":"2022-12-28T11:45:00","modified_gmt":"2022-12-28T11:45:00","slug":"informationssicherheitsleitlinie-wie-detailliert-sollte-sie-sein","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/de\/blog\/2011\/03\/25\/informationssicherheitsleitlinie-wie-detailliert-sollte-sie-sein\/","title":{"rendered":"Informationssicherheitspolitik \u2013 wie detailliert sollte sie sein?"},"content":{"rendered":"<p><div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><br \/>\nOft sehe ich eine zu detailliert festgehaltene Informationssicherheitspolitik, bei der versucht wird, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte. Das einzige Problem bei einer solchen Politik ist, dass sie 50 oder mehr Seiten umfasst, und niemand sie wirklich ernst nimmt. Sie endet meist als k\u00fcnstliches Dokument, deren einziger Zweck besteht, den Auditor zufriedenzustellen.<\/p>\n<p>Aber warum ist eine solche Politik sehr schwierig umzusetzen? Weil sie zu ehrgeizig sind &#8211; sie versuchen, zu viele Themen abzudecken, und sie sind f\u00fcr einen gro\u00dfen Kreis von Personen bestimmt.<\/p>\n<p>Deshalb definiert <a href=\"https:\/\/advisera.com\/27001academy\/de\/was-ist-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, die f\u00fchrende Norm f\u00fcr Informationssicherheitspolitik, unterschiedliche Ebenen dieser Politik:<\/p>\n<ul>\n<li>High-Level-Politik, wie zum <a href=\"https:\/\/advisera.com\/27001academy\/de\/documentation\/informationssicherheits-managementsystem-richtlinie\/\" target=\"_blank\" rel=\"noopener noreferrer\">Beispiel die Politik f\u00fcr das Informationssicherheits-Managementsystem<\/a> \u2013 diese High-Level-Politik definiert \u00fcblicherweise strategische Absichten, Ziele usw.<\/li>\n<li>Detaillierte Politik &#8211; diese Art von Politik beschreibt normalerweise einen ausgew\u00e4hlten Bereich der Informationssicherheit im Detail, mit genauen Verantwortlichkeiten usw.<\/li>\n<\/ul>\n<p>ISO 27001 verlangt, dass die Politik des Informationssicherheits-Managementsystems (ISMS) als rangh\u00f6chstes Dokument folgende Elemente enth\u00e4lt: den Rahmen f\u00fcr die Festlegung von Zielen, die Ber\u00fccksichtigung verschiedener Anforderungen und Verpflichtungen, Ausrichtung am Kontext des strategischen Risikomanagements eines Unternehmens sowie die Erstellung von Kriterien f\u00fcr die Risikobewertung. Eine solche Politik sollte eigentlich sehr kurz sein (vielleicht ein oder zwei Seiten), da sein Hauptzweck darin besteht, dass das leitende Management ihr ISMS steuern kann.<\/p>\n<p>F\u00fcr die betriebliche Nutzung sollten dagegen detaillierte Richtlinien erstellt werden, die sich auf einen engeren Bereich der Sicherheitsaktivit\u00e4ten konzentrieren. Beispiele f\u00fcr solche Richtlinien sind: Klassifizierungsrichtlinie, Richtlinie zur akzeptablen Nutzung von Informationswerten, Back-up-Richtlinie, Zugangssteuerungsrichtlinie, Passwortrichtlinie, \u201aClear Desk und clear screen\u2018-Richtlinie, Richtlinie zur Nutzung von Netzwerkdiensten, Richtlinien f\u00fcr mobile Computer, Richtlinie zur Verschl\u00fcsselung usw. Hinweis: Nach ISO 27001 ist es nicht erforderlich, s\u00e4mtliche dieser Leitlinien umzusetzen und\/oder zu dokumentieren, weil die Entscheidung, ob und in welchem Umfang solche Ma\u00dfnahmen anwendbar sind, von den Ergebnissen der Risikoeinsch\u00e4tzung abh\u00e4ngt.<\/p>\n<p>Da solche Richtlinien mehr Details festlegen, sind sie meist l\u00e4nger &#8211; bis zu zehn Seiten. Wenn sie viel l\u00e4nger als zehn Seiten sind, w\u00e4re es sehr schwierig, diese Politik umzusetzen und zu pflegen.<\/p>\n<p>Mit anderen Worten ist Informationssicherheit zu komplex, um in einer einzelnen Politik definiert zu werden \u2013 f\u00fcr unterschiedliche Aspekte des ISMS und verschiedene \u201eZielgruppen\u201c sollte es gesonderte Richtlinien geben. Mittelgro\u00dfe Organisationen erstellen f\u00fcr ihre ISMS in der Regel bis zu f\u00fcnfzehn Richtlinien.<\/p>\n<p>Man k\u00f6nnte argumentieren, dass diese Zahl von Richtlinien f\u00fcr Unternehmen nichts anderes als eine Mehrbelastung ist. Ich w\u00fcrde sicherlich zustimmen, wenn diese Richtlinien nur mit dem Zertifizierungsaudit im Hinterkopf geschrieben werden &#8211; eine solche Politik bringt nur mehr B\u00fcrokratie. Wenn eine Politik jedoch mit der Absicht verfasst wurde, die Risiken zu verringern, dann wird sie h\u00f6chstwahrscheinlich ihren Wert aufzeigen &#8211; wenn nicht sofort, dann m\u00f6glicherweise in zwei oder drei Jahren, weil die Anzahl der Vorf\u00e4lle gesenkt werden konnte.<\/p>\n<p><em>Lesen Sie das kostenlose Online-Training <\/em><a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Course<\/a><em>, um mehr \u00fcber Informationssicherheit und andere Richtlinien zu erfahren, die nach ISO 27001 eingehalten werden m\u00fcssen.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Oft sehe ich eine zu detailliert festgehaltene Informationssicherheitspolitik, bei der versucht wird, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte. Das einzige Problem bei einer solchen Politik ist, dass sie 50 oder mehr Seiten umfasst, und niemand sie wirklich ernst nimmt. Sie endet meist als k\u00fcnstliches Dokument, &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[52],"tags":[1237,1547],"class_list":["post-4822","post","type-post","status-publish","format-standard","hentry","category-blog-de","tag-iso-27001-de","tag-iso-27001-de-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4822","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/comments?post=4822"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/posts\/4822\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/media?parent=4822"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/categories?post=4822"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/de\/wp-json\/wp\/v2\/tags?post=4822"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}