Definition: Sicherung der Ablaufprozesse mit Policies

Was ist Policy Management?

| Autor / Redakteur: HJL / Florian Karlstetter

Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten.
Das Policy Management ist eine Aufgabe des IT-Sicherheitsbeauftragten. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Der Begriff "Policies" ist weit gespannt. Er bezeichnet Richtlinien, Statuten sowie Verhaltensregeln im Zusammenhang mit der Benutzung von Systemen, Diensten und Netzwerken. Das Policy Management setzt Rahmenbedingungen und sorgt für deren Einhaltung.

Im Fokus: Verantwortung und Kompetenz der Mitarbeiter: Statuten, Richtlinien und ein Verhaltenskodex regeln in Industrie, Wirtschaft sowie bei Behörden den Umgang und die Benutzung von Systemen, Diensten und Netzwerkarchitekturen. Die Interaktion der im IT-Bereich eines Unternehmens tätigen Mitarbeiter erfolgt mit System-Providern auf der einen und Kunden des Unternehmens auf der anderen Seite.

Das zu schaffende Regelwerk umfasst die Sicherheitspolitik in Verbindung mit den als Authorization Policy vorgegebenen Regeln zum Benutzerrecht. Hinzu kommen die unter dem Begriff AUP - Acceptable Use Policies - zusammengefassten Verhaltensvorschriften über akzeptablen Gebrauch und Nutzung der eingesetzten IT-Technik. So entsteht eine Art "Fingerabdruck". Bei dieser Betrachtung wird deutlich dass jedem einzelnen Mitarbeiter eine nicht zu unterschätzende Rolle bei der Einhaltung verabschiedeter Policies zukommt.

Die Policy als dokumentiertes Regelwerk

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit Hilfe externer Spezialisten einen Katalog an Musterdokumenten heraus gegeben. Darin wird aufgezeigt, welchen IT-Sicherheitsthemen im Sinne eines soliden Policy Managements besondere Bedeutung zukommt. Das vorliegende Übersichtsdokument gibt Empfehlungen zum Aufbau von Sicherheitsrichtlinien. Das Kompendium an Musterrichtlinien umfasst folgende Dokumentationen:

  • IT-Sicherheitsleitlinie
  • Richtlinie zur IT-Nutzung
  • Richtlinie zur Internet- und E-Mail-Nutzung
  • Richtlinie zum Outsourcing
  • Sicherheitshinweise für IT-Benutzer
  • Sicherheitshinweise für Administratoren
  • Viren-Schutzkonzept
  • Datensicherungskonzept
  • Notfallvorsorgekonzept
  • Archivierungskonzept.

Ein für jedes Unternehmen maßgeschneidert zu entwickelnder Katalog mit den verabschiedeten Sicherheitsrichtlinien bildet die Basis für ein aktives Policy Management für den IT-Bereich.

Die Rolle des Policy Managers

In größeren Unternehmen ist das gestaltende und kontrollierende IT Policy Management der Garant für Sicherheit und optimale Prozessabläufe. Spezielle Policy Management Programme dienen dem Schutz vor unliebsamen IT-Problemen. Doch damit nicht genug: Es beinhaltet auch Schutzmechanismen, die im Falle von Mitarbeiter-Verstößen greifen. Ein aktuelles Beispiel betrifft den Umgang mit Schadcodes, die im Zuge der Nutzung sozialer Netzwerke zur IT-Sicherheitsbedrohung geraten können. Über ein aktives Policy Management können die Zugangsmodalitäten fest gelegt und kontrolliert werden. Der Policy Manager übernimmt die Verantwortung für die Regelung des Datenverkehrs und sorgt für die erforderlichen Zugangskontrollen. Bei Bedarf verfügt er über die Kompetenzen, um soziale Netzwerke oder Cloud-Dienste für Mitarbeiter oder Unternehmensabteilungen zu sperren.

Betriebliche Regelungen gemeinsam mit dem Betriebsrat

Mit betrieblichen Regelungen über Inhalte und Ausgestaltung des Policy Managements sorgt die Unternehmensleitung für klare Verhältnisse. Sie legt verbindlich fest, was erlaubt ist und was nicht. Da die Zustimmung des Betriebsrats bei der Verabschiedung einer IT-Policy erforderlich ist, macht es Sinn, die Ausarbeitung in enger Zusammenarbeit mit der Mitarbeitervertretung vorzunehmen. Auf diesem Wege entsteht ein bindendes Regelwerk, das die solide Grundlage für ein aktives IT-Policy Management bildet.

Als Fazit aus dieser Betrachtung lässt sich die Notwendigkeit eines aktiven Policy Managements für den IT-Bereich betonen. Ein unter Einbindung des Betriebsrats umsichtig gestaltetes Regelwerk in Verbindung mit funktionierenden Kontrollmechanismen bildet die Grundlage für störungsfreie Abläufe mit besten Chancen für anhaltenden Unternehmenserfolg.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Edge Browser bringt Internet Explorer zurück

Microsoft zeigt Quantencomputing, Kubernetes und Kampagnen

Edge Browser bringt Internet Explorer zurück

Der Internet Explorer kehrt zurück, die Begrenzungen traditioneller Dokumente verblassen und Werkzeuge für Quantencomputing werden als Open Source bereitgestellt – das sind nur drei der zahlreichen Ankündigungen von Microsoft auf der Build 2019. lesen

Updates für die Cloud-Management-Suite vRealize von VMware

Hybrid Cloud Management

Updates für die Cloud-Management-Suite vRealize von VMware

Zum jüngsten Update der Suite vRealize gehören „vRealize Operations 7.5“, „vRealize Network Insight 4.1“, „vRealize Automation 7.6“ und „vRealize Suite Lifecycle Manager 2.1“. Hersteller VMware kombiniert die Module, um einen selbststeuernden Betrieb und verbesserte programmierbare Bereitstellungsfunktionen in Private und Hybrid Clouds liefern zu können. lesen

Google Anthos verwaltet Workloads in AWS

Mit Serverless und Containern auf der Jagd nach Workloads

Google Anthos verwaltet Workloads in AWS

Mit der Multi-Cloud-Plattform Anthos hat es Google auf die Enterprise Workloads dieser Welt abgesehen. Wie sich VMware-Maschinen automatisch in Container umwandeln und auf AWS verschieben lassen, konnten Besucher der Google Cloud Next '19 live erleben – wie VMware darüber denkt, auch. lesen

Backup & Recovery neu gedacht

Vom Band zum Cloud-Data-Management

Backup & Recovery neu gedacht

Wachsende Datenmengen, anspruchsvolle Anwendungsfälle und zunehmend raffiniertere Cyberbedrohungen stellen neue Anforderungen an Backup-Lösungen. lesen

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

[Gesponsert]

Grenzenlose Kommunikation einer Non-Profit Organisation

Die Cloud verbessert globale Zusammenarbeit von Viva con Agua

Viva con Agua de Sankt Pauli e.V. ist ein gemeinnütziger Verein, der sich weltweit für einen menschenwürdigen Zugang zu sauberem Trinkwasser und sanitärer Grundversorgung einsetzt. Da eine optimale Kommunikation intern und nach außen das A und O der Organisation ist, ist die gesamte IT-Infrastruktur des Vereins in der Cloud abgebildet. lesen

Daten aus Connected Cars rechtssicher auswerten

Forschungsprojekt beendet

Daten aus Connected Cars rechtssicher auswerten

Die Münchner TÜV-Süd-Tochter Uniscon hat die Ergebnisse des staatlich geförderten Datenschutz-Forschungsprojekts Car-Bits.de vorgestellt. Dabei ging es vor allem um die Frage, wie sich Informationen aus Connected Cars datenschutzkonform auswerten lassen. lesen

Azure Stack im eigenen Rechenzentrum installieren und betreiben

Azure-Dienste selbst bereitstellen

Azure Stack im eigenen Rechenzentrum installieren und betreiben

Mit Azure Stack erhalten Unternehmen eine hybride Cloud-Plattform. Dadurch lassen sich Azure-Dienste im eigenen Rechenzentrum betreiben und parallel Dienste in Microsoft Azure anbinden. Wir zeigen, wie die Azure-Erweiterung eingerichtet wird. lesen

Auf dem Weg in die Hybrid und Multi Cloud

Hürden erfolgreich nehmen

Auf dem Weg in die Hybrid und Multi Cloud

Alles in die Public Cloud? Was die großen Cloud-Anbieter vor gut zehn Jahren als das neue Mantra der Unternehmens-IT propagiert haben, scheint in der Unternehmensrealität in dieser Form nie zu 100 Prozent angekommen zu sein. Zu groß ist die Angst, die physikalische Hoheit über die Daten komplett aus der Hand zu geben, zu vielschichtig sind die technischen Herausforderungen, die der Einsatz von Cloud-Anwendungen mit sich bringt. lesen

Multi Cloud macht Cloud-Management unverzichtbar

Verwaltung heterogener IT-Umgebungen

Multi Cloud macht Cloud-Management unverzichtbar

Die Multi Cloud liegt im Trend: Immer mehr Unternehmen nutzen parallel unterschiedliche Cloud-Plattformen und Services. Die zentrale Herausforderung liegt dabei in der Komplexität der Verwaltung. Sinnvoll beizukommen ist ihr nur mit einer Cloud-Management-Plattform, die die integrative Verwaltung heterogener Private, Public, Hybrid und Multi Clouds unterstützt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45000891 / Definitionen)