Definition: Sicherung der Ablaufprozesse mit Policies

Was ist Policy Management?

| Autor / Redakteur: HJL / Florian Karlstetter

Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten.
Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Der Begriff "Policies" ist weit gespannt. Er bezeichnet Richtlinien, Statuten sowie Verhaltensregeln im Zusammenhang mit der Benutzung von Systemen, Diensten und Netzwerken. Das Policy Management setzt Rahmenbedingungen und sorgt für deren Einhaltung.

Im Fokus: Verantwortung und Kompetenz der Mitarbeiter: Statuten, Richtlinien und ein Verhaltenskodex regeln in Industrie, Wirtschaft sowie bei Behörden den Umgang und die Benutzung von Systemen, Diensten und Netzwerkarchitekturen. Die Interaktion der im IT-Bereich eines Unternehmens tätigen Mitarbeiter erfolgt mit System-Providern auf der einen und Kunden des Unternehmens auf der anderen Seite.

Das zu schaffende Regelwerk umfasst die Sicherheitspolitik in Verbindung mit den als Authorization Policy vorgegebenen Regeln zum Benutzerrecht. Hinzu kommen die unter dem Begriff AUP - Acceptable Use Policies - zusammengefassten Verhaltensvorschriften über akzeptablen Gebrauch und Nutzung der eingesetzten IT-Technik. So entsteht eine Art "Fingerabdruck". Bei dieser Betrachtung wird deutlich dass jedem einzelnen Mitarbeiter eine nicht zu unterschätzende Rolle bei der Einhaltung verabschiedeter Policies zukommt.

Die Policy als dokumentiertes Regelwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Hilfe externer Spezialisten einen Katalog an Musterdokumenten heraus gegeben. Darin wird aufgezeigt, welchen IT-Sicherheitsthemen im Sinne eines soliden Policy Managements besondere Bedeutung zukommt. Das vorliegende Übersichtsdokument gibt Empfehlungen zum Aufbau von Sicherheitsrichtlinien. Das Kompendium an Musterrichtlinien umfasst folgende Dokumentationen:

  • IT-Sicherheitsleitlinie
  • Richtlinie zur IT-Nutzung
  • Richtlinie zur Internet- und E-Mail-Nutzung
  • Richtlinie zum Outsourcing
  • Sicherheitshinweise für IT-Benutzer
  • Sicherheitshinweise für Administratoren
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept
  • Archivierungskonzept.

Ein für jedes Unternehmen maßgeschneidert zu entwickelnder Katalog mit den verabschiedeten Sicherheitsrichtlinien bildet die Basis für ein aktives Policy Management für den IT-Bereich.

Die Rolle des Policy Managers

In größeren Unternehmen ist das gestaltende und kontrollierende IT Policy Management der Garant für Sicherheit und optimale Prozessabläufe. Spezielle Policy Management Programme dienen dem Schutz vor unliebsamen IT-Problemen. Doch damit nicht genug: Es beinhaltet auch Schutzmechanismen, die im Falle von Mitarbeiter-Verstößen greifen. Ein aktuelles Beispiel betrifft den Umgang mit Schadcodes, die im Zuge der Nutzung sozialer Netzwerke zur IT-Sicherheitsbedrohung geraten können. Über ein aktives Policy Management können die Zugangsmodalitäten fest gelegt und kontrolliert werden. Der Policy Manager übernimmt die Verantwortung für die Regelung des Datenverkehrs und sorgt für die erforderlichen Zugangskontrollen. Bei Bedarf verfügt er über die Kompetenzen, um soziale Netzwerke oder Cloud-Dienste für Mitarbeiter oder Unternehmensabteilungen zu sperren.

Betriebliche Regelungen gemeinsam mit dem Betriebsrat

Mit betrieblichen Regelungen über Inhalte und Ausgestaltung des Policy Managements sorgt die Unternehmensleitung für klare Verhältnisse. Sie legt verbindlich fest, was erlaubt ist und was nicht. Da die Zustimmung des Betriebsrats bei der Verabschiedung einer IT-Policy erforderlich ist, macht es Sinn, die Ausarbeitung in enger Zusammenarbeit mit der Mitarbeitervertretung vorzunehmen. Auf diesem Wege entsteht ein bindendes Regelwerk, das die solide Grundlage für ein aktives IT-Policy Management bildet.

Als Fazit aus dieser Betrachtung lässt sich die Notwendigkeit eines aktiven Policy Managements für den IT-Bereich betonen. Ein unter Einbindung des Betriebsrats umsichtig gestaltetes Regelwerk in Verbindung mit funktionierenden Kontrollmechanismen bildet die Grundlage für störungsfreie Abläufe mit besten Chancen für anhaltenden Unternehmenserfolg.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

In fünf Schritten zu mehr Sicherheit in hybriden IT-Umgebungen

AlgoSec-Umfrage „The State of Security“

In fünf Schritten zu mehr Sicherheit in hybriden IT-Umgebungen

Wenn es um Innovation geht, sind Menschen von Natur aus gerne vorsichtig und zurückhaltend. Genauso verhält es sich mit der ‚Hybrid Cloud‘ als moderner IT-Umgebung. Sie bietet große Flexibilität, hohe Skalierbarkeit und merkliche Kosteneinsparungen gegenüber dem alten Rechenzentrum, ohne dieses völlig abzuschaffen. Zudem verspricht sie, nahtlos mit den aktuellen, standortgebundenen Netzwerken des Unternehmens zusammenzuarbeiten. lesen

ownCloud mit File Lifecycle Management

Archivierungs- und Löschregeln für DSGVO-konforme Datenhaltung

ownCloud mit File Lifecycle Management

Nutzer der Enterprise-Version von ownCloud sollen den gesamten Lebenszyklus von Dateien künftig leichter als bisher verwalten und kontrollieren. Dabei lassen sich Archivierungs- und Löschregeln per App mit Policy-Vorgaben und Regulierungsbedürfnissen abstimmen. lesen

Fujitsu Forum 2019 - Innovationen und Praxis

Digital-Annealer-Projekte, KI und Strategien

Fujitsu Forum 2019 - Innovationen und Praxis

Vergangene Woche fand die Hausmesse „Fujitsu Forum“ in München statt. Es war voll, wenngleich das Medieninteresse im Vergleich zum Vorjahr abgeflaut schien. Vom Fujitsu-President Takahito Tokita erneut kein Wort über die Schließung der Augsburger Produktion. lesen

Hybride IT und Multi-Cloud-Umgebungen verwalten

Navigationssystem für das digitale Unternehmen

Hybride IT und Multi-Cloud-Umgebungen verwalten

Die IT-Welt in Unternehmen wird immer komplexer. Neben traditionellen IT-Systemen kommen Private Clouds sowie Public-Cloud-Dienste unterschiedlicher Anbieter zum Einsatz. Daher ist eine Lösung unverzichtbar, mit der sich alle diese Ressourcen „orchestrieren“ lassen. lesen

Hybride IT-Infrastrukturen erfolgreich orchestrieren

[Gesponsert]

Unterstützung beim Management von Multi-Cloud-Umgebungen

Hybride IT-Infrastrukturen erfolgreich orchestrieren

Die Komplexität von Cloud-Infrastrukturen nimmt immer mehr zu. Möchten Unternehmen den maximalen Nutzen aus ihrer hybriden IT-Umgebung ziehen, müssen Cloud-Services sinnvoll orchestriert werden. lesen

Masters of Hybrid Cloud: Managed Service Provider

Total Cloud und die wichtige Rolle der Provider (Teil 4)

Masters of Hybrid Cloud: Managed Service Provider

Die Cloud ist heute Commodity. Wie wir in den ersten drei Teilen dieser „Total Cloud“-Reihe gesehen haben, wurden in den vergangenen Jahren in rascher Folge Technologien, Lösungsansätze, Frameworks und Deployment-Modelle neu entwickelt. Nun hat sich die Technologie etabliert, Service Provider spielen dabei eine entscheidende Rolle. lesen

Auf dem Weg in die Cloud mit Rubrik

Backup und mehr für die Cranfield University

Auf dem Weg in die Cloud mit Rubrik

Mit dem Datenumzug in die Cloud wollte die britische Cranfield University Kosten fürs Backup einsparen und Ausfallzeiten minimieren. Man entschied sich für den Anbieter Rubrik. lesen

Das sagt AWS zum CLOUD Act

Risiken und Nebenwirkungen? Alles nur halb so schlimm ...

Das sagt AWS zum CLOUD Act

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-Gesetz und verpflichtet amerikanische Firmen und IT-Dienstleister bekanntermaßen, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ein Umstand der in Europa und insbesondere in deutschen Behörden und Unternehmen für großes Misstrauen sorgt. Michael Punke, Vice President of Global Public Policy bei AWS, hält das für übertrieben. Lesen Sie im folgenden seine Einschätzung. lesen

Edge Browser bringt Internet Explorer zurück

Microsoft zeigt Quantencomputing, Kubernetes und Kampagnen

Edge Browser bringt Internet Explorer zurück

Der Internet Explorer kehrt zurück, die Begrenzungen traditioneller Dokumente verblassen und Werkzeuge für Quantencomputing werden als Open Source bereitgestellt – das sind nur drei der zahlreichen Ankündigungen von Microsoft auf der Build 2019. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45000891 / Definitionen)