ISO 27001 Toolkit für Richtlinien

 

34 Muster-Richtlinien für die praktische Umsetzung

———-

Geprüfte Dokumente für das Zertifizierungs-Audit

Für alle, die eine Implementierung selbst in die Hand nehmen …

 

  • Alle notwendigen Richtlinien, zusammengefasst in einem Toolkit

  • Vordefinierte Anweisungen und Verfahren für Mitarbeiter

  • Einweisung in den Aufbau und die Funktion von Leit- und Richtlinien

  • Übersicht, welche Richtlinie zu welchem Bereich der ISO 27001 gehört

  • Vorlage, welche Rollen / Abteilungen einbezogen werden

  • Zusätzlich eine Muster-Vorlagen-Toolkit für die Erstellung weiterer Richtlinien

Bewährte Richtlinien-Vorlagen zur Einführung der ISO 27001 in der Version 2022

Wenn Sie vor der Aufgabe stehen, die ISO Norm 27001 zur Informationssicherheit in Ihrem Unternehmen einzuführen, sind Sie wahrscheinlich erst einmal von der Komplexität und Aufgabenvielfalt überrascht. ISO 27001 Haus RichtlinienSie werden daher wahrscheinlich nach einer Art „Leitfaden“ suchen, der Ihnen bei dieser Aufgabe hilft. Es gibt aber nicht nur den einen Leitfanden, der alles umfasst. Schauen Sie sich das skizzierte Haus dazu an: Es besteht aus mehreren Teilen: Neben einer übergreifenden Implementierung als Basis ist die Entwicklung wichtiger Prozesse und IT-Verfahrensanweisungen ein notewendiges Element der Norm.

Ein weiterer Baustein der Norm ist die Erstellung einer Dokumentation aus Leit- und Richtlinien gefordert. Für all diese Anforderungen stellt vialevo geeignete Muster-Lösungen zur Verfügung.

In dem hier angebotenen Tool geht es um die Dokumentation der ISO 27001, die in erster Linie die Ausformulierung unternehmensbezogener Leit- und Richtlinien umfasst (dunkelblau hervorgehobene Teile).

Dr. Michael MonkaDie Erstellung von Richtlinien ist sehr zeitintensiv. Als zertifizierter externer Lead-Auditor für den TÜV-Rheinland kenne ich die genauen Anforderungen an Prozesse, Dokumente, Analysen und Formalien auch aus der Sicht eines Auditors. Es ist im Erstellungsprozess einfacher, ausgehend von einer Musterlösung, die eigenen Policys zu erstellen, als dies komplett neu zu formulieren.
Daher habe ich ein Paket entwickelt, dass alle notwendigen Leit- und Richtlinien enthält, so dass Sie sich auf das Wesentliche konzentrieren können. In der folgenden Übersicht werden die einzelnen Richtlinien näher vorgestellt.

Wenn Sie die weiteren ISO 27001 Toolkits kennenlernen möchten, dann schauen Sie sich gerne auch unsere Musterlösungen für die ISO 27001- Implementierung-Tools an– sowie ausgearbeitete Vorlagen zu IS-Prozessen und IT-Verfahrensanweisungen. Wenn Sie weitere Fragen dazu haben, kontaktieren Sie mich gerne über den Link https://www.vialevo.de/auf-einen-kaffee/.

Hinweis für Berater: Das vorliegende Angebot richtet sich ausschließlich an Unternehmen, die die ISO 27001 in eigener Regie einführen möchten. Die Tools sind mithin Unternehmenslizenzen.

Im folgenden eine Übersicht, was das Richtlinien-Paket im Einzelnen enthält.

Beispiel für eine Richtlinie

Um sich ein genaueres Bild zu machen, haben wir eine der Richtlinien einmal komplett dargestellt. Im Aufbau und Stil sind alle 34 Richtlinien identisch. In den folgenden Reitern werden die Inhalte jeder Richtlinie genauer beschrieben.

ISO 27001 Richtlinie Aufzeichnungen-1

 

ISO 27001 Richtlinie Aufzeichnungen - 2

 

ISO 27001 Richtlinie Aufzeichnungen - 3

 

ISO 27001 Projekt- und Umsetzungsdokumentation

 

Dieses Excel-Sheet ist quasi das Cockpit für alle Tools. Denn von hieraus können sie den Einsatz steuern und erhalten zudem stets die Übersicht, welches Tool an welcher Stelle der Norm einzusetzen ist. Sie können es daher gleichzeitig als Projekt– und als Umsetzungsdokumentation einsetzen.

Es gibt zwei Register. Das hier sichtbare Register beschreibt alle notwendigen Voraussetzungen für das ISMS (insgesamt 94 Punkte), wie Sie in der Legende gut erkennen können. Unter „Status“ können Sie den aktuellen Umetzungsstand eintragen – und auch hier dokumentiert die Legende den gegenwärtigen Stand mit.

Wie für ein Umsetzungs-Tool üblich, können Sie hier zudem Fertigstellungszeiträume und Verantwortlichkeiten eintragen. Wir haben an dieser Stelle die notwendigen Dokumente aufgeführt – denn nur so sehen Sie auf einem Blick, welche Dinge noch offen sind.

Im zweiten Register sind alle Controlls des Anhangs A in derselben Systematik aufgebaut (insgesamt 96 Maßnahmen)

Vorlage Rollenbeschreibung ISMS-Team

In diesem Dokument geht es um die Rollen, die in ISMS-Richtlinien zum Einsatz kommen. Werden die Rollen zu Teams zusammen getragen, muss jede Rolle zur Abgrenzung klar definiert sein.

Ein spezialisiertes ISMS-Team stellt mithin sicher, dass die Sicherheitspraktiken optimal umgesetzt und an die sich ändernden Bedrohungen und Geschäftsanforderungen angepasst werden. Zu den Rollen im ISMS-Team gehören die Geschäftsführung, CISO, Informationssicherheitsbeauftragter, ISMS-Support-Team, Analysten, Sicherheitsarchitekt, Compliance Officer, Schulungsbeauftragter und Incident Manager. Nicht jedes Unternehmen wird alle Rollen auf einzelne Mitarbeiter verteilen. Es ist daher legitim, wenn einzelne Mitarbeiter mehrere Rollen einnehmen.

In den Richtlinien werden die Rollen-Namen verwendet, um die Beschreibungen übersichtlicher zu gestalten. Nutzen Sie dieses Dokument, um die detaillierten Aufgaben mit den Rollen in ihrem Unternehmen abzugleichen.

Darstellung des Anwendungsbereichs

Ein wesentlicher Bestandteil der ISO 27001 ist die Definition des Geltungsbereichs, der klar festlegt, welche Informationen, Standorte, Abteilungen und Technologien durch das ISMS abgedeckt sind.

Das Dokument beschreibt den Geltungsbereich eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001, indem sie festlegt, welche Informationen, Standorte, Abteilungen und Technologien abgedeckt sind. Sie umfasst die Beschreibung der relevanten organisatorischen Einheiten, wie IT-, Finanz-, Personal- und Managementabteilungen, und berücksichtigt sowohl physische Standorte als auch Remote-Arbeitsplätze.

Zusätzlich werden Datenmanagement und Technologien, einschließlich Zugriffskontrollen, Verschlüsselung und Backup-Verfahren, detailliert behandelt, um die Integrität, Verfügbar-keit und Vertraulichkeit der Daten zu gewährleisten. Auch die Einbindung externer Dienstleister, wie Cloud-Anbieter und IT-Support-Dienste, ist Teil der Beschreibung, wobei spezifi-sche Sicherheitsanforderungen und Compliance-Kontrollen definiert werden.

Übergreifende Leitlinie zur Informationssicherheit

Die Leitlinie ist ein zentrales Dokument innerhalb eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. Sie dient dazu, die grundlegenden Prinzipien und Verfahren festzulegen, die notwendig sind, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Die ISO 27001-Norm selbst definiert die Anforderungen an die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS, um Informationssicherheitsrisiken systematisch zu managen und zu minimieren.

Die Leitlinie beschreibt im Speziellen die organisatorischen Rahmenbedingungen, unter denen die Informationssicherheit gewährleistet werden soll. Dazu gehören die Verpflichtung des Managements zur Informationssicherheit, die Zuweisung von Rollen und Verantwortlichkeiten, die Integration der Sicherheitsmaßnahmen in die Geschäftsprozesse, sowie die Schulung und Sensibilisierung der Mitarbeiter. Zudem werden Kommunikationswege und Eskalationsverfahren festgelegt, um bei Sicherheitsvorfällen schnell und effektiv reagieren zu können. Die Richtlinie betont die Bedeutung der kontinuierlichen Verbesserung des ISMS, um es an sich verändernde Bedrohungen und Anforderungen anzupassen.

Richtlinie zur Risikoeinschätzung und Risikobehandlung

Diese Richtlinien fokussiert sich auf die systematische Risikoeinschätzung und -behandlung, welche zentrale Anforderungen der Norm sind. Diese Richtlinie trägt dazu bei, Risiken im Bereich der Informationssicherheit frühzeitig zu erkennen und durch geeignete Maßnahmen zu mindern, um den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informatio-nen sicherzustellen.

Sie beschreibt im Speziellen die Methodik zur Risikoeinschätzung, die aus der Identifikation, Analyse und Bewertung von Risiken besteht. Hierbei werden Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen bewertet. Weiterhin legt die Richtlinie Kriterien für die Risikoakzeptanz fest und definiert die Schritte zur Risikobehandlung, einschließlich der Auswahl von geeigneten Sicherheitsmaßnahmen. Zudem wird ein kontinuierlicher Prozess zur Überprüfung und Anpassung der Risikoeinschätzung und -behandlung etabliert, um sicherzustellen, dass das ISMS stets an aktuelle Bedrohungen und Veränderungen angepasst bleibt.

Erklärung der Anwendbarkeit SOA

Bei der SOA handelt es sich im Grunde nicht um eine Richtlinie. Es ist jedoch ein integraler Bestandteil des Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 und trägt zur Umsetzung der Normanforderungen bei.

Insbesondere handelt es sich bei der „Erklärung der Anwendbarkeit“ (Statement of Applicability, SOA) um DAS zentrale Dokument, das festlegt, welche Sicherheitsmaßnahmen innerhalb der Organisation umgesetzt werden sollen. Diese Erklärung ist maßgeblich für die Sicherstellung der Konformität mit den Anforderungen der ISO 27001 und dient als Nachweis für die Auswahl und Anwendung spezifischer Sicherheitskontrollen.

Die SOA beschreibt im Speziellen, welche der in Anhang A der ISO 27001 aufgeführten Maßnahmen auf die Organisation anwendbar sind und wie diese umgesetzt werden sollen. Sie enthält eine detaillierte Begründung der Anwendbarkeit jeder Maßnahme, basierend auf gesetzlichen Anforderungen, vertraglichen Verpflichtungen, internen Geschäftsanforderungen oder Ergebnissen der Risikoanalyse. Zudem wird festgelegt, wie mit Restrisiken umgegangen wird, die trotz der implementierten Maßnahmen bestehen bleiben. Abschließend beschreibt die Richtlinie die regelmäßige Überprüfung und Aktualisierung der SOA, um sicherzustellen, dass sie den aktuellen Anforderungen entspricht.

Kommunikations-Richtlinie

Diese Richtlinie bezieht sich auf den Abschnitt 7.4 der Norm, der sich mit der internen und externen Kommunikation in Bezug auf Informationssicherheit befasst. Die Richtlinie definiert, wie sicherheitsrelevante Informationen innerhalb der Organisation und mit externen Parteien effektiv und sicher kommuniziert werden sollen. Sie ist essentiell, um die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen zu gewährleisten und das Bewusstsein für Informationssicherheit in der Organisation zu stärken.

Die Richtlinie beschreibt im Speziellen die Kommunikationsinhalte und -formen, die für das ISMS relevant sind. Dazu gehören regelmäßige Sicherheitsupdates, anlassbezogene Mitteilungen bei Sicherheitsvorfällen sowie spezifische Vorgaben für den Umgang mit vertraulichen Informationen. Zudem legt die Richtlinie fest, wer in der Organisation für die verschiedenen Kommunikationsprozesse verantwortlich ist und wie diese organisiert sind. Durch klare Vorgaben und Prozesse soll sichergestellt werden, dass alle Mitarbeiter ihre Rolle und Verantwortung im Rahmen der Informationssicherheit verstehen und umsetzen.

 

Richtlinie für Interne Audits

Die Richtlinie bezieht sich auf den Abschnitt 9.2 der Norm, der die Anforderungen an interne Audits beschreibt. Diese Richtlinie legt fest, wie interne Audits geplant, durchgeführt und dokumentiert werden, um sicherzustellen, dass die Informationssicherheitsprozesse und -maßnahmen der Organisation den Anforderungen der ISO 27001 entsprechen. Ziel ist es, die Wirksamkeit des ISMS zu überprüfen und kontinuierlich zu verbessern.

Sie beschreibt die Schritte zur Durchführung interner Audits, einschließlich der Planung, der Ernennung von Auditoren und der Durchführung der Audits selbst. Sie definiert die Verantwortlichkeiten der Auditoren und stellt sicher, dass Interessenkonflikte vermieden werden, indem Auditoren nicht ihren eigenen Arbeitsbereich prüfen. Außerdem legt die Richtlinie fest, wie die Ergebnisse der Audits dokumentiert und Berichte an die Geschäftsführung übermittelt werden. Dies soll die kontinuierliche Verbesserung des ISMS fördern und die Einhaltung der Informationssicherheitsstandards gewährleisten.

Richtlinie zur Inventarisierung von Informationen (Assets)

Diese Richtlinie behandelt die Inventarisierung von Informationen und anderen Assets. Diese Richtlinie ist darauf ausgelegt, alle Informationswerte systematisch zu erfassen, zu dokumentieren und regelmäßig zu aktualisieren, um deren Sicherheit und Integrität zu gewährleisten. Sie unterstützt die Einhaltung der Anforderungen der ISO 27001 und trägt zur kontinuierlichen Verbesserung der Informationssicherheitsmaßnahmen innerhalb der Organisation bei.

Die Richtlinie beschreibt konkret die Vorgehensweise zur Identifizierung und Klassifizierung von Informationswerten, die in einem zentralen Inventarverzeichnis erfasst werden. Sie legt fest, welche Informationen in das Verzeichnis aufgenommen werden müssen, wie diese dokumentiert werden, und wie die Pflege und Aktualisierung des Verzeichnisses erfolgt. Darüber hinaus werden die Verantwortlichkeiten der Asset-Zuständigen (Owner) definiert, die für die Verwaltung der Informationswerte zuständig sind. Die Richtlinie stellt sicher, dass alle relevanten Informationen vor unbefugtem Zugriff geschützt und die Sicherheitsanforderungen eingehalten werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten.

Richtlinie zur zulässigen Nutzung von Informationen

Die Richtlinie ist Teil des Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001 und bezieht sich auf die Anforderung zur zulässigen Nutzung von Informationen. Diese Richtlinie unterstützt die Einhaltung der Sicherheitsstandards durch die Festlegung von Regeln und Verfahren, die den Umgang mit sensiblen Informationen und Assets innerhalb der Organisation regeln.

Die Richtlinie beschreibt die allgemeinen Sicherheitsregeln, einschließlich der Clear Desk- und Clear Screen-Politiken, die sicherstellen, dass Arbeitsplätze und Bildschirme frei von vertraulichen Informationen gehalten werden. Weiterhin legt sie fest, wie Zugriffsrechte definiert und verwaltet werden, um sicherzustellen, dass nur autorisierte Personen Zugang zu sensiblen Informationen erhalten. Die Richtlinie umfasst weiterhin Regelungen für den sicheren Umgang mit spezifischen Assets, den Einsatz von Zugriffskontrollen, sowie die Durchführung von Schulungen und regelmäßigen Überprüfungen zur Sicherstellung der Ein-haltung der festgelegten Sicherheitsstandards.

Richtlinie zur Rückgabe von Vermögenswerten

Die Richtlinie fokussiert sich auf die ordnungsgemäße Rückgabe von Vermögenswerten. Sie stellt sicher, dass alle physischen und digitalen Assets, die Mitarbeitern, externen Dienstleistern oder Vertragspartnern zur Verfügung gestellt wurden, nach Abschluss ihrer Nutzung korrekt zurückgegeben werden. Ziel ist es, unbefugten Zugriff und Missbrauch von Unter-nehmensressourcen zu verhindern und die Sicherheit sowie Integrität der Informationen zu wahren.

Die Richtlinie stellt die Schritte und Zuständigkeiten für die Rückgabe von Vermögenswerten, einschließlich physischer Gegenstände wie Schlüssel, Chipkarten und mobile Geräte, sowie digitaler Ressourcen wie Daten und Software dar. Es wird festgelegt, wie die Rückgabe bei Beendigung eines Arbeitsverhältnisses, einer internen Versetzung oder dem Abschluss eines Projekts erfolgen soll. Zusätzlich behandelt die Richtlinie den Wissenstransfer und die Dokumentation, um sicherzustellen, dass kritisches Unternehmenswissen nicht verloren geht. Ebenso werden klare Vorgaben für die Rückgabe von Vermögenswerten an externe Partner und die Einhaltung von Datenschutzbestimmungen definiert.

Richtlinie zur Klassifizierung & Kennzeichnung von Informationen

Diese Richtlinie ist Teil des Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 und bezieht sich auf die Klassifizierung und Kennzeichnung von Informationen. Sie ist zentral, um sicherzustellen, dass alle Informationen in der Organisation gemäß ihrer Sensibilität und Schutzbedürftigkeit klassifiziert und entsprechend gekennzeichnet werden. Sie dient dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen und klare Richtlinien für den Umgang mit verschiedenen Informationsarten festzulegen.

Die Richtlinie beschreibt speziell das Klassifizierungsschema, das Informationen in Kategorien wie z.B.  „Öffentlich,“ „Intern,“ „Vertraulich,“ und „Geheim“ einteilt. Für jede dieser Kategorien werden spezifische Schutzmaßnahmen festgelegt. Darüber hinaus wird die Kennzeichnung der Informationen geregelt, um sicherzustellen, dass die Klassifizierungsstufen deutlich sichtbar und konsistent angewendet werden. Dies schließt sowohl physische Dokumente als auch elektronische Dateien ein. Die Richtlinie legt zudem die Verantwortlichkeiten für die Klassifizierung und Kennzeichnung fest und enthält Regelungen zur regelmäßigen Überprü-fung und Anpassung des Klassifizierungsschemas, um sicherzustellen, dass es aktuellen Anforderungen entspricht.

Richtlinie zur Übertragung von Informationen

Diese Richtlinie legt den Fokus auf die sichere Übertragung von Informationen. Sie ist von zentraler Bedeutung für den Schutz sensibler Daten während des Transports und der Übertragung – sowohl innerhalb der Organisation als auch extern mit Partnern und Dienstleistern. Sie legt die Anforderungen fest, um sicherzustellen, dass Informationen während ihrer Übertragung vertraulich, integer und verfügbar bleiben. Dadurch werden Bedrohungen wie Abhören, unberechtigtes Kopieren oder Datenverlust wirksam minimiert.

Die Richtlinie definiert die verschiedenen Arten des Informationsaustauschs, einschließlich mündlicher Kommunikation, elektronischer Datenübertragung und physischem Transport von Datenträgern. Detaillierte Sicherheitsmaßnahmen sind vorgeschrieben, darunter die Nutzung von Verschlüsselung, Authentifizierungsverfahren und sicheren Transportmitteln. Dadurch werden die Integrität und Vertraulichkeit der Informationen gewahrt. Die Richtlinie legt zudem fest, wie Informationen zu klassifizieren und zu kennzeichnen sind, um ihren Schutzbedarf zu bestimmen. Außerdem werden klare Regeln für die externe Kommunikation aufgestellt.

Zugangskontrolle-Kennwort-Richtlinie

Diese Richtlinie, die im Kontext der ISO 27001-Norm steht, bezieht sich auf den Bereich der Zugangskontrolle und beschreibt spezifische Anforderungen und Maßnahmen zur sicheren Verwaltung von Kennwörtern innerhalb einer Organisation.

Die Richtlinie beschreibt im speziellen die Anforderungen an die Erstellung, Verwaltung und Sicherung von Kennwörtern. Dazu gehören Vorgaben wie Mindestlängen von Kennwörtern, Komplexitätsanforderungen, maximale Gültigkeitsdauer und Maßnahmen zur Sperrung von Konten bei mehrfachen fehlgeschlagenen Anmeldeversuchen. Sie legt auch fest, dass regelmäßige Überprüfungen und Anpassungen der Kennwortrichtlinie erforderlich sind, um aktuelle Sicherheitsanforderungen zu erfüllen. Zusätzlich werden Schulungs- und Sensibilisierungsmaßnahmen für Mitarbeiter betont, um ein Bewusstsein für die Bedeutung der Zugangskontrolle und die sichere Handhabung von Kennwörtern zu schaffen.

Lieferanten-Richtlinie

Die Richtlinie steht im Kontext der ISO 27001 und behandelt die Sicherheitsanforderungen für die Zusammenarbeit mit Lieferanten.

Sie beschreibt die Prozesse zur Auswahl und Bewertung von Lieferanten, einschließlich der Sicherheitsüberprüfungen vor und während der Vertragslaufzeit. Sie legt fest, dass alle Lieferanten strenge Sicherheitsanforderungen erfüllen müssen, um den Schutz sensibler Daten zu gewährleisten. Darüber hinaus werden klare Vorgaben für die Vertragsgestaltung und den Umgang mit Unterauftragnehmern gemacht, um sicherzustellen, dass auch diese den fest-gelegten Sicherheitsstandards entsprechen.

Richtlinie zur Nutzung von Cloud-Diensten

Die Richtlinie bezieht sich auf die sichere Nutzung von Cloud-Diensten in der Organisation. Diese Richtlinie ist ein integraler Bestandteil des Informationssicherheitsmanagementsystems (ISMS).

Sie beschreibt im speziellen die Anforderungen und Verfahren für die Planung, Nutzung und Verwaltung von Cloud-Diensten. Dies umfasst die Risikobeurteilung vor der Implementierung, die Auswahl geeigneter Cloud-Provider basierend auf Sicherheitskriterien, sowie die regelmäßige Überprüfung und Bewertung der Cloud-Nutzung. Zudem legt sie fest, wie Sicherheitsvorfälle im Zusammenhang mit Cloud-Diensten gemeldet und bearbeitet werden sollen. Ein weiteres wichtiges Element ist die Festlegung von Migrationsverfahren, um einen sicheren Wechsel zwischen Cloud-Providern zu ermöglichen. Durch diese umfassenden Vorgaben soll sichergestellt werden, dass die Nutzung von Cloud-Diensten sicher und den ge-setzlichen sowie regulatorischen Anforderungen entsprechend erfolgt.

Richtlinie zum Incident-Management

Die vorliegende Richtlinie befasst sich mit dem Incident-Management, einem zentralen Bestandteil des Informationssicherheitsmanagementsystems (ISMS). Ziel dieser Richtlinie ist es, eine strukturierte Vorgehensweise für den Umgang mit Informationssicherheitsvorfällen in der Organisation zu etablieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen zu schützen.

Die Richtlinie beschreibt insbesondere die Planung und Implementierung von Prozessen zur Erkennung, Einstufung und Bearbeitung von Sicherheitsvorfällen. Dazu gehören die Definition von Rollen und Verantwortlichkeiten, die Bereitstellung von Schulungen und die Implementierung technischer Lösungen zur Überwachung und Detektion von Vorfällen. Weiterhin werden Maßnahmen zur Sicherstellung der Beweiskraft und zur Notfallplanung erläutert, um auch in Krisensituationen angemessen reagieren zu können. Die Richtlinie betont die Bedeutung des Lernens aus Vorfällen, um kontinuierliche Verbesserungen der Sicherheitsmaß-nahmen zu ermöglichen.

Business Continuity Richtlinie

Diese Richtlinie befasst sich mit dem Business Continuity Management (BCM). Sie ist die Basis für den Notfallplan im folgenden Abschnitt. Sie zielt darauf ab, die Kontinunität der Geschäftsprozesse auch in Krisen- und Notfallsituationen sicherzustellen. Das BCM stellt sicher, dass kritische Geschäftsprozesse geschützt und im Falle einer Unterbrechung schnell wieder aufgenommen werden können.

Die Richtlinie beschreibt im speziellen die Identifikation und Priorisierung kritischer Geschäftsprozesse, die Durchführung von Risikobewertungen und die Entwicklung von Notfall- und Wiederanlaufplänen. Es werden klare Verantwortlichkeiten beschrieben, einschließlich der Ernennung eines BCM-Verantwortlichen, der für die Implementierung und Pflege des BCM-Prozesses zuständig ist. Darüber hinaus dokumentiert die Richtlinie regelmäßige Tests und Übungen zur Überprüfung der Notfallpläne, sowie kontinuierliche Verbesserungsmaßnahmen, um die Widerstandsfähigkeit der Organisation gegenüber Störungen zu erhöhen. Die Einbindung externer Partner in den BCM-Prozess und die regelmäßige Überprüfung der Strategie sind ebenfalls festgelegt, um sicherzustellen, dass die Organisation auf alle Eventualitäten vorbereitet ist.

Notfallhandbuch

Dieses Dokument ist keine Richtlinie, sondern eine Beschreibung, wie sich Unternehmen und Organisationen im Notfall verhalten können.
Die Beschreibung bezieht sich auf das praktische Verhalten und dient als Teil des Business Continuity Managements (BCM). Das Dokument ist integraler Bestandteil des Informationssicherheitsmanagementsystems (ISMS) und zielt darauf ab, den Geschäftsbetrieb auch in Krisensituationen aufrechtzuerhalten. Das Notfallhandbuch dient somit als Leitfaden für die Wiederherstellung von IT-Infrastrukturen, Dienstleistungen und Daten nach einem Notfall oder einer Störung.

Das Handbuch beschreibt im speziellen konkrete Maßnahmen und Prozesse, die im Falle eines Notfalls oder einer Krise ergriffen werden müssen. Dazu gehören die Identifikation und Klassifizierung von Schadensereignissen, die sofortige Durchführung von Sofortmaßnahmen, Alarmierung und Eskalationsverfahren sowie die Aufgabenverteilung im Notfallstab. Weiterhin werden die Geschäftsfortführung und Wiederanlaufstrategien detailliert beschrieben, um sicherzustellen, dass kritische Geschäftsprozesse schnellstmöglich wiederhergestellt werden können. Abschließend wird festgelegt, wie das Notfallhandbuch regelmäßig über-prüft und aktualisiert wird, um die Angemessenheit und Aktualität der Maßnahmen sicher-zustellen.

Richtlinie zum Schutz an geistigem Eigentum

Diese Richtlinie ist im Rahmen der ISO 27001-Norm eingebettet und behandelt den Schutz von geistigem Eigentum innerhalb der Organisation. Sie zielt darauf ab, sicherzustellen, dass alle Informationen, die unter geistiges Eigentum fallen, entsprechend geschützt und rechtlich einwandfrei verarbeitet werden. Dies umfasst insbesondere den Umgang mit Daten und Dokumenten, die durch Patente, Lizenzen, Marken oder Urheberrechte geschützt sind.

Die Richtlinie beschreibt im speziellen die rechtlichen Grundlagen und Verantwortlichkeiten, die zur Einhaltung des Schutzes von geistigem Eigentum erforderlich sind. Dazu gehören Vorgaben zur Beschaffung und Nutzung von Software und IT-Produkten, die Kennzeichnung, Aufbewahrung und Überwachung von schutzbedürftigen Assets sowie die Einschränkungen beim Kopieren und Einblick in Quellcode. Es werden zudem Regeln für die Weitergabe von IT-Produkten an externe Partner beschrieben, sowie Maßnahmen zur sicheren Löschung und Entsorgung von Datenträgern. Schließlich enthält die Richtlinie Konsequenzen bei Ver-stößen gegen die festgelegten Bestimmungen, um sicherzustellen, dass der Schutz des geis-tigen Eigentums in der Organisation strikt eingehalten wird.

Richtlinie zum Umgang mit Aufzeichnungen

Die Richtlinie befasst sich mit dem Umgang mit Aufzeichnungen innerhalb der Organisation. Sie zielt darauf ab, den Schutz, die Integrität und Verfügbarkeit von dokumentierten Informationen, wie Log-Protokollen und sensiblen Daten, sicherzustellen. Sie legt Anforderungen und Verfahren für die sichere Handhabung, Aufbewahrung und Löschung von Aufzeichnun-gen fest.

Die Richtlinie beschreibt in diesem Zusammenhang die Anforderungen an die sichere Übertragung von Informationen, die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten, sowie die Regelungen für den Zugriff und die Auswertung von Aufzeichnungen. Weiterhin werden Aufbewahrungsfristen definiert, nach deren Ablauf eine sichere Löschung erfolgt.

Richtlinie zum Schutz personenbezogener Daten

Diese Richtlinie konzentriert sich auf den Schutz personenbezogener Daten innerhalb der Organisation. Sie dient der Sicherstellung, dass alle Prozesse und Maßnahmen zum Schutz personenbezogener Daten den gesetzlichen Anforderungen entsprechen, insbesondere der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG).

Die Richtlinie beschreibt dabei die rechtlichen Grundlagen und Verpflichtungen, die die Or-ganisation im Umgang mit personenbezogenen Daten einhalten muss. Dies umfasst die Ein-führung und Pflege eines Datenschutz-Management-Systems, die Durchführung von Risiko-analysen und Datenschutz-Folgenabschätzungen, sowie die Implementierung technisch-organisatorischer Maßnahmen (TOMs) zum Schutz der Daten. Weiterhin werden Regelun-gen zur Datenübermittlung an Dritte und in Drittländer festgelegt, um sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist.

Telearbeit, Mobiles Arbeiten & Homeoffice-Richtlinie

Die Richtlinie steht im Kontext der ISO 27001-Norm und behandelt die Sicherheitsanforderungen für Telearbeit, mobiles Arbeiten und Homeoffice. Diese Richtlinie ist ein wesentlicher Bestandteil des Informationssicherheitsmanagementsystems (ISMS) und zielt darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten, die außerhalb der physischen Büroumgebung verarbeitet werden.

Die Richtlinie beschreibt in diesem Zusammenhang die Grundsätze und Vorgaben für die Genehmigung und Durchführung von Telearbeit. Dazu gehören Regelungen zur Bereitstel-lung und Nutzung von IT-Geräten, die Einhaltung von Sicherheitsmaßnahmen, wie die Konfiguration und Nutzung von sicheren Verbindungen (z.B. VPN), sowie die Kontrolle von Zugriffsrechten. Zudem werden Verfahren für die Rückgabe von Geräten und den Entzug von Berechtigungen bei Beendigung der Telearbeit festgelegt.

 

 

Richtlinie zur Arbeit in sicheren Bereichen

Diese Richtlinie befasst sich mit der Arbeit in sicheren Bereichen innerhalb der Organisation. Sicherheitszonen sind speziell gesicherte Bereiche, in denen besondere physische und organisatorische Maßnahmen erforderlich sind, um den Schutz sensibler Daten sicherzustellen.

Die Richtlinie beschreibt die Anforderungen an Zugangskontrollen, die Informationsübertragung und die Nutzung von Geräten innerhalb dieser Sicherheitszonen. Dazu gehören strikte Zugangsbeschränkungen, die nur autorisierten Personen gestatten, die Sicherheitszonen zu betreten, sowie Vorgaben zur verschlüsselten Übertragung von Informationen. Auch die Nutzung von privaten elektronischen Geräten in diesen Bereichen ist streng reglementiert, um unbefugte Aufzeichnungen und den Missbrauch von Informationen zu verhindern. Die Richtlinie legt zudem spezifische Sicherheitsmaßnahmen und Notfallprozeduren fest und betont die Bedeutung von Schulungen und Sensibilisierungen, um sicherzustellen, dass alle Mitarbeiter und externen Partner die Sicherheitsanforderungen einhalten.

Clean Desk und Clear Screen Richtlinie

Die Richtlinie beschreibt die Umsetzung der „Clean Desk“- und „Clear Screen“-Praktiken in-nerhalb der Organisation. Sie umfasst im Speziellen die Anforderungen an eine ordnungsgemäße Arbeitsumgebung. Alle Mitarbeiter sind dazu verpflichtet, ihre Arbeitsplätze sauber und frei von sensiblen Informationen zu halten (Clean Desk Policy). Das bedeutet auch, dass Datenträger und mobile Geräte bei Abwesenheit sicher aufzubewahren sind. Des Weiteren wird klargestellt, dass Bildschirminhalte durch Passwortschutz und Bildschirmsperren vor unbefugtem Zugriff zu schützen sind (Clear Screen Policy). Auch für mobile Geräte, Etagen-drucker sowie Besprechungs- und Konferenzräume werden spezifische Sicherheitsmaßnah-men festgelegt. So wird sichergestellt, dass sensible Informationen stets geschützt sind.

Richtlinie zur Handhabung von Speichermedien

Die Richtlinie behandelt den sicheren Umgang mit Speichermedien in der Organisation. Sie zielt darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten während des gesamten Lebenszyklus von Speichermedien sicherzustellen.

Die Richtlinie beschreibt im speziellen die Maßnahmen und Verfahren zur Beschaffung, Erfassung, Kennzeichnung, Nutzung, Lagerung, Archivierung, Mitnahme, Transport sowie Entsorgung von Speichermedien. Es wird dargestellt, wie Speichermedien vor unbefugtem Zu-griff geschützt und Datenlecks verhindert werden können. Dies umfasst die sichere Speicherung und Verschlüsselung von Daten sowie die ordnungsgemäße Löschung und Zerstörung nicht mehr benötigter Datenträger. Darüber hinaus werden Maßnahmen zur sicheren Verpackung und zum Transport von Speichermedien festgelegt, um die Daten während des Transports zu schützen. Die Richtlinie betont die Notwendigkeit einer regelmäßigen Überwachung und Kontrolle der Prozesse, um die Einhaltung der Sicherheitsstandards zu gewährleisten.

Bring your Own Device und Endgeräte-Richtlinie

Die Richtlinie bezieht sich auf die sichere Nutzung von Endgeräten, einschließlich privater Geräte, für dienstliche Zwecke (Bring Your Own Device, BYOD).
Sie beschreibt die Anforderungen an die Endpunktgeräte, einschließlich der notwendigen Sicherheitssoftware, regelmäßiger Updates und der korrekten Konfiguration. Darüber hinaus legt sie fest, dass alle Endgeräte registriert und überwacht werden müssen, um Sicherheitslücken zu vermeiden. Zudem werden Maßnahmen zur sicheren Nutzung und Speicherung von Daten in verschiedenen Arbeitsumgebungen, wie im Büro, Home-Office und bei mobilen Arbeitsplätzen, definiert. Besonders betont wird die Trennung von dienstlichen und privaten Daten, um den Schutz sensibler Informationen zu gewährleisten. Container-Lösungen wer-den empfohlen, um eine sichere Umgebung für dienstliche Anwendungen und Daten zu schaffen.

Richtlinie zu technischen Schwachstellen

Diese Richtlinie befasst sich mit der Identifikation, Bewertung und Behandlung technischer Schwachstellen in der IT-Infrastruktur der Organisation. Sie legt fest, wie die Sicherheit und Integrität der Informationssysteme maximiert werden kann, indem potenzielle Risiken frühzeitig erkannt und geeignete Gegenmaßnahmen ergriffen werden.

Die Richtlinie beschreibt vor diesem Hintergrund den systematischen Ansatz zur Identifikation und Bewertung von Schwachstellen basierend auf dem Asset-Verzeichnis und dem Risikobehandlungsplan der Organisation. Es werden Verfahren zur Risikobewertung und Maßnahmenplanung festgelegt, einschließlich der Anwendung von Updates und Patches sowie alternativen Ansätzen zur Risikominderung. Die Richtlinie betont die Bedeutung der Zusammenarbeit mit Dienstleistern, die vertraglich verpflichtet sind, Schwachstellen umgehend zu melden und zu beheben. Darüber hinaus wird die enge Verzahnung des Schwachstellenma-nagements mit anderen ISMS-Prozessen wie dem Incident-Management und dem Change-Management hervorgehoben, um eine umfassende und kohärente Sicherheitsstrategie sicherzustellen.

Richtlinie zur Löschung von Informationen

Die Richtlinie beschreibt die Notwendigkeit und den Umfang der Datenlöschung, um den Schutz vor unbefugtem Zugriff zu gewährleisten und gesetzliche Anforderungen, wie die Datenschutz-Grundverordnung (DS-GVO), einzuhalten.

Sie legt detaillierte Verfahren für die Löschung und physische Vernichtung von Datenträgern fest, einschließlich der Nutzung von Löschprotokollen zur Dokumentation des Löschvorgangs. Darüber hinaus regelt die Richtlinie die Löschung von Daten bei externen Dienstleistern, um sicherzustellen, dass keine Informationen nach Vertragsende unbefugt gespeichert oder verwendet werden können. Die Richtlinie sieht regelmäßige Überprüfungen und Anpassungen vor, um ihre Aktualität und Wirksamkeit sicherzustellen und kontinuierlich an die sich verändernden Sicherheitsanforderungen anzupassen.

Richtlinie zur Datensicherung und Backups

Die Richtlinie beschreibt die Anforderungen an die Sicherung von Informationen, einschließlich der Identifikation kritischer Daten, der Auswahl geeigneter Backup-Methoden (vollständig, inkrementell, differenziell), sowie der Festlegung von Sicherungsintervallen.

Sie legt auch Verantwortlichkeiten für die Durchführung und Überwachung der Backup-Prozesse fest. Darüber hinaus werden technische Umsetzungen, wie die Auswahl sicherer Speicherorte und die Verschlüsselung von Backups, detailliert beschrieben. Die Richtlinie enthält zudem Vorgaben für die Langzeitarchivierung, die Sicherung von Betriebssystemen und die Durchführung regelmäßiger Wiederherstellungstests, um die Funktionsfähigkeit der Backup-Strategien sicherzustellen. Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter werden ebenfalls betont, um eine effektive Umsetzung und kontinuierliche Verbesserung der Datensicherung zu gewährleisten.

Richtlinie Protokollierung und Umgang mit Log-Files

Die Richtlinie beschreibt im speziellen die Anforderungen an die Protokollierung von Benutzeraktivitäten, Systemereignissen und sicherheitsrelevanten Vorfällen. Es werden Vorgaben zur Konfiguration und Aktivierung der Protokollierung festgelegt, einschließlich der Sicherstellung der Integrität und des Schutzes der Protokolldaten vor unbefugtem Zugriff und Manipulation. Darüber hinaus umfasst die Richtlinie Verfahren zur Aufbewahrung und sicheren Löschung von Protokolldaten sowie zur Analyse und Auswertung, um sicherheitsrelevante Vorfälle frühzeitig zu erkennen und zu bearbeiten. Die Vernetzung mit dem Incident Management und die Einhaltung von Datenschutzvorgaben werden ebenfalls detailliert geregelt, um eine umfassende und kohärente Sicherheitsstrategie sicherzustellen.

Richtlinie zur Sicherheit in Netzwerken

Die hochgeladene Richtlinie ist im Rahmen der ISO 27001-Norm verankert und konzentriert sich auf die Sicherheit in Netzwerken innerhalb der Organisation.

Sie beschreibt die Anforderungen an das Netzwerkmanagement, einschließlich der Bestandsaufnahme aller Netzwerkressourcen und der Verantwortung für deren Verwaltung und Sicherheit. Es werden detaillierte Maßnahmen zum Schutz interner und externer Netzwerke beschrieben, wie die Implementierung von Zugriffskontrollen, Verschlüsselung und dem Einsatz von Virtual Private Networks (VPNs) für sichere Verbindungen. Die Richtlinie behandelt auch die kontinuierliche Netzwerküberwachung, die Analyse von Protokolldaten zur Erkennung von Sicherheitsvorfällen sowie auf die sichere Konfiguration und Trennung von Netzwerken, um Risiken zu minimieren.

Richtlinie zum Einsatz von Kryptographie

Diese Richtlinie beschreibt die Anwendungsbereiche und Einsatzfelder der Kryptografie, einschließlich der Verschlüsselung von Daten bei Speicherung und Übertragung, der Nutzung digitaler Signaturen zur Sicherstellung der Datenintegrität und Authentizität sowie der Authentifizierung von Personen mittels digitaler Zertifikate. Es werden zugelassene kryptografische Algorithmen und Protokolle sowie Verfahren zum Schlüsselmanagement festgelegt, um die Sicherheit der kryptografischen Prozesse zu gewährleisten.
Die Richtlinie regelt auch die Zusammenarbeit mit externen Dienstleistern, die kryptografische Dienste bereitstellen, sowie den Umgang mit kryptografischen Problemen wie der Verfügbarkeit von Schlüsseln und der Integration von Verschlüsselung in Cloud-Dienste. Durch diese Maßnahmen soll die Sicherheit der IT-Infrastruktur und der gespeicherten Daten auf einem hohen Niveau gewährleistet werden.

Richtlinie zur Entwicklungssicherheit

Diese Richtlinie beschreibt die Sicherheitsmaßnahmen, die in jeder Phase des Entwicklungsprozesses implementiert werden müssen. Dazu gehören die Spezifikation von Sicherheitsanforderungen während der Anforderungsanalyse, die Integration von Sicherheitsaspekten im Design und der Architektur, sowie die Durchführung von sicheren Programmierpraktiken und Code-Reviews während der Implementierung.

Weiterhin werden Sicherheitsprüfungen und Tests vor der Produktfreigabe dargestellt, um mögliche Schwachstellen zu identifizieren und zu beheben. Auch die sichere Auslieferung, Wartung und das Management von Updates werden geregelt. Die Richtlinie legt zudem Wert auf die Trennung von Entwicklungs-, Test- und Produktionsumgebungen sowie auf das Konfigurationsmanagement, um die Sicherheit in allen Entwicklungsphasen zu gewährleisten.

Change-Management Richtlinie

Die Richtlinie zur Verwaltung von Änderungen befasst sich mit der systematischen und kontrollierten Durchführung von Änderungen an informationsverarbeitenden Einrichtungen und IT-Systemen innerhalb der Organisation.

Die Richtlinie beschreibt den gesamten Prozess des Änderungs-Managements, von der Initiierung und Spezifikation einer Änderung bis zur Genehmigung, Implementierung und Nachverfolgung. Es werden Verantwortlichkeiten definiert, insbesondere für den Change Manager, der den Prozess überwacht. Zudem unterscheidet die Richtlinie zwischen verschiedenen Arten von Änderungen, einschließlich Notfalländerungen, die schnell umgesetzt werden müssen, um den Normalbetrieb wiederherzustellen. Sicherheitsmaßnahmen und Zugriffsrechte werden ebenfalls behandelt, um sicherzustellen, dass Änderungsdaten vor unbefugtem Zugriff geschützt sind. Die Richtlinie legt großen Wert auf die Dokumentation und Überprüfung von Änderungen, um die Integrität und Sicherheit der IT-Systeme langfristig zu gewährleisten.

Wenn Sie weitere Modul-Pakete einzeln oder in Kombination erwerben möchten, dann wählen sie den folgenden Bestellbutton aus. Tragen Sie dort im Formular ein, welche Modul-Pakete Sie bestellen möchten.

Der Preisnachlass beträg bei zwei Modulen 10% und beim Erwerb aller Module etwa 15%.

Kombi-Preistabelle

 

Kombi-Preis

vialevo – In diesen Punkten unterstützen wir Sie zusätzlich bei der Umsetzung

ISO 27001-Umsetzungsanleitung - 2-tägiger Workshop inkl. aller Implementierungs-Tools

Wenn Sie am Anfang der Implemtierung stehen, dann können Sie sich viel Zeit und Geld sparen. Ich erstelle mit Ihnen in einem zweitägigen Seminar eine komplette Planung der Umsetzung der ISO 27001. In diesem Seminar enthalten sind alle Implementierungs-Dokumente. Sie profitieren von den Erfahrungen eines Lead-Auditors für die ISO 27001 & KRITIS.
Mehr erfahren

"Lösungs-Workshop" für punktuelle ISO 27001-Unterstützung

Manchmal hat man ein Problem, an dem man einfach nicht weiterkommt. Aber dennoch möchte man keine komplette Umsetzungsberatung hinzuziehen. vialevo hilft Ihnen dabei, diese punktuellen Probleme zu lösen. Wir bieten Ihnen einen Lösungs-Workshop an, an dem wir alle Ihre individuellen Fragen und Probleme besprechen und daraus einen Lösungsvorschlag erarbeiten. Sprechen sie uns an.

Mehr erfahren

Komplette ISO 27001-Einführung

Wer kein eigenes Personal für eine ISO 27001-Einfürhung zur Verfügung stellen kann, dem bieten wir eine Komplett-Einführung "As-a-Service". Legen Sie fest, in welchem zeitlichen Rahmen dies geschehen soll und sprechen Sie uns an, damit wir die Vorgehensweise und die Kosten mit Ihnen gemeinsam kalkulieren können.

Mehr erfahren