Ist eine Informationssicherheitsrichtlinie unter der DSGVO Pflicht?

Die DSGVO verlangt 'geeignete technische und organisatorische Massnahmen'. Eine Sicherheitsrichtlinie ist eine organisatorische Massnahme, die zeigt, dass Sie Sicherheit ernst nehmen. Sie ist nicht ausdrucklich vorgeschrieben, hilft aber enorm beim Nachweis der Compliance.

Wie lang sollte das Dokument sein?

Qualitat vor Quantitat. Fur ein KMU reichen oft 2 bis 4 Seiten. Entscheidend ist, dass die Richtlinie praktisch ist und tatsachlich befolgt wird.

Sollten Mitarbeiter die Richtlinie unterschreiben?

Das ist empfehlenswert. Durch die Unterschrift bestatigen Mitarbeiter, dass sie die Richtlinie gelesen haben und ihr zustimmen. Das starkt Ihre Position bei einem spateren Vorfall.

Informationssicherheitsrichtlinie Erstellen | DSGVO-Anforderungen

Eine Informationssicherheitsrichtlinie beschreibt, wie Ihre Organisation personenbezogene Daten und Unternehmensinformationen schutzt. Dieser Artikel erklart, was sie enthalten muss und wie Sie sie aktuell halten.

Warum Sie eine Sicherheitsrichtlinie brauchen

Sie konnen die beste technische Sicherheit haben, aber wenn Ihre Mitarbeiter die Regeln nicht kennen, ist es, als wurden Sie eine Alarmanlage installieren und den Code auf einen Zettel neben der Tur kleben.

Eine Informationssicherheitsrichtlinie beschreibt die Regeln und Erwartungen fur alle in Ihrer Organisation. Sie sagt Mitarbeitern, was sie mit Unternehmensinformationen und personenbezogenen Daten tun durfen und was nicht.

Was muss sie enthalten?

Zweck und Geltungsbereich

Beschreiben Sie kurz, warum die Richtlinie existiert und fur wen sie gilt. In der Regel umfasst sie alle Mitarbeiter, Freelancer und Praktikanten mit Zugang zu Unternehmenssystemen oder -daten.

Passworter und Authentifizierung

Anforderungen an Passworstarke und -einzigartigkeit
Verpflichtende Zwei-Faktor-Authentifizierung, wo verfugbar
Verbot der Weitergabe von Passwortern
Nutzung eines Passwortmanagers

Zugriffskontrolle

Rechte werden rollenbasiert vergeben (Need-to-know)
Rechte werden bei Rollenwechsel uberpruft
Alle Zugange werden beim Ausscheiden sofort gesperrt
Periodische Uberprufung der Zugriffsrechte

Geratenutzung

Regeln fur die Nutzung von Firmengeraten
BYOD-Richtlinie, wenn Mitarbeiter eigene Gerate verwenden
Pflicht zur Festplattenverschlusselung und Bildschirmsperre
Regeln fur das Arbeiten in offentlichen Netzwerken (VPN nutzen)

Clean Desk und Clear Screen

Dokumente mit personenbezogenen Daten werden beim Verlassen des Arbeitsplatzes weggeschlossen
Bildschirme werden bei Abwesenheit gesperrt
Vertrauliche Ausdrucke werden sofort am Drucker abgeholt

E-Mail und Kommunikation

Richtlinien fur den Versand personenbezogener Daten per E-Mail
Wann Verschlusselung erforderlich ist
Umgang mit verdachtigen E-Mails (Phishing)

Meldung von Vorfallen

Wie Mitarbeiter einen Sicherheitsvorfall melden sollen
An wen sie melden
Innerhalb welcher Frist (so schnell wie moglich)
Dass es keine negativen Folgen fur das Melden von Fehlern gibt

Externer Speicher und Tools

Welche Cloud-Speicherdienste genehmigt sind
Verbot der Nutzung nicht genehmigter Tools fur Unternehmensdaten
Regeln fur den Dateiaustausch mit externen Parteien

So erstellen Sie die Richtlinie

Beginnen Sie mit einer Vorlage - Sie mussen das Rad nicht neu erfinden. Nutzen Sie eine bestehende Vorlage und passen Sie sie an
Machen Sie sie praktisch - schreiben Sie in verstandlicher Sprache, ohne juristischen Fachjargon
Besprechen Sie sie mit Ihrem Team - ermoglichen Sie Mitarbeitern, Feedback zu geben und Fragen zu stellen
Lassen Sie sie unterschreiben - jeder Mitarbeiter bestatigt, die Richtlinie gelesen und verstanden zu haben
Machen Sie sie auffindbar - bewahren Sie sie an einem Ort auf, den alle finden konnen

Halten Sie sie lebendig

Eine Sicherheitsrichtlinie, die Sie schreiben und vergessen, hat wenig Wert. Uberprufen Sie sie:

Jahrlich - ist sie noch aktuell?
Nach einem Vorfall - muss etwas verscharft werden?
Bei Veranderungen - neue Tools, neue Mitarbeiter, neue Arbeitsweisen?

auto_awesome Dokumentieren Sie Ihren Sicherheitsansatz

GDPRWise hilft Ihnen, Ihre Sicherheitsmassnahmen und Richtlinien als Teil Ihres Compliance-Dossiers festzuhalten.

Kostenlosen Scan starten