Der folgende Artikel erläutert die Notwendigkeit einer Sicherheits-Policy als eine erste Ableitung aus dem Business-Plan. Es wird der Aufbau einer Policy beschrieben und der Übergang zur Nutzung der Policy in ein Gesamtwerk dargelegt.
Wir leben in einer Gesellschaft in der Handschlag weitestgehend durch schriftliche Verträge ersetzt wurde. Wir vertrauen auf das unterzeichnete Papier und nehmen es ebenso als Grundlage, wenn es um die Klärung von Differenzen nach Vertragsunterzeichnung geht. Es ist ein Vereinbarungsdokument bzw. die Dokumentation einer Übereinkunft zweier oder mehrerer Beteiligter.
Wenn wir eine neue Arbeit in einem neuen Unternehmen beginnen, sind wir auf Hilfestellungen und Vorgaben angewiesen damit wir uns schneller an die uns neuen „Gepflogenheiten“ anpassen können.
Beides, also schriftliche Vereinbarungen sowie Hilfestellungen zur Erledigung einer Aufgabe, finden wir in einer Policy wieder. Aus dem Englischen ins Deutsche übersetzt, handelt es sich bei einer „Policy“ um eine dokumentierte „Strategie“ oder „Verfahrensweise“.
Unternehmer schreiben Ihren Business-Plan auf bzw. führen eine Finanzplanung fort, um die Geschäftsstrategie im Auge und den nötigen Gewinn als Ziel zu haben. Der Unternehmer dokumentiert in seinem Business-Plan die Unternehmens-Strategie und legt den Grundstein für eine davon abzuleitende Verfahrensanweisung für sein Team.
Der Business-Plan beschreibt was für das Geschäft wichtig ist, wie Umsätze zu erzielen sind, welche Kunden adressiert werden müssen und welche Produktionsprozesse notwendig sind. Er zeigt auf was genau für das Unternehmen aufrecht erhalten werden muss. Die Produktion muss laufen und die Umsätze dürfen nicht einbrechen, denn sonst geht die ursprüngliche Strategie nicht auf. Es muss sicher gestellt werden dass der Kunde durchgehend einen Wert geliefert bekommt, was wiederum durch Einnahmen ausgeglichen wird. Der sicherzustellende Wert kann eine Kombination von Rezepturen, Wissen oder einfach Kapital in Form von Werkzeugen, Maschinen und Rohmaterial sein. Es erfolgt eine Art Veredelung oder Konvertierung eines Gutes in ein höherwertigeres oder anderes Gut.
Der Business-Plan braucht die Unterstützung von Prozessen, Maschinen, Menschen und Technologie. Eine Umsetzungsrichtlinie wird entweder ausschließlich in den Köpfen der Mitarbeiter präsent oder in einer Policy schriftlich fest gehalten. Doch wie genau wird sicher gestellt dass der Plan stabil bleibt? Wo genau steht geschrieben wie aus Fehlern gelernt wird oder was zu tun ist wenn eine Komponente ausfällt. Ist das überhaupt ein Problem wenn die Anlieferung eines bestimmten Rohstoffs ausbleibt? Bricht der Umsatz ein, wenn kein Papier mehr geliefert wird? Bei einer reinen Software-Schmiede ist das vermutlich überhaupt kein Problem. Eine Druckerei braucht in diesem Fall einen Notfallplan.
In einer Security-Policy wird genau notiert welche Komponenten für die Abwicklung von Kundenaufträgen notwendig sind. Sie ergänzt die Informationen aus dem Business-Plan. Eine Security-Policy konzentriert sich auf die Aufrechterhaltung der Produktion, Beratung oder Dienstleistung. Sie gibt vor was für die Zielerreichung wichtig ist, und wie dieses „etwas“ zu schützen ist. Neue Mitarbeiter im Team nehmen die Security-Policy zur Kenntnis und richten sich nach ihr. Sie tragen gemeinsam die Verantwortung zur Aufrechterhaltung des Geschäfts und finden in ihr Verfahrensanweisungen zur Erledigung ihrer Arbeit.
Die Geschäftsführung erwartet vom Mitarbeiter die Einhaltung dieser Policy. Ansonsten läuft das Unternehmen Gefahr die strategischen Ziele nicht zu erreichen. Daher ist eine Security-Policy bei vielen Unternehmen fester Bestandteil des Vertrages mit den Mitarbeitern. Manche Unternehmen nehmen die Security-Policy sogar als Grundlage für Vereinbarungen mit Vertragspartnern oder prüfen die Security-Policies Ihrer Lieferanten. Sie müssen zusammen passen, denn sie beschreiben die Werte der jeweiligen Unternehmen.
Eine Security-Policy ist ein lebendes Dokument. Sie kann zu jedem Zeitpunkt erstellt werden und wird verändert, ergänzt und ist Grundlage für alle abgeleiteten Sicherheits-Maßnahmen im Unternehmen.
Nach der Benennung der zu schützenden Werte beschreibt eine Security-Policy die Organisationsverantwortlichen für das Thema Sicherheit. Ebenso schreibt die Policy den Zyklus vor, in dem sie überarbeitet werden muss damit sie aktuell bleibt. Sie beschreibt wie mit Risiken umgegangen wird und wie Mitarbeiter vertrauliche Werte zu schützen haben.
Ausgehend von der Security-Policy können dann die abzuleitenden Vorgaben für einzelne Organisationsbereiche definiert werden. Häufig nennt man die Kombination von mehreren Policies, Prozeduren und Richtlinien dann „Rahmenwerk“ welches im Informations-Sicherheits-Management-System (ISMS) angewendet wird.
Lassen Sie sich also nicht davon aufhalten eine solche Sicherheits-Policy zu erstellen. Sie ist die Basis für Ihr erfolgreiches Geschäft.