In drei Schritten zur Informationssicherheit

Initiierung des Sicherheitsprozesses

Sicherheitsrisiken für die Institution und deren Informationen
Auswirkungen und Kosten im Schadensfall
Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse
Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
die für eine Branche typischen Vorgehensweisen zur Informationssicherheit
der aktuelle Stand der Informationssicherheit in der Institution mit abgeleiteten Handlungsempfehlungen

Die Leitungsebene trägt die Gesamtverantwortung für Informationssicherheit.
Die Leitungsebene muss jederzeit über mögliche Risiken und Konsequenzen für die Informationssicherheit informiert sein.
Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen Informationssicherheitsbeauftragten (ISB).
Die Leitungsebene unterstützt den ISB vollständig und stellt ausreichende Ressourcen bereit, um die gesetzten Ziele erreichen zu können.

Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken
die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen
die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit erlassen
die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen
der Leitungsebene über den Status quo der Informationssicherheit berichten
sicherheitsrelevante Projekte koordinieren
Sicherheitsvorfälle untersuchen
Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren

Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll.
Den Geltungsbereich eindeutig abgrenzen.
Schnittstellen zu externen Partnern beschreiben.

hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit)
Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit

Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung
Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution
Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT
Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird
Leitaussagen zur Erfolgskontrolle
Beschreibung der geplanten Organisationsstruktur
Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden
Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen können angekündigt werden
wichtige Gefährdungen, relevante gesetzliche Regelungen etc. können eingangs skizziert werden.