Ein wichtiges Dokument in einem Managementsystem zur Informationssicherheit bzw. Datenschutz stellt eine Leitlinie dar. Auch nach der DSGVO wird dieses Dokument an Bedeutung gewinnen. Die Leitlinie kann als das ranghöchste Dokument in diesem Zusammenhang angesehen werden. Was eine Leitlinie ist und wie sie gestaltet werden sollte, wird in dem folgenden Artikel erklärt.
Der Inhalt im Überblick
Leitlinie und ihre Funktion
Eine Leitlinie schafft die Grundlage für die Einführung und den Aufbau eines Managementsystems. Mit der Leitlinie bekennt sich das Topmanagement explizit zur Informationssicherheit bzw. zum Datenschutz, für deren Einhaltung es auch verantwortlich ist. Damit bekundet das Topmanagement, dass es hinter den gesetzten Zielen steht. Aus diesem Grund wird die Leitlinie von dem Topmanagement unterschrieben und den Mitarbeitern publik gemacht.
In einer Leitlinie wird eine Leitaussage zur Strategie festgelegt, sei es eine Strategie zur Informationssicherheit oder Datenschutz. In ihr werden Ziele definiert, die von dem Unternehmen verfolgt werden und von jedem Mitarbeiter in der Leitlinie nachgelesen werden können.
Als ranghöchstes Dokument unterscheidet sich die Leitlinie für ein Managementsystem von anderen Dokumenten wie z.B. Richtlinien oder Konzepten. Während die Leitlinie die Ziele und das Bekenntnis zu den Themen Informationssicherheit bzw. Datenschutz auf abstrakter Ebene adressiert, werden in nachgelagerten Dokumenten einzelne (IT-) Themen detailiert geregelt.
Inhalt der Leitlinie
Abhängig von dem Unternehmen und abhängig davon, ob die Leitlinie gemäß z.B. der ISO Norm 27001 oder frei erstellt wird, kann der Inhalt im Einzelnen differieren. Die Leitlinie sollte aber u.a. folgende Punkte enthalten:
- den Zweck und die strategische Entscheidung
- die angestrebten Ziele
- Anforderungen
- Anwendungsbereich
- Chancen
- Verantwortlichkeiten
- Aufbau und Ablauforganisation
Wichtig ist, dass in der Leitlinie die Selbstverpflichtung des Topmanagements festgehalten wird. Dieser erklärt seine Unterstützung bei der Einführung und bei der laufenden Verbesserung des Managementsystems, damit die Zielvorgaben erreicht werden können. Durch diese Selbstverpflichtung kann z.B. der Beauftragten für Informationssicherheit leichter die Bereitstellung von Ressourcen durchsetzen und vorantreiben.
Zu beachten ist, dass die Leitlinie präzise und übersichtlich verfasst sein sollte, damit jeder Mitarbeiter den Inhalt schnell erfassen und verstehen kann. Zur Orientierung stellt das BSI Informationen zur Erstellung einer Leitlinie zur Verfügung.
Gestaltung und Detailgrad
Oft wird die Frage gestellt, wie detailliert eine solche Leitlinie sein sollte. Da die Leitlinie lediglich die Grundlage zur Einführung eines Managementsystems bildet, sollte sie nicht alle Themen in Detailgrad behandeln. Die Festlegung und Regelung einzelner Fragen werden in Richtlinien und Konzepten (z.B. Passwort-Richtlinie) im Laufzyklus des Managementsystems mit den Verantwortlichen und Spezialisten erstellt. Involviert werden dann nämlich Fachpersonen, die einzelne Themen regeln und umsetzen, was auch viel Zeit in Anspruch nehmen kann und sich oft erst aus der Risikoeinschätzung ergeben können.
Wenn bereits die Leitlinie alle anderen Themen regelt, besteht die Gefahr, dass die Leitlinie zu detailliert und zu unübersichtlich wird. Zudem müsste die ganze Leitlinie geändert werden, wenn sich eine einzelne Regelung intern ändert. Diese muss dann immer wieder von dem Topmanagement unterschrieben werden.
Als Orientierung können ca. 3-10 Seiten genannt werden, die üblicherweise eine Leitlinie hat.
Aktualisierung der Leitlinie
Die Leitlinie sollte regelmäßig auf ihre Aktualität überprüft werden. Deswegen legt man in der Leitlinie einen Zeitraum (z.B. jährlich) fest, wann sie auf jeden Fall überprüft werden soll. Haben sich Änderungen z.B. in den Zielen, Umständen oder Aufgaben ergeben haben, so muss sie angepasst werden.
Hier finden Sie weitere Beiträge der Reihe ISMS & DSGVO.
ACHTUNG! Bitte nicht Informationssicherheits-Managementsystem und Datenschutz-Managementsystem verwechseln. Es sind zwar beides Managementsysteme mit Plan-Do-Check-Act usw. – die Themen sind aber grundverschieden. Deswegen hat Datenschutz-Managementsystem nichts mit BSI zu tun. BSI-Vorgaben beziehen sich auf ISMS.
Und außerdem: Liebe Datenschutzbeauftragte: macht kein ISMS selbst, sondern fragt euren Informationssicherheitsbeauftragten! Der hat das in vielen Fällen schon fertig. Ich sehe gerade sehr viele DSBs herumlaufen und ISO27001 lesend Panik verbreiten, dass sie jetzt ein ISMS machen müssen. Nur die Ruhe bewahren! Das ist alles nicht neu!
Und wenn es keinen Informationssicherheitsbeauftragten im Unternehmen gibt?
Die GL ansprechen?