Die Informationssicherheitspolitik (IS-Politik) wird in der Regel in einem Dokument dokumentiert, das als Informationssicherheitsrichtlinie bezeichnet wird. Diese Richtlinie stellt eine schriftliche Erklärung der Absichten und Grundsätze der Organisation in Bezug auf Informationssicherheit dar.
Die genaue Dokumentationsweise kann von Organisation zu Organisation variieren, aber im Allgemeinen enthält die Informationssicherheitsrichtlinie folgende Informationen:
- Zielsetzung: Die Richtlinie sollte das übergeordnete Ziel der Informationssicherheit in der Organisation klar definieren. Dies kann beispielsweise die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie den Schutz vor unbefugtem Zugriff, Datenverlust oder sonstigen Bedrohungen umfassen.
- Verantwortlichkeiten: Die Richtlinie sollte die Verantwortlichkeiten und Zuständigkeiten für die Informationssicherheit innerhalb der Organisation festlegen. Dies umfasst beispielsweise die Zuweisung eines Informationssicherheitsbeauftragten und die Festlegung der Verantwortlichkeiten der Führungskräfte, der Mitarbeiter und anderer beteiligter Parteien.
- Anwendungsbereich: Die Richtlinie sollte den Anwendungsbereich der Informationssicherheit klar definieren. Dies umfasst die betroffenen Geschäftsprozesse, Abteilungen, Systeme und Standorte.
- Richtlinien und Maßnahmen: Die Richtlinie sollte allgemeine Grundsätze und Leitlinien für die Informationssicherheit festlegen. Dies können beispielsweise Vorgaben zur Passwortrichtlinie, zur Zugriffskontrolle, zur Datensicherung, zur Risikobewertung oder zur Awareness-Schulung sein.
- Kommunikation und Schulung: Die Richtlinie sollte Anforderungen und Verfahren zur Kommunikation und Schulung in Bezug auf Informationssicherheit festlegen. Dies kann die Sensibilisierung der Mitarbeiter für Sicherheitsrisiken, Schulungen zur sicheren Nutzung von IT-Systemen oder die Meldung von Sicherheitsvorfällen umfassen.
Die Informationssicherheitsrichtlinie sollte in der gesamten Organisation bekannt gemacht und kommuniziert werden. Sie dient als Referenz und Leitfaden für alle Mitarbeiter, um die Informationssicherheit in ihren täglichen Aktivitäten zu berücksichtigen und umzusetzen.