WARUM BRAUCHT IHR UNTERNEHMEN IT-RICHTLINIEN?

Durch klare Richtlinien rudert die Mannschaft in eine Richtung und erreicht zuverlässig gemeinsame Ziele - SEC4YOU - Manfred Scholz

Bewährt hat sich in der Praxis die im anglikanischen Sprachraum übliche klare Trennung zwischen Policy (Richtlinie) und Procedure (Verfahrensbeschreibung ). In einer Richtlinie wird der Soll-Zustand definiert und im Anschluss wird die Umsetzung in einer Verfahrensbeschreibung beschrieben.

Richtlinien und Verfahrensbeschreibung dienen dazu, dass wiederkehrende Abläufe in einem Unternehmen von den handelnden Personen einheitlich erledigt werden. Dadurch wird erreicht, dass Unternehmen den gewünschten Ist-Zustand unabhängig von einzelnen Personen erreichen, wenngleich der Ausführende einer Verfahrensbeschreibung immer auch die dahinterliegenden Richtlinien kennen sollte.

Richtlinien und Verfahrensbeschreibungen definieren gemeinsam den Soll-Zustand

Unser Ansatz bei der Erstellung von IT-Vorgaben ist eine klare Trennung von Richtlinien und Verfahrensbeschreibungen.

Bei der Erstellung von IT-Richtlinien wird gemeinsam mit dem Kunden der benötigte Soll-Zustand erarbeitet. Dabei sind insbesonders die folgenden Punkte zu berücksichtigen:

  • Erforderliche Unterstützung des Managements
  • Betrachtung der geschäftlichen Erfordernisse
  • Compliance Anforderungen, auch Kunden und Lieferantenverträge
  • Berücksichtigung der Aufbau und Ablauforganisation
  • Risikobetrachtung

Klare Vorgaben führen dazu, dass alle Mitarbeiter in die gleiche Richtung rudern und müssen in Art und Umfang adressatengerecht erstellt und kommuniziert werden.

Welche Richtlinien und Verfahrensbeschreibungen benötigt die ISO/IEC 27001?

Es gibt keine vorgeschriebene Liste welche IT-Vorgaben Sie im Zuge einer ISO/IEC 27001 Zertifizierung erstellen müssen. Typischerweise werden im ersten Schritt folgende Dokumente erarbeitet:

  • Methodik zur Risikoeinschätzung und Risikobehandlung
  • Zulässige Nutzung der Werte (Benutzerrichtlinie)
  • Zugangskontrollrichtlinie
  • Richtlinie zur Lieferantensicherheit
  • Richtlinie zur Informationsklassifizierung
  • Kennwort-Richtlinie
  • Richtlinie zur Entsorgung und Vernichtung

SEC4YOU unterstützt sie gerne bei der Erstellung von IT-Richtlinien.

IHRE VORTEILE

  • Richtlinien führen dazu, dass alle Mitarbeiter in die gleiche Richtung rudern!

  • Ein wichtiger Meilenstein für eine ISO/IEC 27001 Zertifizierung

  • Zielgerichtete Erstellung hilft bei der Annahme der Richtlinien durch die Mitarbeiter

  • Soll-Ist-Vergleich als Grundlage für spätere IT-Audits

Fragen zu IT-Richtlinien? Sie möchten mit einem Experten sprechen?