Ganzheitliche IT-Security Beratung: Bodenständig und mit Passion.
Richtlinien ergänzen die allgemeine, themenbezogene Dokumention und sollten immer zusammen mit dem jeweiligen Fach-Team (und sonstigen Beteiligten) erstellt werden.
"Vorlagen" hingegen, spiegeln weder die Bedürfnisse und Gegebenheiten des Unternehmens wider, noch finden diese inhaltlich eine nennenswerte Akzeptanz. Das Resultat ist digitaler Papiermüll und ein Bruch des gelebten, ganzheitlichen Informations-Sicherheit-Gedanken eines wirksamen ISMS.
Eine vereinfachte Darstellung, wie die Erstellung einer Richtlinie aussehen kann, ist wie folgt abgebildet. Man beachte, dass die Richtlinie eines ISMS nach ISO 27001 immer überprüft werden muss,
insbesondere auf deren Bekanntheit und Sinnhaftigkeit. Die Grafik verdeutlicht auch, dass alle Beteiligten einer bestimmten Thematik den passenden Content liefern müssen. Folglich ist eine Richtlinie nicht in der Hand von einer Person (was leider öfters passiert), sondern eines Teams.
Um die Qualität einer Richtlinie zu erhöhen, sind ergänzende Informationen aus Quellen wie z.B. der ISO 27002 oder auch internationale Best Practices ratsam. Besonders wenn Fragestellungen zu Themen wie z.B. einer Passwort-Richtlinie geklärt werden müssen. Doch auch hier gilt: Immer die eigenen Bedürfnisse des Unternehmens berücksichtigen.
Merke: Ein ISMS nach ISO 27001 passt sich dem Unternehmen an, nicht umgekehrt!