INFORMATIONSSICHERHEITSRICHTLINIE (LEITLINIE) Muster nach ISO/IEC 27001 Bereitgestellt von CompliantDesk (Corelead GmbH). Hinweis: Muster zur Orientierung, keine Rechtsberatung. Passen Sie die [Platzhalter] und Inhalte an Ihre Organisation an. Die Leitlinie muss von der obersten Leitung freigegeben und allen Beschäftigten bekannt gemacht werden. Organisation: [Name des Unternehmens] Version: [1.0] Freigegeben durch: [Geschäftsführung, Name] Freigabedatum: [Datum] Nächste Überprüfung: [Datum, mind. jährlich] ======================================================================== 1. Zweck und Zielsetzung ======================================================================== Diese Leitlinie legt die grundsätzliche Haltung von [Unternehmen] zur Informationssicherheit fest. Ziel ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und der unterstützenden Systeme, angemessen zu den Risiken der Organisation. ======================================================================== 2. Geltungsbereich ======================================================================== Diese Leitlinie gilt für alle Beschäftigten, alle Standorte, Systeme und Informationen von [Unternehmen] sowie sinngemäß für Dienstleister und Externe mit Zugriff auf Informationen der Organisation. ======================================================================== 3. Verantwortung der Leitung ======================================================================== Die Geschäftsführung bekennt sich zur Informationssicherheit, stellt die erforderlichen Ressourcen bereit und fordert die Einhaltung dieser Leitlinie von allen Beschäftigten ein. Die Leitung überprüft das Informationssicherheits-Managementsystem (ISMS) regelmäßig. ======================================================================== 4. Sicherheitsziele ======================================================================== - Schutz personenbezogener und geschäftskritischer Daten - Einhaltung gesetzlicher und vertraglicher Anforderungen - Aufrechterhaltung des Geschäftsbetriebs (Business Continuity) - Sensibilisierung und Befähigung der Beschäftigten - Kontinuierliche Verbesserung des Sicherheitsniveaus [Eigene Ziele ergänzen] ======================================================================== 5. Rollen und Verantwortlichkeiten ======================================================================== - Informationssicherheitsbeauftragte/r (ISB): [Name] - koordiniert das ISMS, berät die Leitung und überwacht die Umsetzung. - Führungskräfte: setzen die Vorgaben im Verantwortungsbereich um. - Beschäftigte: halten Richtlinien ein und melden Sicherheitsereignisse. ======================================================================== 6. Grundsätze der Informationssicherheit ======================================================================== - Risikobasiertes Vorgehen: Maßnahmen orientieren sich an bewerteten Risiken. - Need-to-know und minimale Rechte (Least Privilege). - Sicherheit über den gesamten Lebenszyklus von Informationen. - Meldung und Behandlung von Sicherheitsvorfällen. - Einhaltung anerkannter Standards (z.B. ISO/IEC 27001). ======================================================================== 7. Themenspezifische Richtlinien ======================================================================== Diese Leitlinie wird durch themenspezifische Richtlinien konkretisiert, u.a. zu Zugriffskontrolle, akzeptabler Nutzung, mobilem Arbeiten, Kryptografie, Lieferanten und Vorfallbehandlung. [Liste der geltenden Richtlinien ergänzen] ======================================================================== 8. Verstöße und Sanktionen ======================================================================== Verstöße gegen diese Leitlinie können disziplinarische und arbeits- rechtliche Konsequenzen nach sich ziehen. Das Verfahren ist im Disziplinarprozess geregelt. ======================================================================== 9. Inkrafttreten und Überprüfung ======================================================================== Diese Leitlinie tritt mit Freigabe durch die Geschäftsführung in Kraft und wird mindestens jährlich sowie bei wesentlichen Änderungen überprüft und aktualisiert. ________________________ [Ort, Datum] ________________________ [Geschäftsführung]