Was ist eine IT-Sicherheitsrichtlinie?

 

Eine Informationstechnologie (IT) Sicherheitsrichtlinie legt die Regeln und Verfahren für alle Personen fest, die auf die IT-Ressourcen einer Organisation zugreifen und diese nutzen. Eine wirksame IT-Sicherheitspolitik ist ein Modell für die Kultur der Organisation, in der Regeln und Verfahren von der Einstellung der Mitarbeiter zu ihren Informationen und ihrer Arbeit bestimmt werden. Eine wirksame IT-Sicherheitsrichtlinie ist daher ein einzigartiges Dokument für jede Organisation, das aus der Perspektive der Risikotoleranz der Mitarbeiter, der Art und Weise, wie sie ihre Informationen sehen und bewerten, und der daraus resultierenden Verfügbarkeit dieser Informationen entwickelt wird. Aus diesem Grund werden viele Unternehmen eine Standard-IT-Sicherheitsrichtlinie für unangemessen halten, da sie nicht berücksichtigt, wie die Mitarbeiter der Organisation Informationen tatsächlich nutzen und untereinander sowie mit der Öffentlichkeit austauschen.

Die Ziele einer IT-Sicherheitspolitik sind die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Informationen, die von den Mitgliedern einer Organisation genutzt werden. Diese drei Prinzipien bilden den CIA-Dreiklang:

  • Vertraulichkeit bezieht sich auf den Schutz von Vermögenswerten vor unbefugten Stellen
  • Integrität stellt sicher, dass die Änderung von Vermögenswerten in einer festgelegten und autorisierten Weise gehandhabt wird
  • Verfügbarkeit ist ein Zustand des Systems, in dem autorisierte Benutzer kontinuierlich Zugriff auf die genannten Assets haben

Die IT-Sicherheitsrichtlinie ist ein lebendiges Dokument, das kontinuierlich aktualisiert wird, um es an die sich entwickelnden geschäftlichen und IT-Anforderungen anzupassen. Institutionen wie die International Organization of Standardization (ISO) und das U.S. National Institute of Standards and Technology (NIST) haben Standards und Best Practices für die Erstellung von Sicherheitsrichtlinien veröffentlicht. Wie vom National Research Council (NRC) festgelegt, sollten die Spezifikationen jeder Unternehmenspolitik adressiert werden:

  1. Ziele
  2. Umfang
  3. Spezifische Ziele
  4. Verantwortlichkeiten für die Compliance und Maßnahmen, die bei Nichteinhaltung zu ergreifen sind.

Ebenfalls obligatorisch für jede IT-Sicherheitsrichtlinie sind Abschnitte, die sich mit der Einhaltung von Vorschriften befassen, die für die Branche der Organisation gelten. Gängige Beispiele hierfür sind der PCI-Datensicherheitsstandard und die Basler Vereinbarungen weltweit oder die Dodd-Frank Wall Street Reform, der Consumer Protection Act, der Health Insurance Portability and Accountability Act und die Financial Industry Regulatory Authority in den Vereinigten Staaten. Viele dieser gesetzlichen Stellen verlangen selbst eine schriftliche IT-Sicherheitsrichtlinie.

Die Sicherheitspolitik einer Organisation wird eine große Rolle bei ihren Entscheidungen und ihrer Ausrichtung spielen, aber sie sollte nicht ihre Strategie oder ihren Auftrag ändern. Daher ist es wichtig, eine Richtlinie zu verfassen, die aus dem bestehenden kulturellen und strukturellen Rahmen der Organisation abgeleitet ist, um die Kontinuität guter Produktivität und Innovation zu unterstützen, und nicht als generische Richtlinie, die die Organisation und ihre Mitarbeiter daran hindert, ihren Auftrag und ihre Ziele zu erfüllen.

 

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen