Informationssicherheitsziele
Das Management selbst muss Ziele im Bereich der Informationssicherheit festlegen, die mit der allgemeinen strategischen Ausrichtung der Organisation in Einklang stehen. Notwendig ist, zumindest die Rahmenbedingungen zur Erreichung angemessener Ziele festzulegen.
Die Ziele sollten hier so allgemein gehalten werden, dass ihr Bekanntwerden kein Sicherheitsrisiko darstellt. Aufgrund der Tatsache, dass die Leitlinie gegebenenfalls auch Interessenten zugänglich gemacht wird, sollen diese allgemeinen Ziele lediglich den Stellenwert der Informationssicherheit im Unternehmen beschreiben. Die konkreten Sicherheitsziele sollten stattdessen in einem eigenen Dokument zusammengefasst werden.
Selbstverpflichtung des Managements
Die Aufnahme einer Selbstverpflichtungserklärung des Managements in die Informationssicherheits-Leitlinie ist unter 5.2. c) und d) ausdrücklich vorgesehen.
Diese Selbstverpflichtung bezieht sich auf die Einhaltung der in der Leitlinie festgelegten Anforderungen an die Informationssicherheit sowie die laufende Verbesserung des Informationssicherheits-Managementsystems (ISMS). Gefordert ist ein klares Bekenntnis des Managements zu den Werten des Managementsystems sowie dessen vollumfänglicher Unterstützung und Förderung.
Zugänglichmachung der Informationssicherheitsleitlinie
Die Informationssicherheitsleitlinie muss sowohl innerhalb der Organisation als auch anderen interessierten Parteien zur Verfügung stehen.
Von einer allgemeinen Veröffentlichung der Leitlinie raten wir jedoch ab, da diese auch Informationen enthält, die nicht jedermann zugänglich gemacht werden sollten. Die Leitlinie sollte ausschließlich auf Abruf verfügbar sein.
Verantwortlichkeiten in der Informationssicherheitsleitlinie
Wie in den Vorgängerversionen der ISO 27001 sind weiterhin Verantwortlichkeiten und Zuständigkeiten betreffend das ISMS zu definieren.
Dass die Zuteilung der Verantwortung für die Berichterstattung zur Leistung des Informationssicherheitsmanagements weiterhin ausdrücklich und gesondert genannt bleibt, unterstreicht den Stellenwert dieser Aufgabe.
Bewertung von Risiken nicht zwingend
In älteren Versionen der Norm war es notwendig, Kriterien zur Bewertung von Risiken in die Informationssicherheits-Leitlinie aufzunehmen. Seit der Version 2015 ist das nicht mehr zwingend. Die Kriterien sind nun im Rahmen der Definition des Prozesses für die Informationssicherheits-Risikoeinschätzung festzuschreiben. Dies ist auch systematisch der bessere Ort, da hier der entsprechende Zusammenhang vorhanden ist.