Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 24
4.1.3.3.Richtlinienpyramide
ОглавлениеDie Festlegung einer InfSec-Politik und deren Niederschrift bedeutet einen wichtigen Schritt in Richtung Sicherheit. Wie später noch ausführlich beschrieben wird, erfordert effiziente InfSec einen Prozess. Nach der Etablierung wird dieser permanent aufrecht erhalten und den ständig wechselnden Umständen angepasst. Dadurch ergibt sich, den Verlauf begleitend neue Dokumente zu erstellen und Bestehende anzupassen.
Wir wissen, die InfSec-Policy bildet entsprechend dem Unternehmensleitbild die Basis für weitere Maßnahmen, Schrift- und Regelwerke. Das Zusammenspiel zwischen Geschäfts-, InfSec-Politik, abteilungsbezogenen Strategien, bis hin zur tatsächlichen Ausführung stellt die nachfolgende Grafik dar. Zur Illustration dieser Hierarchie von Leitbild, Geschäftspolitik, Grundsätzen und Richtlinien ist die Form einer „Richtlinienpyramide“ gewählt. Sie bietet nur eine von mehreren möglichen Lösungen und dient als Vorlage für die Erstellung einer individuellen Normenarchitektur. Der vorgeschlagene Aufbau ist nicht zwingend. So ist es durchaus möglich, Ebenen zusammenzuführen und damit die Ausdehnung zu verflachen. Die Art der Ausführung ist natürlich von spezifischen Sicherheitsanforderungen jedes einzelnen Betriebes abhängig. Wichtig ist letzten Endes nur, dass Dokumente vorhanden sind, die das „Was“ festlegen und diejenigen, die darauf aufbauen und das „Wie“ beschreiben.

Die Figur einer Pyramide verdeutlicht, sowohl Umfang und Anzahl, als auch die Präzision einzelner Bestimmungen von Ebene Eins bis Fünf nehmen beständig zu. Während das Unternehmensleitbild an der Spitze für alle darunter liegenden Ebenen gilt, werden ab der zweiten Stufe unterschiedliche Ziele und Strategien für die jeweiligen Geschäftsbereiche festgelegt. Hierunter fallen beispielsweise Marketing-, Personal- und Finanzpolitik. In unserem Fall ist es die InfSec-Politik, die in Form der InfSec-Policy niedergeschrieben wird. Innerhalb dieses speziellen Bereichs werden dann weitere Grundsätze, Richtlinien, Leitfäden und Handbücher spezifiziert, die dieses Thema ergänzen.
Bis jetzt wurde in diesem Kapitel nur bis zur Ebene Zwei (InfSec-Policy) geschrieben. Die nachfolgenden Ränge drei bis fünf werden im Zuge des weiteren InfSec-Prozesses erstellt und in diesem Buch anschließend noch ausführlich behandelt. Aus Gründen der Vollständigkeit und der Verständlichkeit ist bereits an dieser Stelle die komplette Hierarchie aller Regelungen dargestellt.