Fortsetzung von Teil 1 – Was sich in der Praxis bewährt hat
Gängige Normen wie etwa die ISO 27001:2013 enthalten sinnvolle Tipps für das Erarbeiten und die Kontrolle der Dokumentation. Im Folgenden werden Hinweise für die Umsetzung in der Praxis gegeben – ohne Anspruch auf Vollständigkeit.
- Modularer Aufbau der Dokumente. Dies ermöglicht beispielweise die Darstellung von Richtlinien im Intranet, ggf. auch mit Aufbereitung für verschiedene Zielgruppen.
- Orientierung der Inhalte und Sprache der Richtlinie an einer konkreten Zielgruppe, zumindest aber absatzweise zielgruppenorientiert. Statt „Weichmacher“-Formulierungen lieber realistische, mittelfristig umsetzbare Vorgaben setzen! Formulierungen wie „sollte“ oder unspezifische Vorgaben laden zum Ignorieren ein. Auch wenn für Awareness-Kampagnen anderes gelten mag: Richtlinien und Arbeitsanweisungen müssen immer so kurz und präzise wie möglich formuliert sein.
- Da hat man mit viel Mühe Richtlinien geschrieben und im Intranet veröffentlich, und keiner liest sie! Selbst die initiale Einweisung mit Unterschrift des neuen Mitarbeiters ist schnell vergessen. Deshalb gilt es, einen Plan für die Kommunikation z.B. der Richtlinien und der Schulung der Mitarbeiter im Einklang mit den Vorgaben zu erarbeiten. Hier lieber in kürzeren Abständen „kleinere Häppchen“ servieren als den Big Bang anstreben.
- Es ist regelmäßig zu prüfen, ob die Vorgaben eingehalten werden oder überhaupt noch umsetzbar sind. So darf es keine Richtlinien geben, die ohne zwischenzeitlichen „Review“ ein Alter von fünf oder mehr Jahren haben. Angemessen ist eine jährliche Überprüfung der Aktualität der Richtlinien.
- Abschnitt 7.5.1 der neuen ISO 27001:2013 weist im Übrigen ausdrücklich darauf hin, dass die Dokumentation an die spezifischen Gegebenheiten der Organisation angepasst sein müssen. Eine kleine oder mittelständische Organisation wird schon an den Ressourcen scheitern, die eine Befüllung der eingangs skizzierten Hierarchieebenen erfordern. Eine übergeordnete Leitlinie für Informationssicherheit ist zwar immer sinnvoll. Bei den restlichen Vorgaben ist es jedoch legitim, sich zunächst auf konkrete Arbeitsanweisungen, Konfigurationsvorgaben und Konzepte für zentrale Bereiche zu beschränken. Dabei ist sicherzustellen, dass die wichtigsten Themenbereiche abgedeckt sind und das Zielpublikum der Dokumente erreicht wird.
