Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.
Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.
Kapitel 5.2 beschreibt die Mindestanforderungen an die Leitliinie (Politik). Wichtigste Anforderung ist sicher, dass die Leitlinie dem Zweck der Organisation angemessen sein muss. Diese Anforderung kann leicht überlesen werde. Sie klingt wie ein Allgemeinplatz, ist es aber nicht. Dazu später mehr.
Die Leitlinie muss Informationssicherheitsziele enthalten oder den Rahmen zur Definition von Zielen, eine Verpflichtung zur Erfüllung relevanter Anforderungen im Bereich Informationssicherheit und eine Verpflichtung zur kontinuierlichen Verbesserung. Die letztgenannten beiden Punkte lassen sich einfach erfüllen. Dazu genügen einige wenige Sätze in der Leitlinie. Mit der Definition von Sicherheitszielen wird sich der nächste Artikel beschäftigen.
Ein Blick in die Norm ISO 27002 liefert uns weitere sehr nützliche Inhalte für die Leitlinie. Auch wenn die 27002 nicht normativ ist und daher für die Zertifizierung nicht zwingend erfüllt sein muss, sollte sie nicht ignoriert werden. In 5.1.1 „Richtlinien für Informationssicherheit“ werden folgende sinnvolle Inhalte einer Leitlinie genannt:
– Definition, Ziele und Grundsätze der Informationssicherheit
– Zuweisung von allgemeinen und spezifischen Verantwortlichkeiten des Managementsystems
– Verfahren zur Behandlung von Abweichungen und Verstößen
Unter Definitionen verstehe ich kurze Beschreibungen der zu berücksichtigenden Aspekte der Informationssicherheit, also Vertraulichkeit, Integrität und Verfügbarkeit und andere. Auch ein Satz über die Bedeutung der Informationssicherheit als solches ist nicht verkehrt. Es ist auch hilfreich an dieser Stelle verschiedene Grundsätze festzuhalten, wie z.B. das Least-Privileges Prinzip oder Need-to-know/Need-to-use. Auch Grundsätze wie „Vertraulichkeit vor Verfügbarkeit“, „Sicherheit vor Komfort“ oder die Berücksichtigung wirtschaftlicher Aspekte bei der Auswahl geeigneter Maßnahmen zur Behandlung von Risiken passen gut in die Leitlinie. Wie der Name schon sagt, ist der Zweck des Dokuments, die Leitlinien für das Managementsystem zu definieren. Nehmen wir den Begriff wörtlich, so eignet sich der Vergleich mit den Straßenmarkierungen gut. Die Striche auf dem Teer sind nicht Kunst oder Unterhaltung, sondern begrenzen den Fahrstreifen und sind eine visuelle Hilfe für den Fahrer. Ebenso ist auch die Leitlinie eine Hilfe für alle Beteiligten, eine Begrenzungsmarkierung, ein roter Faden. Gerade deshalb ist es so wichtig, dass die Leitlinie dem Zweck der Organisation angemessen ist. Die Leitlinie muss passen. Ich weiß, die Verlockung ist groß, sich eine Leitlinie zu googeln und nur den Namen auszutauschen. Schließlich sind die Mindestanforderungen schnell erfüllt. Diese Vorgehensweise wäre aber eine vertane Chance. Warum? Weil es wahrscheinlich keine zweite Gelegenheit geben wird mit dem Top Management die Grundsätze für die Implementierung und den Betrieb des ISMS zu definieren. Die darin festgelegten Grundsätze müssen dem Top Management abgerungen werden. Wenn z.B. das Least-Privileges Prinzip festgelegt wird, dann gilt das Prinzip auch für das Top Management (siehe 5.1 Führung und Verpflichtung). Dazu muss sich das Top Management selbst zu diesen Grundsätzen verpflichten. Jede Verpflichtung zu irgendeinem Grundsatz bedeutet auch immer gewisse Einschränkungen, Verlust von Freiheit und Implementierungsaufwand. Das sollte ausführlich diskutiert werden, damit ein einheitliches Verständnis herrscht und diese Diskussion und ihre Ergebnisse sollte ausreichend dokumentiert werden, damit nachvollziehbar ist, wie die Leitlinie entstanden ist. Im Laufe der Implementierung und erst recht im Betrieb des ISMS werden alle Schritte mit den in der Leitlinie festgelegten Zielen und Grundsätzen abgeglichen. Die Leitlinie sollte möglichst nicht angepasst werden müssen, außer im Rahmen der Managementbewertung ( siehe ISO 27001 9.3) ergibt sich Änderungsbedarf aufgrund von signifikanten Änderungen (siehe ISO 27002 5.1.2).
Was für die Grundsätze gilt, gilt natürlich auch für die Zuweisung von Rollen und Verantwortlichkeiten. In der Leitlinie versuche ich immer einige Schlüsselrollen unterzubringen. Dazu gehört eine Art Lenkungskreis (siehe ISO 27001 5.3 b)), der befugt ist ohne direkte Beteiligung des Top Managements gewisse Entscheidungen zu treffen und ein Informationssicherheitsbeauftragter (ISB), der im Tagesgeschäft das ISMS betreibt und für die Erfüllung der Norm 27001 verantwortlich ist (siehe ISO 27001 5.3 a)). Bereits an dieser Stelle Befugnisse vom Top Management bestätigt zu bekommen, kann die Arbeit im Laufe der Zeit enorm erleichtern. So lässt sich zum Beispiel die Freigabe von Dokumenten bereits an dieser Stelle sinnvoll regeln. Im Sinne der Norm genügt es, wenn die oberste Leitlinie vom Top Management freigegeben ist. Alle anderen Dokumente können von Anderen freigegeben werden. Das sollte in der Leitlinie geregelt sein. Die Praxis zeigt, dass es in vielen Unternehmen sehr aufwändig und zeitraubend ist, eine Freigabe vom Top Management für ein Dokument zu bekommen. Wenn es also keine zwingenden Gründe (z.B. gesetzliche Mitbestimmungspflichten) für eine breite Beteiligung gibt, sollte die Befugnis zur Freigabe von Dokumenten, Richtlinien und Verfahren im Geltungsbereich z.B. beim Lenkungskreis liegen, der so gestaltet sein sollte, dass er im Sinne des Top Managements handelt.
Manchmal kann es auch sinnvoll sein bereits in der Leitlinie Aussagen zu zukünftigen Aufwänden für den Betrieb des ISMS zu machen. So kann z.B. schon festgelegt werden, dass der Lenkungskreis quartalsweise tagt oder der ISB 50% seiner Regelarbeitszeit für den Betrieb des ISMS freigestellt wird. Das bedeutet dann wiederum, die Prozesse so zu gestalten, dass diese Vorgaben eingehalten werden können. So wird bereits zum Startschuss des ISMS in einigen Punkten Klarheit geschaffen.
Den letzten Punkt auf der Liste, Verfahren zur Behandlung von Abweichungen und Verstößen, halte ich nicht für so wichtig für die Leitlinie. Das kann man im Rahmen der Zuweisung von Verantwortlichkeiten berücksichtigen oder einen Hinweis auf den Prozess zur Behandlung von Sicherheitsvorfällen geben. Die Beschreibung eines Verfahrens im Rahmen der Leitlinie bläht diese nur unnötig auf und kann höchstens als Abschreckung dienen. Ob das gewünscht ist, ist eher eine Frage der Firmenkultur. Wobei wir wieder bei dem Punkt „dem Zweck der Organisation angemessen“ sind. Man kommt also nicht drum rum, sich viel Gedanken über Inhalt und Formulierung der Leitlinie zu machen, gewinnt dafür aber im Verlauf der Implementierung und des Betriebs des ISMS viel Handlungsspielraum und Rückendeckung durch das Management.