Daher werden heute üblicherweise innerbetriebliche Regelwerke (Policies) mit dem Ziel entwickelt, sämtliche betrieblichen Prozesse sicher zu gestalten.
Dies betrifft zum Beispiel:
- Gestaltung von Zugriffsberechtigungen (Berechtigungskonzepte)
- Mobile Sicherheit
- Passwortsicherheit
- Sicherheit des Internet-Auftritts und sichere Internet-Nutzung
- Administrationsvorgaben
- Schutz der Systeme vor Viren, SPAM und Hackerangriffen
- Gestaltung von Backup-Konzepten
Um ein möglichst änderungsfreundliches Regelwerk zu schaffen, hat sich, wie beim Datenschutzkonzept, ein modularer, hierarchischer Aufbau bewährt. Dabei werden die grundlegenden IT-Sicherheitsziele von Vorstand oder Geschäftsführung des Unternehmens verabschiedet und veröffentlicht. Aus ihnen werden die konzeptionellen Vorgaben für Systemarten, Nutzergruppen, Anwendungen und Gefährdungsbereiche abgeleitet.
Darüber hinaus werden in Übereinstimmung mit den konzeptionel-len Vorgaben die konkreten technischen Einstellungen und Vorgaben dokumentiert. Als Unterstützung bestimmter Nutzergruppen sollten Handlungshilfen oder Informationen zur Verfügung gestellt werden.
Bei der oben gezeigten Organisation sind häufigere Änderungen auf die Dokumente und Vorgaben am Fuß der Pyramide beschränkt.
Je höher die Vorgaben in der Pyramide angesiedelt sind, desto geringer ist ihre Änderungshäufigkeit. Die Sicherheitsziele werden in der Regel äußerst selten ergänzt, während Systemdokumentationen bei jeder sicherheitsrelevanten Änderung angepasst werden müssen.
- Aufbau und Begleitung betrieblicher IT-Sicherheitsorganisation (siehe auch "IT-Sicherheitsorganisation")
- Konzeption und Revision von IT-Sicherheitshandbüchern und Sicherheitsrichtlinien
- Coaching von IT-Sicherheitsbeauftragten
- Entwicklung technischer und organisatorischer Maßnahmenpakete zur Umsetzung von IT-Sicherheitsrichtlinien
- Analyse von Gefährdungspotenzialen und Sicherheitsrevisionen
 |