Informationssicherheitsrichtlinie
Eine Informationssicherheitsrichtlinie ist das von der Leitung verabschiedete, verbindliche Grundsatzdokument, das Ziele, Rollen und Vorgaben für die Informationssicherheit einer Organisation festlegt.
Die Informationssicherheitsrichtlinie (oft auch Leitlinie oder englisch Information Security Policy) ist das oberste Steuerungsdokument eines Informationssicherheits-Managementsystems (ISMS). Sie wird von der obersten Leitung formell verabschiedet und in Kraft gesetzt und bringt damit deren Verpflichtung zur Informationssicherheit verbindlich zum Ausdruck. Inhaltlich legt sie die strategischen Sicherheitsziele, den Geltungsbereich, das angestrebte Schutzniveau sowie die grundlegenden Verantwortlichkeiten und Rollen fest. Sie bildet den Rahmen, aus dem detailliertere Richtlinien, Konzepte und Arbeitsanweisungen (etwa zu Zugriffskontrolle, Kryptografie oder Notfallmanagement) abgeleitet werden.
Eine wirksame Richtlinie ist mehr als ein formales Pflichtdokument: Sie schafft Klarheit darüber, was von Beschäftigten, Führungskräften und Dienstleistern erwartet wird, und macht Sicherheit nachvollziehbar steuerbar. Typische Bestandteile sind der Anwendungsbereich, eine Beschreibung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, die Zuweisung von Verantwortung (insbesondere die Bestellung eines Informationssicherheitsbeauftragten), Vorgaben zur Risikobehandlung, Regelungen zum Umgang mit Verstößen sowie eine Verpflichtung zur kontinuierlichen Verbesserung. Die Richtlinie muss allen relevanten Personen kommuniziert und regelmäßig, mindestens jährlich oder anlassbezogen, auf Aktualität überprüft werden.
Rechtlich und normativ ist die Informationssicherheitsrichtlinie zentral verankert: Die ISO/IEC 27001 fordert in Abschnitt 5.2 eine von der Leitung festgelegte Informationssicherheitsleitlinie, ergänzt durch themenspezifische Richtlinien (Annex A 5.1). Auch das BSI IT-Grundschutz-Kompendium (Baustein ISMS.1) verlangt eine Sicherheitsleitlinie als Grundlage. Mit der NIS2-Richtlinie und ihrer deutschen Umsetzung gewinnt das Dokument zusätzliche Bedeutung, da die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen Risikomanagementmaßnahmen, einschließlich Konzepten für die Sicherheit von Informationssystemen, billigen und überwachen muss. Eine fehlende oder unwirksame Richtlinie kann daher unmittelbar zu Compliance- und Haftungsrisiken für die Leitungsorgane führen.
Rechtliche Grundlage
ISO/IEC 27001:2022 Abschnitt 5.2 und Annex A 5.1; BSI IT-Grundschutz ISMS.1; Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Ein mittelständischer Maschinenbauer fällt durch seine Umsatzgröße erstmals unter die NIS2-Pflichten. Der bestellte Informationssicherheitsbeauftragte erstellt gemeinsam mit der IT-Leitung eine Informationssicherheitsrichtlinie, in der Schutzziele, Geltungsbereich (alle Standorte und Cloud-Dienste), Verantwortlichkeiten und der Umgang mit Sicherheitsvorfällen festgelegt werden. Die Geschäftsführung verabschiedet das Dokument per Beschluss, sodass die Billigung der Risikomanagementmaßnahmen dokumentiert ist. Anschließend wird die Richtlinie im Intranet veröffentlicht, in einer Schulung erläutert und mit Jahresfrist zur Überprüfung versehen, womit zugleich die Grundlage für das spätere ISO-27001-Zertifizierungsverfahren gelegt ist.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren