e2-grc

ISMS Aufbau leicht gemacht

In diesem Bereich möchte ich rund um das Thema Informationssicherheit meine wichtigsten Blogeinträge teilen. In den meisten Fällen beruhen diese auf meinem beruflichen Alltag oder wurde von Artikeln anderer Experten inspiriert.

Die Rolle CISO ist sich stark am Verändern
Read More
Verantwortlichkeiten, Rechte und Pflichten des Informationssicherheitsbeauftragten
Read More
Wie ein KMU die notwendigen Anforderungen zur Bewältigung der Risiken auswählen sollte?
Read More
Der steinige Weg der Digitalisierung
Read More
Digitalisierung und Datenschutz als Wettbewerbsvorteil
Read More
Notfallvorsorge mit Hilfe des Chaos Engineering
Read More
Das Zusammenspiel der Informationssicherheit mit Hoshin Kanri
Read More
Best-Practices für den Aufbau eines SOC
Read More
Wenn die Ressourcen für ein SOC knapp sind
Read More

Richtlinienvorlagen

Die von mir bereitgestellten Richtlinienvorlagen verteilen sich auf die vier Ebenen der Dokumentenpyramide und können mit wenig Aufwand schnell nachgenutzt werden. Alle Stellen, welche mindestens angepasst werden müssen sind gelb markiert und somit leicht erkennbar.

Dokumente der Ebene 1

Die Ebene 1 wird durch die „Leitlinie zur Informationssicherheit“ repräsentiert. Die Leitlinie wird freigegeben von der Geschäftsführung und deligiert an den Informationssicherheitsbeauftragten die Aufgabe ein ISMS auf Basis des BSI IT-Grundschutzes unter Verwendung der Standards 200-1, 200-2 und 200-3 zu etablieren. Die Vorlage ist über den angebotenen Link erreichbar.

Dokumente der Ebene 2

Die Ebene 2 beinhaltet eigene Standards, mit denen die Anforderungen an die Umsetzung der Informationssicherheit festgelegt werden.

Dokumente der Ebene 3

Mit den Sicherheitsrichtlinien auf der Ebene 3 werden die bisherigen Anforderungen (aus der Ebene 1 und 2) hinsichtlich ihrer Umsetzung detailliert. Die Inhalte der Sicherheitsrichtlinien sollten dabei den Endanwender und Umsetzer der Vorgaben im Fokus haben.

Dokumente der Ebene 4

Die Ebene 4 wird durch die Konzepte, Vorlagen und Dokumentationen der internen oder externen Dienstleistungserbringer anhand der steuernden Vorgaben der übergeordneten Ebenen gebildet und durch das Informationssicherheitsmanagement regelmäßig kontrolliert.

Die Vorgaben in Sicherheitsrichtlinien sind gut, wenn sie Freiräume schaffen und Verbindlichkeiten. Sowohl als auch.
Es geht nicht darum, dass alle zustimmen, sondern, dass alle zustimmen könnten, wenn die Anforderungen in Sicherheitsrichtlinien rational begründbar sind.
Eine Regel ist dazu da, dass man sich an ihr orientiert, nicht aber pingelig bis ins kleinste Detail an ihr klebt.
Sicherheitsregelungen sind doof. Aber haben Sie es schon einmal ohne versucht?

%cmsData(privacy-policy)%

%cmsData(terms-conditions)%