Leitlinie – ISMS mit Stil

Die Informationssicherheitspolitik

April 26, 2017 by David Gabel - No comments

Vorab ein Wort unter uns: Ich finde den Begriff Politik in diesem Zusammenhang nicht besonders gut gewählt. Er ist eine Übersetzung des englischen Begriffs „Policy“, der in der Norm häufig verwendet wird und überwiegend als „Richtlinie“ oder „Leitlinie“ übersetzt wird. Diese Begriffe finde ich besser als Politik und ich habe bislang in meiner Arbeit auch überwiegend den Begriff „Leitlinie“ an dieser Stelle verwendet und darum bleibe ich auch in diesem Blogeintrag dabei.

Die Leitlinie zur Informationssicherheit oder Informationssicherheitsleitlinie (im Folgenden einfach Leitlinie genannt) definiert die Grundlage, die Ziele und die Rahmenbedingungen des Managementsystems. Sie enthält die Absichten und die Motivation des Top Managements zur Etablierung des Managementsystems. Die Veröffentlichung der Leitlinie gilt auch als Startschuss des Managementsystems. Inhaltlich sind die Anforderungen an die Leitlinie schnell erfüllt. Es gibt aber gute Gründe etwas mehr in die Leitlinie zu packen, als nur die Mindestanforderungen.

Führung und Verpflichtung

Februar 13, 2017 by David Gabel - No comments

Die Norm ISO/IEC 27001 beschreibt ein auf die Erfüllung von Zielen und Anforderungen sowie auf kontinuierliche Verbesserung ausgerichtetes Managementsystem. Die Anforderungen werden von den sogenannten interessierten Parteien bestimmt. Die Ziele werden vom Top Management vorgegeben. Bereits durch diese Vorgehensweise wird klar dass das Managementsystem einen Top-Down Ansatz verfolgt.

Führung und Verpflichtung — Anforderungen und Ziele

Auch die Bezeichnung Managementsystem lässt darauf schließen, denn Management hat die Bedeutung von steuern und lenken. Es muss also dann auch einen Steuerer und Lenker geben. Das kann eine Einzelperson (z.B. Geschäftsführer) oder ein Gremium (z.B. Vorstand) sein.

Geltungsbereich

November 30, 2016 by David Gabel - No comments

Niemand ist eine Insel. Wie im vorherigen Beitrag beschrieben, ist es wichtig zu Beginn der ISMS Implementierung den Kontext zu analysieren. In diesem Beitrag geht es um die Frage, wie sich aus dem Kontext der Geltungsbereich ableitet, welche Optionen es dabei gibt und welche Auswirkungen die verschiedenen Optionen haben.

Kontext der Organisation

November 24, 2016 by David Gabel - No comments

Niemand ist eine Insel. Auch ein Unternehmen oder eine Organisation ist keine Insel. Es gibt immer einen Kontext, ein Umfeld, Schnittstellen und Abhängigkeiten.Eine Organisation die ein Informationssicherheits-Managementsystem aufbauen möchte muss diese Themen berücksichtigen.
Read More

Tagged with: Anforderungen Geltungsbereich Implementierung interessierte Partei ISMS ISO 27001 Kontext Leitlinie

Schlagwort: Leitlinie

Die Informationssicherheitspolitik

Führung und Verpflichtung

Geltungsbereich

Kontext der Organisation