{"id":3804,"date":"2023-06-14T20:50:57","date_gmt":"2023-06-14T18:50:57","guid":{"rendered":"http:\/\/www.capri-soft.de\/blog\/?p=3804"},"modified":"2023-06-14T20:52:58","modified_gmt":"2023-06-14T18:52:58","slug":"iso-27001-definition-der-informationssicherheitspolitik-in-der-is-leitlinie-is-policy-isms-politik-isms-policy","status":"publish","type":"post","link":"https:\/\/www.capri-soft.de\/blog\/?p=3804","title":{"rendered":"ISO 27001: Definition der Informationssicherheitspolitik in der IS-Leitlinie (IS policy \/ ISMS Politik \/ ISMS policy)"},"content":{"rendered":"\n

Die Informationssicherheitspolitik (IS-Politik) wird in der Regel in einem Dokument dokumentiert, das als Informationssicherheitsrichtlinie bezeichnet wird. Diese Richtlinie stellt eine schriftliche Erkl\u00e4rung der Absichten und Grunds\u00e4tze der Organisation in Bezug auf Informationssicherheit dar.<\/p>\n\n\n\n

Die genaue Dokumentationsweise kann von Organisation zu Organisation variieren, aber im Allgemeinen enth\u00e4lt die Informationssicherheitsrichtlinie folgende Informationen:<\/p>\n\n\n\n

    \n
  1. Zielsetzung: Die Richtlinie sollte das \u00fcbergeordnete Ziel der Informationssicherheit in der Organisation klar definieren. Dies kann beispielsweise die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit von Informationen sowie den Schutz vor unbefugtem Zugriff, Datenverlust oder sonstigen Bedrohungen umfassen.<\/li>\n\n\n\n
  2. Verantwortlichkeiten: Die Richtlinie sollte die Verantwortlichkeiten und Zust\u00e4ndigkeiten f\u00fcr die Informationssicherheit innerhalb der Organisation festlegen. Dies umfasst beispielsweise die Zuweisung eines Informationssicherheitsbeauftragten und die Festlegung der Verantwortlichkeiten der F\u00fchrungskr\u00e4fte, der Mitarbeiter und anderer beteiligter Parteien.<\/li>\n\n\n\n
  3. Anwendungsbereich: Die Richtlinie sollte den Anwendungsbereich der Informationssicherheit klar definieren. Dies umfasst die betroffenen Gesch\u00e4ftsprozesse, Abteilungen, Systeme und Standorte.<\/li>\n\n\n\n
  4. Richtlinien und Ma\u00dfnahmen: Die Richtlinie sollte allgemeine Grunds\u00e4tze und Leitlinien f\u00fcr die Informationssicherheit festlegen. Dies k\u00f6nnen beispielsweise Vorgaben zur Passwortrichtlinie, zur Zugriffskontrolle, zur Datensicherung, zur Risikobewertung oder zur Awareness-Schulung sein.<\/li>\n\n\n\n
  5. Kommunikation und Schulung: Die Richtlinie sollte Anforderungen und Verfahren zur Kommunikation und Schulung in Bezug auf Informationssicherheit festlegen. Dies kann die Sensibilisierung der Mitarbeiter f\u00fcr Sicherheitsrisiken, Schulungen zur sicheren Nutzung von IT-Systemen oder die Meldung von Sicherheitsvorf\u00e4llen umfassen.<\/li>\n<\/ol>\n\n\n\n

    Die Informationssicherheitsrichtlinie sollte in der gesamten Organisation bekannt gemacht und kommuniziert werden. Sie dient als Referenz und Leitfaden f\u00fcr alle Mitarbeiter, um die Informationssicherheit in ihren t\u00e4glichen Aktivit\u00e4ten zu ber\u00fccksichtigen und umzusetzen.<\/p>\n