Policy - Webseite der it-rm IT-Riskmanagement GmbH

Policy

Eine grosser Herausforderung bei der Umsetzung der IT-Sicherheit ist, dass viele Bestimmungen nur qualitative, aber keine quantitative Aussage enthalten. Z.B. "Die Personendaten sind angemessen zu schützen."

Als Techniker und Verantwortlicher stellt sich die Frage, welche Massnahmen nun angemessen sind, denn die Umsetzung von Massnahmen in der IT-Sicherheit ist mit Kosten, nicht aber mit möglichen Einnahmen verbunden. Vorschriften sollten technisch machbare oder erfüllbare Ziele enthalten.

Umgekehrt sind die Vorschriften für den Benutzer von IT-Anwendungen allgemein verständlich abzufassen. Ansonsten können aus Missverständnis Sicherheitsrisiken durch Fehlbedienung entstehen.  

Beim Erlassen von Vorschriften sollte das Prinzip "Nur so viel, wie unbedingt notwendig" beachtet werden. Zudem sollten sie in einem Unternehmen klar und allgemein verständlich kommuniziert und begründet werden.