Regelwerk Informationssicherheit

nosemen88 · 12. November 2019 um 20:31

Hi Leute wie geht es euch? Könnt Ihr mir kurz helfen? Für mich wäre die Antwort A!
Was sagt ihr?LG

Welche der folgenden Möglichkeiten stellt ein zwingendes Regelwerk dar, nach dem sich die Computer- bzw. Informationssicherheit ausrichten muss
a) Norm
b) Sicherheitspolitik
c) Leitlinie oder
d) Verfahren

anon47799868 · 12. November 2019 um 20:31

Hallo!ich gehe mal davon aus, dass die Frage im Unternehmenszusammenhang gestellt ist. Dann ist d) und b) richtig. Die Sicherheitspolitik des Unternehmens und die entsprechenden Verfahren sind von den Mitarbeitern zwingend anzuwenden, da diese vom Arbeitgeber/Unternehmen festgelegt wurden.In diesem Zusammenhang sind Normen kein Muss, sondern sie können herangezogen werden, müssen aber nicht. Wird eine Norm in den Unternehmens-Verfahren zur Anwendung gebracht, dann ist sie natürlich wieder verbindlich.

Schöne Grüße

Christian_Katz · 12. November 2019 um 20:35

Begriffe sind Glückssache, drum wage ich eine kurze Definition:

Norm:
beschreibt Anforderungen (z.B. ISO 27001) oder ist ein allgemein gültiger Leitfaden (z.B. ISO 27002).

Sicherheitspolitik:

die obersten Grundsätze zur Unternehmenssicherheit
oder eine Sammlung von Regeln oder Weisungen, welche einzuhalten sind.

Leitlinie:

die obersten Grundsätze des Unternehmens, z.B. IS-Leitlinie

Verfahren:
konkrete Anweisungen, welche in einem bestimmten Prozessschritt einzuhalten sind. Meistens sind dies konkrete Regeln, die beschreiben, wie ein Teil der Leitlinie oder Sicherheitspolitik umzusetzen ist.

ich hoffe, dass die Antwort auf die Ursprungsfrage zwischen meinen Zeilen sichtbar wird!

Fritze · 12. November 2019 um 20:42

Hallo,

Sicherheitspolitik:

die obersten Grundsätze zur Unternehmenssicherheit

oder eine Sammlung von Regeln oder Weisungen, welche
einzuhalten sind.

Au weia sind per Google Translator übersetze Multiple Choice Prüfungen dämlich. Was ist das denn für eine gruselige Übersetzung aus dem Englischen? Das war sicher mal eine „Security Policy“, was auf Deutsch „Sicherheitsrichtlinie“ heißt. Sicherheitspolitik überlassen wir i.A. den Damen und Herren in Berlin, die dafür gewählt wurden.

In sofern verstehe ich diese Antworten nicht. Was ist denn der Unterschied zwischen einer Richtlinie und einer Leitlinie?

Vielleicht sollte man sich beim Lernen für irgendwelche ISO 27k oder COBIT oder ähnliche Schulungen lieber auf die englische Dokumentation verlassen und die Prüfung im Zweifel auch lieber auf Englisch machen.

Da gibt es dann die Hierarchie: Policy, Process, Procedure. Darüber die formalen Rechtsnormen in Form von Gesetzen

Law - Gesetz (Begrenzt den eigenen Handlungsspielraum und gibt Regeln vor, z.B. BDSG)
Policy - Richtlinie
Process - Prozess
Procedure - Verfahren, Handlungsanweisung

Letztere ist dann die konkrete „mach das so und so“ Anweisung für Mitarbeiter.

Gruß

Fritze