Informationssicherheitsleitlinie

Die Informationssicherheitsleitlinie (P01) begründet das grundlegende Engagement einer Organisation zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informations-Assets. Durch die verbindliche Umsetzung eines formalen Informationssicherheits-Managementsystems (ISMS) legt die Richtlinie die strategische Ausrichtung fest, die erforderlich ist, um ein unternehmensweites, risikobasiertes und messbares Sicherheitsniveau aufrechtzuerhalten, das der kontinuierlichen Verbesserung unterliegt. Der Geltungsbereich dieser Richtlinie ist umfassend und bindet alle Mitarbeiter und Auftragnehmer, Drittdienstleister sowie alle physischen und digitalen Umgebungen ein, die an der Verarbeitung von Unternehmensdaten beteiligt sind. Sie deckt den gesamten Informationslebenszyklus ab, mit strengen Anforderungen, dass jegliche Ausschlüsse aus diesem Geltungsbereich vollständig dokumentiert und von der Geschäftsleitung genehmigt werden müssen. Diese verbindliche Anwendung stellt die Einheitlichkeit der Schutzstandards im gesamten Unternehmen sicher, unabhängig von Standort oder Funktion der Assets. Die festgelegten Ziele dienen nicht nur der Erfüllung der Compliance mit internationalen Normen wie ISO/IEC 27001:2022, NIST SP 800-53 und COBIT 2019, sondern auch der Förderung einer Kultur, in der Sicherheit in tägliche Aktivitäten, Partnerschaften und Geschäftssysteme eingebettet ist. Zu diesem Zweck klären zugewiesene Rollen und Verantwortlichkeiten die Erwartungen an die Geschäftsleitung, Sicherheitsverantwortliche, Asset-Eigentümer, IT- und technisches Betriebspersonal sowie sämtliches Personal. Dadurch wird sichergestellt, dass jeder – von der obersten Leitung bis zu externen Auftragnehmern – seine Pflichten zur Aufrechterhaltung der organisatorischen Sicherheit sowie zur Unterstützung von Incident-Response-, Schulungs- und Audittätigkeiten versteht. Governance innerhalb des ISMS ist eine zentrale Säule der Richtlinie und verlangt formalisierte Strukturen, wie Lenkungsausschüsse und eine Rollen- und Verantwortlichkeitsmatrix, um die kontinuierliche Bewertung der ISMS-Kontrollleistung zu überwachen und zeitnahe Managementbewertungen zu ermöglichen. Die Richtlinie beschreibt Anforderungen an funktionsübergreifende Koordination und stellt sicher, dass Informationssicherheit nicht isoliert ist, sondern in Projektmanagement, Beschaffung, Personalwesen und Recht integriert wird. Verfahren zur Überprüfung und Aktualisierung sind streng geregelt, einschließlich Versionskontrolle und ausdrücklicher Freigabe durch die Geschäftsleitung, was Rechenschaftspflicht und regulatorische Verteidigungsfähigkeit weiter unterstützt. Zur Erfüllung regulatorischer, kundenbezogener und auditbezogener Anforderungen verlangt die Richtlinie, dass alle Kontrollen und unterstützende Dokumentation sowohl auditierbar als auch verifizierbar sind. Klare Wege für risikobasierte Kontrollauswahl, Ausnahmebehandlung und Restrisikoakzeptanz werden beschrieben. Die Durchsetzung wird durch konkrete Konsequenzen bei Nichteinhaltung, Schutz durch ein Hinweisgebersystem und Pflichtschulungen unterstützt. Verknüpfungen mit weiteren zentralen Organisationsrichtlinien – Governance Roles & Responsibilities, Richtlinie zur zulässigen Nutzung, Zugriffskontrollrichtlinie, Risikomanagement und Audit – gewährleisten eine vollständige Ausrichtung im gesamten ISMS für ein einheitliches Risiko- und Compliance-Management.