Die Erstellung von Sicherheitsrichtlinien – Schritt für Schritt |
/Printer_Icon.gif){kind=icon} |
Eine Sicherheitsrichtlinie sollte nicht nur die notwendige Technologie für den Schutz Ihres Unternehmens berücksichtigen, sondern auch die Verantwortlichkeiten und Maßnahmen der Menschen enthalten, für die sie angewandt wird. Schließlich kann es verheerende Folgen haben, wenn Mitarbeiter und sonstige Beschäftige unwissend vertrauliche Informationen weitergeben und dadurch die Sicherheit Ihres Unternehmens gefährden.
Im Folgenden werden die Schritte für die Entwicklung einer Sicherheitsrichtlinie dargestellt.
Risiko Analyse - legen Sie fest, was Sie verhindern möchten
Für die Einrichtung Ihres Schutzes müssen Sie festlegen, wovor Sie Ihr Unternehmen schützen wollen. Häufig werden Sicherheitsrichtlinien formuliert, obwohl noch nicht feststeht, wovor sich die Unternehmen schützen wollen. Für die Abdeckung der wichtigsten Unternehmensbereiche empfiehlt SoftScan unbedingt Sicherheitsrichtlinien, die von einer Risikoanalyse abgeleitet sind.
In Ihre Risikoanalyse sollten Sie alle möglichen Bedrohungen für Ihr Unternehmen aufnehmen. Unterschätzen Sie bitte die Bedeutung dieser Aufgabe nicht. SoftScan empfiehlt immer, eine Task-Force für die Einschätzung Ihrer Risiken einzusetzen.
Bildung einer Task-Force
|
Techniker und Nicht-Techniker |
Die Task-Force sollte aus Technikern und Nicht-Technikern zusammengesetzt sein. Die Nicht-Techniker sollten gut über die Betriebsabläufe im Unternehmen informiert sein. |
|
Externe Berater |
Sie haben viel Erfahrung in diesem Bereich und kennen auch Probleme, die nicht auf den ersten Blick sichtbar sind. |
|
Das Management |
Das Management legt die Prioritäten der Risiken auf Grundlage von betrieblichen Auswirkungen fest (z.B. Gewinnverluste im Katastrophenfalle). |
Einschätzung Ihrer Risiken
|
Wahrscheinlichkeit |
Wie hoch ist die Wahrscheinlichkeit einer potenziellen Bedrohung. |
|
Auswirkungen für Unternehmen |
Welche Bedeutung hat die Bedrohung für das Unternehmen, wenn sie eintritt. |
|
Entscheidung über Prioritäten |
Entscheidung des Managements. Das Management sollte die Prioritäten auf Grundlage der Auswirkungen für das Unternehmen und der Risiko-Wahrscheinlichkeit festlegen. |
Sicherheitsrichtlinien
Auf Grundlage Ihrer Risikoanalysen bestimmt die Task-Force die Bereiche, die durch die Sicherheitsrichtlinien abgedeckt werden müssen. Für jeden Bereich wird eine Richtlinie, ein Leitfaden oder eine Maßnahme zur Durchführung im jeweiligen Bereich bestimmt.
Das Sicherheitsinstitut SANS verfügt über sehr durchdachte Vorlagen für die Erstellung von Richtlinien. Diese Vorlagen sind an den amerikanischen Standard angelehnt und mögen weit ausführlicher sein, als sie für Ihr Unternehmen sinnvoll und notwendig sind. Außerdem enthalten sie gesetzliche Bestimmungen, die nicht für Ihr Unternehmen relevant sein mögen. Dennoch empfiehlt SoftScan die Verwendung dieser Vorlagen. Sie helfen Ihnen, keine Details zu vergessen und können an Ihr Unternehmen angepasst werden.
Einige Beispiele für Sicherheitsrichtlinien können E-Mail Richtlinien, Antiviren Prozesse, Vereinbarungen mit Dritten, Vertrauliche Informationsrichtlinien, Guidelines für verdächtige Daten, Anwenderverträge und Richtlinien über genehmigte Vorgänge sein.
Die SANS Policy Vorlagen finden Sie hier
|
Genehmigung |
Denken Sie an die Genehmigung der Sicherheitsrichtlinien und die Folgen bei Verstößen durch Ihr Management. |
|
Auswirkungen |
Beziehen Sie alle Abteilungen in Ihre Überlegungen ein. Ihre Personalabteilung ist zum Beispiel der beste Ansprechpartner wenn es darum geht, die Folgen eines Richtlinienverstoßes zu bestimmen. |
Schulen und Informieren - Für ein sicheres Arbeiten
Für die Einhaltung Ihrer Sicherheitsrichtlinien müssen alle Mitarbeiter über die neuen Regeln informiert werden. Denken Sie daran, dass die Richtlinien einen Einfluss darauf haben, wie Ihre Mitarbeiter künftig ihre Arbeit machen. Die Schulung und Ausbildung von langjährigen und neuen Mitarbeitern ist daher unerlässlich für die Einhaltung Ihrer Sicherheitsrichtlinien.
|
Erklärung |
Erklären Sie die Gründe für Änderungen in der alltäglichen Arbeit gemäß der Richtlinien. |
|
Einführung |
Neue Mitarbeiter sollten die Richtlinien beim Einstieg ins Unternehmen kennenlernen. |
|
Beachtung |
Ihre Richtlinien müssen immer im Bewusstsein Ihren Mitarbeitern sein. Arbeiten Sie dafür mit Ihrer Marketingabteilung zusammen - sie sind die Kommunikationsprofis. Kommunizieren Sie den Inhalt Ihrer Richtlinien über die Kommunikationskanäle in Ihrem Unternehmen, zum Beispiel Mitarbeiter-Newsletter, Intranet, Poster, Sticker, Screensaver oder auch durch Lieder auf Ihrer Weihnachtsfeier. |
|
Überprüfung |
Überprüfen Sie, inwieweit Ihre Mitarbeiter die Richtlinien kennen. Nutzen Sie Online-Umfragen, Interviews oder Social Engineering Checks, um herauszufinden, wie viel Ihre Mitarbeiter über die Richtlinien wissen. Auf diese Weise erfahren Sie, wie sehr Ihre Mitarbeiter den Richtlinien Beachtung schenken. |
