Definition: Sicherung der Ablaufprozesse mit Policies

Was ist Policy Management?

| Autor / Redakteur: HJL / Florian Karlstetter

Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten.
Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Der Begriff "Policies" ist weit gespannt. Er bezeichnet Richtlinien, Statuten sowie Verhaltensregeln im Zusammenhang mit der Benutzung von Systemen, Diensten und Netzwerken. Das Policy Management setzt Rahmenbedingungen und sorgt für deren Einhaltung.

Im Fokus: Verantwortung und Kompetenz der Mitarbeiter: Statuten, Richtlinien und ein Verhaltenskodex regeln in Industrie, Wirtschaft sowie bei Behörden den Umgang und die Benutzung von Systemen, Diensten und Netzwerkarchitekturen. Die Interaktion der im IT-Bereich eines Unternehmens tätigen Mitarbeiter erfolgt mit System-Providern auf der einen und Kunden des Unternehmens auf der anderen Seite.

Das zu schaffende Regelwerk umfasst die Sicherheitspolitik in Verbindung mit den als Authorization Policy vorgegebenen Regeln zum Benutzerrecht. Hinzu kommen die unter dem Begriff AUP - Acceptable Use Policies - zusammengefassten Verhaltensvorschriften über akzeptablen Gebrauch und Nutzung der eingesetzten IT-Technik. So entsteht eine Art "Fingerabdruck". Bei dieser Betrachtung wird deutlich dass jedem einzelnen Mitarbeiter eine nicht zu unterschätzende Rolle bei der Einhaltung verabschiedeter Policies zukommt.

Die Policy als dokumentiertes Regelwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Hilfe externer Spezialisten einen Katalog an Musterdokumenten heraus gegeben. Darin wird aufgezeigt, welchen IT-Sicherheitsthemen im Sinne eines soliden Policy Managements besondere Bedeutung zukommt. Das vorliegende Übersichtsdokument gibt Empfehlungen zum Aufbau von Sicherheitsrichtlinien. Das Kompendium an Musterrichtlinien umfasst folgende Dokumentationen:

  • IT-Sicherheitsleitlinie
  • Richtlinie zur IT-Nutzung
  • Richtlinie zur Internet- und E-Mail-Nutzung
  • Richtlinie zum Outsourcing
  • Sicherheitshinweise für IT-Benutzer
  • Sicherheitshinweise für Administratoren
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept
  • Archivierungskonzept.

Ein für jedes Unternehmen maßgeschneidert zu entwickelnder Katalog mit den verabschiedeten Sicherheitsrichtlinien bildet die Basis für ein aktives Policy Management für den IT-Bereich.

Die Rolle des Policy Managers

In größeren Unternehmen ist das gestaltende und kontrollierende IT Policy Management der Garant für Sicherheit und optimale Prozessabläufe. Spezielle Policy Management Programme dienen dem Schutz vor unliebsamen IT-Problemen. Doch damit nicht genug: Es beinhaltet auch Schutzmechanismen, die im Falle von Mitarbeiter-Verstößen greifen. Ein aktuelles Beispiel betrifft den Umgang mit Schadcodes, die im Zuge der Nutzung sozialer Netzwerke zur IT-Sicherheitsbedrohung geraten können. Über ein aktives Policy Management können die Zugangsmodalitäten fest gelegt und kontrolliert werden. Der Policy Manager übernimmt die Verantwortung für die Regelung des Datenverkehrs und sorgt für die erforderlichen Zugangskontrollen. Bei Bedarf verfügt er über die Kompetenzen, um soziale Netzwerke oder Cloud-Dienste für Mitarbeiter oder Unternehmensabteilungen zu sperren.

Betriebliche Regelungen gemeinsam mit dem Betriebsrat

Mit betrieblichen Regelungen über Inhalte und Ausgestaltung des Policy Managements sorgt die Unternehmensleitung für klare Verhältnisse. Sie legt verbindlich fest, was erlaubt ist und was nicht. Da die Zustimmung des Betriebsrats bei der Verabschiedung einer IT-Policy erforderlich ist, macht es Sinn, die Ausarbeitung in enger Zusammenarbeit mit der Mitarbeitervertretung vorzunehmen. Auf diesem Wege entsteht ein bindendes Regelwerk, das die solide Grundlage für ein aktives IT-Policy Management bildet.

Als Fazit aus dieser Betrachtung lässt sich die Notwendigkeit eines aktiven Policy Managements für den IT-Bereich betonen. Ein unter Einbindung des Betriebsrats umsichtig gestaltetes Regelwerk in Verbindung mit funktionierenden Kontrollmechanismen bildet die Grundlage für störungsfreie Abläufe mit besten Chancen für anhaltenden Unternehmenserfolg.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Herausforderung in Active Directory erkennen und lösen

Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher. lesen

Google Cloud verschmilzt mit On-Prem

Cloud Services Platform vereint Kubernetes Engine und Istio

Google Cloud verschmilzt mit On-Prem

Die Cloud Services Platform fasst Google Public Cloud und On-Prem-Server in einem konsistenten Framework zusammen. Mit der Cisco Hybrid Cloud Platform for Google Cloud können Kunden sich auch gleich die passende Hardware dafür ins eigene Rechenzentrum stellen. lesen

ownCloud 10.0.9 bringt „Pending Shares“

S3 Object Storage und Password Policy Extension für alle

ownCloud 10.0.9 bringt „Pending Shares“

Mit dem Sommer-Release von ownCloud können nun auch Community-Nutzer S3 Object Storage betreiben und die Password Policy Extension verwenden. Als wichtigste Neuerung von Version 10.0.9 beschreibt der Anbieter jedoch die „Pending Shares“-Funktion. lesen

Alta 4.2 unterstützt AIX, Solaris, EC2

Datenmanagement für hybride Cloud-Infrastrukturen

Alta 4.2 unterstützt AIX, Solaris, EC2

Rubrik hat Alta 4.2 vorgestellt. Die Cloud-Data-Management-Plattform soll nun auch eine breite Palette Cloud-nativer AWS EC2-Workloads sichern. Überdies unterstützt die Lösung jetzt Solaris und AIX. lesen

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Grenzenlose Kommunikation einer Non-Profit Organisation

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Viva con Agua de Sankt Pauli e.V. ist ein gemeinnütziger Verein, der sich weltweit für einen menschenwürdigen Zugang zu sauberem Trinkwasser und sanitärer Grundversorgung einsetzt. Da eine optimale Kommunikation intern und nach außen das A und O der Organisation ist, ist die gesamte IT-Infrastruktur des Vereins in der Cloud abgebildet. lesen

Cloud-Tools, strengerer Datenschutz und mehr KI

Prognose für 2018 von Rubrik: Datenmanagement hat viele Gesichter

Cloud-Tools, strengerer Datenschutz und mehr KI

Die Unternehmens-IT verändert sich. Der Trend geht von E-Mail zu Instant Messaging mit Slack und von relationalen Datenbanken zu NoSQL. Container, API-first-Architekturen und „Cloud-native“ Anwendungen bestimmen die IT-Strategien. lesen

Eco-Leitfaden unterstützt Provider im Umgang mit Ermittlungsbeamten

Eurocloud: Durchsuchung ist wichtiges Element der IT-Security-Policy

Eco-Leitfaden unterstützt Provider im Umgang mit Ermittlungsbeamten

Es passiert zwar nicht oft, aber immer unverhofft: Staatsanwaltliche Ermittlungen können jeden IT-, Daten- und Service-Provider treffen. Für diese, so teilt der Branchenverband Eurocloud Deutschland_eco e. V. mit, ist es ein Balanceakt zwischen Kooperation und Verpflichtungen gegenüber den Kunden. Gemeinsam mit der Sozietät Derra, Meyer & Partner Rechtsanwälte hat er dazu einen Leitfaden herausgegeben. lesen

In 90 Tagen zur DSGVO-Compliance

Microsoft Compliance Manager und Azure Information Protection

In 90 Tagen zur DSGVO-Compliance

Microsoft hat den Compliance Manager für Azure, Dynamics 365 und Office 365 Business and Enterprise in Public Clouds, den Compliance Score für Office 365 sowie den Azure Information Protection Scanner generell verfügbar gemacht. lesen

Arbeiten mit EGroupware und Collabora

Groupware, Dateiserver und Online-Office kombiniert

Arbeiten mit EGroupware und Collabora

Die Business-Software EGroupware steht ab Version 17.1 auch mit integriertem CRM-System zur Verfügung, inklusive Dateiserver und dem Online-Office-System Collabora. Die Lösung kann über die Cloud gebucht, aber auch im eigenen Rechenzentrum betrieben werden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45000891 / Definitionen)