Definition: Sicherung der Ablaufprozesse mit Policies

Was ist Policy Management?

| Autor / Redakteur: HJL / Florian Karlstetter

Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten.
Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Der Begriff "Policies" ist weit gespannt. Er bezeichnet Richtlinien, Statuten sowie Verhaltensregeln im Zusammenhang mit der Benutzung von Systemen, Diensten und Netzwerken. Das Policy Management setzt Rahmenbedingungen und sorgt für deren Einhaltung.

Im Fokus: Verantwortung und Kompetenz der Mitarbeiter: Statuten, Richtlinien und ein Verhaltenskodex regeln in Industrie, Wirtschaft sowie bei Behörden den Umgang und die Benutzung von Systemen, Diensten und Netzwerkarchitekturen. Die Interaktion der im IT-Bereich eines Unternehmens tätigen Mitarbeiter erfolgt mit System-Providern auf der einen und Kunden des Unternehmens auf der anderen Seite.

Das zu schaffende Regelwerk umfasst die Sicherheitspolitik in Verbindung mit den als Authorization Policy vorgegebenen Regeln zum Benutzerrecht. Hinzu kommen die unter dem Begriff AUP - Acceptable Use Policies - zusammengefassten Verhaltensvorschriften über akzeptablen Gebrauch und Nutzung der eingesetzten IT-Technik. So entsteht eine Art "Fingerabdruck". Bei dieser Betrachtung wird deutlich dass jedem einzelnen Mitarbeiter eine nicht zu unterschätzende Rolle bei der Einhaltung verabschiedeter Policies zukommt.

Die Policy als dokumentiertes Regelwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Hilfe externer Spezialisten einen Katalog an Musterdokumenten heraus gegeben. Darin wird aufgezeigt, welchen IT-Sicherheitsthemen im Sinne eines soliden Policy Managements besondere Bedeutung zukommt. Das vorliegende Übersichtsdokument gibt Empfehlungen zum Aufbau von Sicherheitsrichtlinien. Das Kompendium an Musterrichtlinien umfasst folgende Dokumentationen:

  • IT-Sicherheitsleitlinie
  • Richtlinie zur IT-Nutzung
  • Richtlinie zur Internet- und E-Mail-Nutzung
  • Richtlinie zum Outsourcing
  • Sicherheitshinweise für IT-Benutzer
  • Sicherheitshinweise für Administratoren
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept
  • Archivierungskonzept.

Ein für jedes Unternehmen maßgeschneidert zu entwickelnder Katalog mit den verabschiedeten Sicherheitsrichtlinien bildet die Basis für ein aktives Policy Management für den IT-Bereich.

Die Rolle des Policy Managers

In größeren Unternehmen ist das gestaltende und kontrollierende IT Policy Management der Garant für Sicherheit und optimale Prozessabläufe. Spezielle Policy Management Programme dienen dem Schutz vor unliebsamen IT-Problemen. Doch damit nicht genug: Es beinhaltet auch Schutzmechanismen, die im Falle von Mitarbeiter-Verstößen greifen. Ein aktuelles Beispiel betrifft den Umgang mit Schadcodes, die im Zuge der Nutzung sozialer Netzwerke zur IT-Sicherheitsbedrohung geraten können. Über ein aktives Policy Management können die Zugangsmodalitäten fest gelegt und kontrolliert werden. Der Policy Manager übernimmt die Verantwortung für die Regelung des Datenverkehrs und sorgt für die erforderlichen Zugangskontrollen. Bei Bedarf verfügt er über die Kompetenzen, um soziale Netzwerke oder Cloud-Dienste für Mitarbeiter oder Unternehmensabteilungen zu sperren.

Betriebliche Regelungen gemeinsam mit dem Betriebsrat

Mit betrieblichen Regelungen über Inhalte und Ausgestaltung des Policy Managements sorgt die Unternehmensleitung für klare Verhältnisse. Sie legt verbindlich fest, was erlaubt ist und was nicht. Da die Zustimmung des Betriebsrats bei der Verabschiedung einer IT-Policy erforderlich ist, macht es Sinn, die Ausarbeitung in enger Zusammenarbeit mit der Mitarbeitervertretung vorzunehmen. Auf diesem Wege entsteht ein bindendes Regelwerk, das die solide Grundlage für ein aktives IT-Policy Management bildet.

Als Fazit aus dieser Betrachtung lässt sich die Notwendigkeit eines aktiven Policy Managements für den IT-Bereich betonen. Ein unter Einbindung des Betriebsrats umsichtig gestaltetes Regelwerk in Verbindung mit funktionierenden Kontrollmechanismen bildet die Grundlage für störungsfreie Abläufe mit besten Chancen für anhaltenden Unternehmenserfolg.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Hybride IT-Infrastrukturen erfolgreich orchestrieren

[Gesponsert]

Unterstützung beim Management von Multi-Cloud-Umgebungen

Hybride IT-Infrastrukturen erfolgreich orchestrieren

Die Komplexität von Cloud-Infrastrukturen nimmt immer mehr zu. Möchten Unternehmen den maximalen Nutzen aus ihrer hybriden IT-Umgebung ziehen, müssen Cloud-Services sinnvoll orchestriert werden. lesen

Masters of Hybrid Cloud: Managed Service Provider

Total Cloud und die wichtige Rolle der Provider (Teil 4)

Masters of Hybrid Cloud: Managed Service Provider

Die Cloud ist heute Commodity. Wie wir in den ersten drei Teilen dieser „Total Cloud“-Reihe gesehen haben, wurden in den vergangenen Jahren in rascher Folge Technologien, Lösungsansätze, Frameworks und Deployment-Modelle neu entwickelt. Nun hat sich die Technologie etabliert, Service Provider spielen dabei eine entscheidende Rolle. lesen

Auf dem Weg in die Cloud mit Rubrik

Backup und mehr für die Cranfield University

Auf dem Weg in die Cloud mit Rubrik

Mit dem Datenumzug in die Cloud wollte die britische Cranfield University Kosten fürs Backup einsparen und Ausfallzeiten minimieren. Man entschied sich für den Anbieter Rubrik. lesen

Das sagt AWS zum CLOUD Act

Risiken und Nebenwirkungen? Alles nur halb so schlimm ...

Das sagt AWS zum CLOUD Act

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Gesetz und verpflichtet amerikanische Firmen und IT-Dienstleister bekanntermaßen, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ein Umstand der in Europa und insbesondere in deutschen Behörden und Unternehmen für großes Misstrauen sorgt. Michael Punke, Vice President of Global Public Policy bei AWS, hält das für übertrieben. Lesen Sie im folgenden seine Einschätzung. lesen

Edge Browser bringt Internet Explorer zurück

Microsoft zeigt Quantencomputing, Kubernetes und Kampagnen

Edge Browser bringt Internet Explorer zurück

Der Internet Explorer kehrt zurück, die Begrenzungen traditioneller Dokumente verblassen und Werkzeuge für Quantencomputing werden als Open Source bereitgestellt – das sind nur drei der zahlreichen Ankündigungen von Microsoft auf der Build 2019. lesen

Updates für die Cloud-Management-Suite vRealize von VMware

Hybrid Cloud Management

Updates für die Cloud-Management-Suite vRealize von VMware

Zum jüngsten Update der Suite vRealize gehören „vRealize Operations 7.5“, „vRealize Network Insight 4.1“, „vRealize Automation 7.6“ und „vRealize Suite Lifecycle Manager 2.1“. Hersteller VMware kombiniert die Module, um einen selbststeuernden Betrieb und verbesserte programmierbare Bereitstellungsfunktionen in Private und Hybrid Clouds liefern zu können. lesen

Google Anthos verwaltet Workloads in AWS

Mit Serverless und Containern auf der Jagd nach Workloads

Google Anthos verwaltet Workloads in AWS

Mit der Multi-Cloud-Plattform Anthos hat es Google auf die Enterprise Workloads dieser Welt abgesehen. Wie sich VMware-Maschinen automatisch in Container umwandeln und auf AWS verschieben lassen, konnten Besucher der Google Cloud Next '19 live erleben – wie VMware darüber denkt, auch. lesen

Backup & Recovery neu gedacht

Vom Band zum Cloud-Data-Management

Backup & Recovery neu gedacht

Wachsende Datenmengen, anspruchsvolle Anwendungsfälle und zunehmend raffiniertere Cyberbedrohungen stellen neue Anforderungen an Backup-Lösungen. lesen

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

[Gesponsert]

Grenzenlose Kommunikation einer Non-Profit Organisation

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Viva con Agua de Sankt Pauli e.V. ist ein gemeinnütziger Verein, der sich weltweit für einen menschenwürdigen Zugang zu sauberem Trinkwasser und sanitärer Grundversorgung einsetzt. Da eine optimale Kommunikation intern und nach außen das A und O der Organisation ist, ist die gesamte IT-Infrastruktur des Vereins in der Cloud abgebildet. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45000891 / Definitionen)