Die für die Wartung der Informationssicherheit erforderlichen Regeln werden durch eine Kombination von Faktoren identifiziert und definiert, darunter:
* Sicherheitsrichtlinien: Dies sind hochrangige Dokumente, die den Gesamtansatz einer Organisation zur Informationssicherheit festlegen. Sie definieren die Ziele, Prinzipien und Verantwortlichkeiten im Zusammenhang mit dem Schutz von Informationsvermögen. Diese Richtlinien beziehen sich häufig auf andere, detailliertere Standards und Richtlinien.
* Standards: Dies sind obligatorische Regeln und Spezifikationen, die definieren, wie Sicherheitskontrollen implementiert werden. Sie liefern spezifische technische Anforderungen und Verfahren, um die von den Sicherheitsrichtlinien festgelegten Ziele zu erreichen. Beispielsweise kann ein Standard die Anforderungen an die Komplexität des Mindestkennworts bestimmen.
* Richtlinien: Dies sind Empfehlungen und Best Practices, die Ratschläge zur effektiven Umsetzung von Sicherheitskontrollen geben. Im Gegensatz zu Standards sind Richtlinien nicht obligatorisch, bieten jedoch wertvolle Anleitungen für ein höheres Maß an Sicherheit. Sie können bevorzugte Methoden anbieten oder Lösungen für häufige Probleme vorschlagen.
* Verfahren: Dies sind Schritt-für-Schritt-Anweisungen, in denen beschrieben wird, wie bestimmte Aufgaben im Zusammenhang mit der Informationssicherheit ausgeführt werden. Sie beschreiben häufig die Maßnahmen, die erforderlich sind, um auf Sicherheitsvorfälle zu reagieren, Sicherheitskontrollen zu implementieren oder Zugriffsrechte zu verwalten.
* Gesetze und Vorschriften: Dies sind rechtlich verbindliche Regeln und Vorschriften, die den Umgang mit sensiblen Informationen bestimmen. Die Einhaltung der relevanten Gesetze und Vorschriften (wie DSGVO, HIPAA, CCPA) ist für Organisationen von entscheidender Bedeutung, die personenbezogene Daten oder geschützte Gesundheitsinformationen bearbeiten. Diese werden sich erheblich auf die vorhandenen Sicherheitsrichtlinien, Standards und Verfahren auswirken.
* Best Practices der Industrie: Dies sind allgemein anerkannte Techniken und Methoden, die sich beim Schutz von Informationsvermögen als wirksam erwiesen haben. Nach Best Practices sorgt die Einstellung der Branchenstandards und verringert das Risiko von Schwachstellen. Frameworks wie NIST Cybersicherheit Framework bieten Leitlinien in diesem Bereich.
Zusammenfassend lässt sich sagen, dass ein umfassendes Programm zur Sicherheit der Information die erforderlichen Regeln durch eine Kombination aus Richtlinien auf hoher Ebene, detaillierten Standards, Best-Practice-Richtlinien, Verfahrensanweisungen und gesetzlichen Anforderungen definiert und identifiziert. Diese alle arbeiten zusammen, um eine robuste und effektive Sicherheitsstelle zu schaffen.
