Kostenloses Tool

ISMS-Richtlinien erstellen, die tatsächlich genutzt werden

Ein paar Fragen zum Unternehmen beantworten und eine praxistaugliche, strukturierte Richtlinie in Markdown erhalten — bereit zur Prüfung, Anpassung und Weitergabe an den nächsten Auditor oder Sicherheitsfragebogen.

8 Richtlinien, erstellt aus dem Unternehmensprofil

Informationssicherheitsrichtlinie

Die übergeordnete ISMS-Richtlinie: Sicherheitsziele, Governance und wie alle anderen Richtlinien zusammenspielen.

Zugriffskontrollrichtlinie

Wer worauf Zugriff erhält, wie Konten eingerichtet und entzogen werden und wie privilegierter Zugriff kontrolliert wird.

Richtlinie zur Reaktion auf Sicherheitsvorfälle

Erkennung, Eskalation, Eindämmung und Meldeschritte bei Sicherheitsvorfällen und Datenschutzverletzungen.

Richtlinie zur Geschäftskontinuität

Wie der Geschäftsbetrieb bei Ausfällen, Störungen und größeren Unterbrechungen aufrechterhalten und wiederhergestellt wird.

Datenschutzrichtlinie (DSGVO)

Rechtsgrundlage, Betroffenenrechte, Aufbewahrung und Pflichten von Auftragsverarbeitern nach der DSGVO.

Richtlinie zum Lieferanten- und Dienstleistermanagement

Wie Unterauftragsverarbeiter und Dienstleister hinsichtlich Sicherheitsrisiken bewertet, beauftragt und überwacht werden.

Richtlinie für sichere Softwareentwicklung

Sichere Programmierung, Code-Reviews, Abhängigkeitsmanagement und Änderungskontrolle für selbst entwickelte Software.

Richtlinie zur zulässigen Nutzung

Regeln für die Nutzung von Geräten, Konten und Daten des Unternehmens im Arbeitsalltag.

So sieht das Ergebnis aus

Ein gekürzter Ausschnitt aus einer erstellten Zugriffskontrollrichtlinie:

Zugriffskontrollrichtlinie

Zweck

Diese Richtlinie legt fest, wie [Company] Zugriff auf Systeme und Daten, die Kundendaten speichern oder verarbeiten, vergibt, überprüft und entzieht — damit nur autorisiertes Personal Zugriff auf das erhält, was für die jeweilige Aufgabe erforderlich ist.

Geltungsbereich

Gilt für alle Mitarbeitenden, Auftragnehmer und Dritte mit Zugriff auf Produktivsysteme, Cloud-Infrastruktur und Kundendaten von [Company].

Rollen und Verantwortlichkeiten

  • [OWNER] verantwortet diese Richtlinie und prüft sie jährlich.
  • IT/Engineering-Verantwortliche richten Konten ein und deaktivieren sie.
  • Führungskräfte genehmigen Zugriffsanfragen für die eigenen Teammitglieder.

Maßnahmen

Kontovergabe

  • Zugriff wird nach dem Prinzip geringster Rechte und Kenntnis nur bei Bedarf vergeben.
  • Neue Konten erfordern eine Genehmigung durch die zuständige Führungskraft vor der Einrichtung.

Zugriffsüberprüfungen

  • Zugriffsrechte auf Produktivsysteme werden vierteljährlich von [OWNER] überprüft.
  • Der Zugriff wird innerhalb von 24 Stunden nach Ausscheiden eines Mitarbeitenden entzogen.

Review-Zyklus

Diese Richtlinie wird mindestens jährlich oder nach einer wesentlichen Änderung der Infrastruktur von [Company] überprüft.

Ehrlicher Hinweis

Dieses Tool liefert einen soliden ersten Entwurf, keine Rechtsberatung. Jede erstellte Richtlinie mit jemandem prüfen, der die tatsächlichen Prozesse kennt, Platzhalter und Details anpassen und vor der offiziellen Nutzung durch die üblichen internen Freigaben bestätigen lassen.

Bereit für die eigene Richtlinie?

Kostenloses Konto erstellen und noch heute die ersten 2 Richtlinien generieren — keine Kreditkarte nötig.