Oft sehe ich eine zu detailliert festgehaltene Informationssicherheitspolitik, bei der versucht wird, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte. Das einzige Problem bei einer solchen Politik ist, dass sie 50 oder mehr Seiten umfasst, und niemand sie wirklich ernst nimmt. Sie endet meist als künstliches Dokument, deren einziger Zweck besteht, den Auditor zufriedenzustellen.
Aber warum ist eine solche Politik sehr schwierig umzusetzen? Weil sie zu ehrgeizig sind – sie versuchen, zu viele Themen abzudecken, und sie sind für einen großen Kreis von Personen bestimmt.
Deshalb definiert ISO 27001, die führende Norm für Informationssicherheitspolitik, unterschiedliche Ebenen dieser Politik:
- High-Level-Politik, wie zum Beispiel die Politik für das Informationssicherheits-Managementsystem – diese High-Level-Politik definiert üblicherweise strategische Absichten, Ziele usw.
- Detaillierte Politik – diese Art von Politik beschreibt normalerweise einen ausgewählten Bereich der Informationssicherheit im Detail, mit genauen Verantwortlichkeiten usw.
ISO 27001 verlangt, dass die Politik des Informationssicherheits-Managementsystems (ISMS) als ranghöchstes Dokument folgende Elemente enthält: den Rahmen für die Festlegung von Zielen, die Berücksichtigung verschiedener Anforderungen und Verpflichtungen, Ausrichtung am Kontext des strategischen Risikomanagements eines Unternehmens sowie die Erstellung von Kriterien für die Risikobewertung. Eine solche Politik sollte eigentlich sehr kurz sein (vielleicht ein oder zwei Seiten), da sein Hauptzweck darin besteht, dass das leitende Management ihr ISMS steuern kann.
Für die betriebliche Nutzung sollten dagegen detaillierte Richtlinien erstellt werden, die sich auf einen engeren Bereich der Sicherheitsaktivitäten konzentrieren. Beispiele für solche Richtlinien sind: Klassifizierungsrichtlinie, Richtlinie zur akzeptablen Nutzung von Informationswerten, Back-up-Richtlinie, Zugangssteuerungsrichtlinie, Passwortrichtlinie, ‚Clear Desk und clear screen‘-Richtlinie, Richtlinie zur Nutzung von Netzwerkdiensten, Richtlinien für mobile Computer, Richtlinie zur Verschlüsselung usw. Hinweis: Nach ISO 27001 ist es nicht erforderlich, sämtliche dieser Leitlinien umzusetzen und/oder zu dokumentieren, weil die Entscheidung, ob und in welchem Umfang solche Maßnahmen anwendbar sind, von den Ergebnissen der Risikoeinschätzung abhängt.
Da solche Richtlinien mehr Details festlegen, sind sie meist länger – bis zu zehn Seiten. Wenn sie viel länger als zehn Seiten sind, wäre es sehr schwierig, diese Politik umzusetzen und zu pflegen.
Mit anderen Worten ist Informationssicherheit zu komplex, um in einer einzelnen Politik definiert zu werden – für unterschiedliche Aspekte des ISMS und verschiedene „Zielgruppen“ sollte es gesonderte Richtlinien geben. Mittelgroße Organisationen erstellen für ihre ISMS in der Regel bis zu fünfzehn Richtlinien.
Man könnte argumentieren, dass diese Zahl von Richtlinien für Unternehmen nichts anderes als eine Mehrbelastung ist. Ich würde sicherlich zustimmen, wenn diese Richtlinien nur mit dem Zertifizierungsaudit im Hinterkopf geschrieben werden – eine solche Politik bringt nur mehr Bürokratie. Wenn eine Politik jedoch mit der Absicht verfasst wurde, die Risiken zu verringern, dann wird sie höchstwahrscheinlich ihren Wert aufzeigen – wenn nicht sofort, dann möglicherweise in zwei oder drei Jahren, weil die Anzahl der Vorfälle gesenkt werden konnte.
Lesen Sie das kostenlose Online-Training ISO 27001 Foundations Course, um mehr über Informationssicherheit und andere Richtlinien zu erfahren, die nach ISO 27001 eingehalten werden müssen.