Definition: Sicherung der Ablaufprozesse mit Policies

Was ist Policy Management?

| Autor / Redakteur: HJL / Florian Karlstetter

Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten.
Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Der Begriff "Policies" ist weit gespannt. Er bezeichnet Richtlinien, Statuten sowie Verhaltensregeln im Zusammenhang mit der Benutzung von Systemen, Diensten und Netzwerken. Das Policy Management setzt Rahmenbedingungen und sorgt für deren Einhaltung.

Im Fokus: Verantwortung und Kompetenz der Mitarbeiter: Statuten, Richtlinien und ein Verhaltenskodex regeln in Industrie, Wirtschaft sowie bei Behörden den Umgang und die Benutzung von Systemen, Diensten und Netzwerkarchitekturen. Die Interaktion der im IT-Bereich eines Unternehmens tätigen Mitarbeiter erfolgt mit System-Providern auf der einen und Kunden des Unternehmens auf der anderen Seite.

Das zu schaffende Regelwerk umfasst die Sicherheitspolitik in Verbindung mit den als Authorization Policy vorgegebenen Regeln zum Benutzerrecht. Hinzu kommen die unter dem Begriff AUP - Acceptable Use Policies - zusammengefassten Verhaltensvorschriften über akzeptablen Gebrauch und Nutzung der eingesetzten IT-Technik. So entsteht eine Art "Fingerabdruck". Bei dieser Betrachtung wird deutlich dass jedem einzelnen Mitarbeiter eine nicht zu unterschätzende Rolle bei der Einhaltung verabschiedeter Policies zukommt.

Die Policy als dokumentiertes Regelwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Hilfe externer Spezialisten einen Katalog an Musterdokumenten heraus gegeben. Darin wird aufgezeigt, welchen IT-Sicherheitsthemen im Sinne eines soliden Policy Managements besondere Bedeutung zukommt. Das vorliegende Übersichtsdokument gibt Empfehlungen zum Aufbau von Sicherheitsrichtlinien. Das Kompendium an Musterrichtlinien umfasst folgende Dokumentationen:

  • IT-Sicherheitsleitlinie
  • Richtlinie zur IT-Nutzung
  • Richtlinie zur Internet- und E-Mail-Nutzung
  • Richtlinie zum Outsourcing
  • Sicherheitshinweise für IT-Benutzer
  • Sicherheitshinweise für Administratoren
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept
  • Archivierungskonzept.

Ein für jedes Unternehmen maßgeschneidert zu entwickelnder Katalog mit den verabschiedeten Sicherheitsrichtlinien bildet die Basis für ein aktives Policy Management für den IT-Bereich.

Die Rolle des Policy Managers

In größeren Unternehmen ist das gestaltende und kontrollierende IT Policy Management der Garant für Sicherheit und optimale Prozessabläufe. Spezielle Policy Management Programme dienen dem Schutz vor unliebsamen IT-Problemen. Doch damit nicht genug: Es beinhaltet auch Schutzmechanismen, die im Falle von Mitarbeiter-Verstößen greifen. Ein aktuelles Beispiel betrifft den Umgang mit Schadcodes, die im Zuge der Nutzung sozialer Netzwerke zur IT-Sicherheitsbedrohung geraten können. Über ein aktives Policy Management können die Zugangsmodalitäten fest gelegt und kontrolliert werden. Der Policy Manager übernimmt die Verantwortung für die Regelung des Datenverkehrs und sorgt für die erforderlichen Zugangskontrollen. Bei Bedarf verfügt er über die Kompetenzen, um soziale Netzwerke oder Cloud-Dienste für Mitarbeiter oder Unternehmensabteilungen zu sperren.

Betriebliche Regelungen gemeinsam mit dem Betriebsrat

Mit betrieblichen Regelungen über Inhalte und Ausgestaltung des Policy Managements sorgt die Unternehmensleitung für klare Verhältnisse. Sie legt verbindlich fest, was erlaubt ist und was nicht. Da die Zustimmung des Betriebsrats bei der Verabschiedung einer IT-Policy erforderlich ist, macht es Sinn, die Ausarbeitung in enger Zusammenarbeit mit der Mitarbeitervertretung vorzunehmen. Auf diesem Wege entsteht ein bindendes Regelwerk, das die solide Grundlage für ein aktives IT-Policy Management bildet.

Als Fazit aus dieser Betrachtung lässt sich die Notwendigkeit eines aktiven Policy Managements für den IT-Bereich betonen. Ein unter Einbindung des Betriebsrats umsichtig gestaltetes Regelwerk in Verbindung mit funktionierenden Kontrollmechanismen bildet die Grundlage für störungsfreie Abläufe mit besten Chancen für anhaltenden Unternehmenserfolg.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Azure Stack im eigenen Rechenzentrum installieren und betreiben

Azure-Dienste selbst bereitstellen

Azure Stack im eigenen Rechenzentrum installieren und betreiben

Mit Azure Stack erhalten Unternehmen eine hybride Cloud-Plattform. Dadurch lassen sich Azure-Dienste im eigenen Rechenzentrum betreiben und parallel Dienste in Microsoft Azure anbinden. Wir zeigen, wie die Azure-Erweiterung eingerichtet wird. lesen

Auf dem Weg in die Hybrid und Multi Cloud

Hürden erfolgreich nehmen

Auf dem Weg in die Hybrid und Multi Cloud

Alles in die Public Cloud? Was die großen Cloud-Anbieter vor gut zehn Jahren als das neue Mantra der Unternehmens-IT propagiert haben, scheint in der Unternehmensrealität in dieser Form nie zu 100 Prozent angekommen zu sein. Zu groß ist die Angst, die physikalische Hoheit über die Daten komplett aus der Hand zu geben, zu vielschichtig sind die technischen Herausforderungen, die der Einsatz von Cloud-Anwendungen mit sich bringt. lesen

Multi Cloud macht Cloud-Management unverzichtbar

Verwaltung heterogener IT-Umgebungen

Multi Cloud macht Cloud-Management unverzichtbar

Die Multi Cloud liegt im Trend: Immer mehr Unternehmen nutzen parallel unterschiedliche Cloud-Plattformen und Services. Die zentrale Herausforderung liegt dabei in der Komplexität der Verwaltung. Sinnvoll beizukommen ist ihr nur mit einer Cloud-Management-Plattform, die die integrative Verwaltung heterogener Private, Public, Hybrid und Multi Clouds unterstützt. lesen

Grundlagen der Cloud Access Security Broker (CASB)

Datenschutz und Datennutzung in der Cloud

Grundlagen der Cloud Access Security Broker (CASB)

Ein Cloud Access Security Broker (CASB) überwacht und protokolliert den Datenverkehr zwischen Cloud-Anwendungen und ihren Nutzern und setzt gleichzeitig auch Security-Policies um. Ein CASB arbeitet on-premises oder in der Cloud und sorgt dafür, dass Unternehmen ihre Sicherheitsrichtlinien nicht nur innerhalb ihrer Infrastruktur durchsetzen können, sondern auch in der Cloud. lesen

Herausforderung in Active Directory erkennen und lösen

Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher. lesen

Google Cloud verschmilzt mit On-Prem

Cloud Services Platform vereint Kubernetes Engine und Istio

Google Cloud verschmilzt mit On-Prem

Die Cloud Services Platform fasst Google Public Cloud und On-Prem-Server in einem konsistenten Framework zusammen. Mit der Cisco Hybrid Cloud Platform for Google Cloud können Kunden sich auch gleich die passende Hardware dafür ins eigene Rechenzentrum stellen. lesen

ownCloud 10.0.9 bringt „Pending Shares“

S3 Object Storage und Password Policy Extension für alle

ownCloud 10.0.9 bringt „Pending Shares“

Mit dem Sommer-Release von ownCloud können nun auch Community-Nutzer S3 Object Storage betreiben und die Password Policy Extension verwenden. Als wichtigste Neuerung von Version 10.0.9 beschreibt der Anbieter jedoch die „Pending Shares“-Funktion. lesen

Alta 4.2 unterstützt AIX, Solaris, EC2

Datenmanagement für hybride Cloud-Infrastrukturen

Alta 4.2 unterstützt AIX, Solaris, EC2

Rubrik hat Alta 4.2 vorgestellt. Die Cloud-Data-Management-Plattform soll nun auch eine breite Palette Cloud-nativer AWS EC2-Workloads sichern. Überdies unterstützt die Lösung jetzt Solaris und AIX. lesen

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Grenzenlose Kommunikation einer Non-Profit Organisation

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Viva con Agua de Sankt Pauli e.V. ist ein gemeinnütziger Verein, der sich weltweit für einen menschenwürdigen Zugang zu sauberem Trinkwasser und sanitärer Grundversorgung einsetzt. Da eine optimale Kommunikation intern und nach außen das A und O der Organisation ist, ist die gesamte IT-Infrastruktur des Vereins in der Cloud abgebildet. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45000891 / Definitionen)