Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 25
Erläuterung
Оглавление1 Ebene 1 (Leitbild): Das Leitbild des Unternehmens hält fundamentale unternehmerische Gesamtziele für die Zukunft fest. Diese umfassen üblicherweise ökonomische (Leistungs-, Erfolgs-, Gewinnziele) - und soziale (Image, Mitarbeiterförderung, Vollbeschäftigung, Firmenethik, Existenzerhaltung usw.) Vorhaben.
1 Ebene 2 (normativ): Aufgrund des Unternehmensleitbildes werden weitere Grundsätze (allgemeine Rahmenbedingungen und Normen) abgeleitet, die für die Realisierung des Unternehmensziels benötigt werden. Hier sind etwa die Marketing-, Personal-, Finanz- und eben die InfSec-Politik angesiedelt.
1 Ebene 3 (strategisch): Ab jetzt verbleiben wir ausschließlich im Segment der InfSec-Politik. In Stufe drei befinden sich alle relevanten Prinzipien für die sicherheitsrelevanten Bereiche eines Unternehmens. Behandelte Thematiken erfolgen bereits zielgruppenorientiert (für Anwender, Geschäftspartner, Führungskräfte ...) oder themenbezogen (wie Virenschutz, IKT, Gebäudesicherheit, ...). Betroffene Aufgabenkreise und alle dafür bedeutenden strategischen Ziele, Aufgaben und Maßnahmen sind hier abgefasst. Auf diese Weise bilden diese Dokumente wiederum die Grundlage für weitergehende Schritte, wie beispielsweise die Erstellung von InfSec-Richtlinien oder Arbeitsanweisungen (Ebene 4).
1 Ebene 4 (regulativ): Den „Bereichsspezifischen Sicherheitsgrundsätzen“ der vorangehenden Ebene folgen detaillierte Normen. Diese werden in Form von Richtlinien, Arbeitsanweisungen oder Prozeduren ausgegeben. Beispiele sind hier „Merkblätter für die Benutzung von Smartphones“, „Richtlinien für die Benutzung von Social Media“, Katastrophenpläne und dergleichen mehr.
1 Ebene 5 (operativ): An der Basis der Pyramide finden sich Implementierungsleitfäden (Installationsanweisungen) und Handbücher für verwendete Werkzeuge, die vor Ort für die Umsetzung der InfSec-Politik eingesetzt werden. Auf hier beschriebene Hilfsmittel und Dokumente haben üblicherweise nur Mitarbeiter der zuständigen Abteilungen Zugriff.
Entsprechend obiger Erläuterung könnte eine Richtlinienpyramide folgendermaßen aussehen:
