Weg von Alibi-Richtlinien

Im Zuge der Einführung eines ISMS nach ISO 27001, TISAX® oder NIS2 besteht für jedes Unternehmen das Erfordernis neue Richtlinien zu erstellen. Viele Unternehmen werden, wie in der Vergangenheit auch, Alibi-Richtlinien erstellen, um einem Prüfer oder Auditor gerecht zu werden. Nicht mehr, nicht weniger.

Bezogen auf ein Managementsystem für Informationssicherheit sind das beispielsweise: Sicherheitsrichtlinien, Risikomanagementrichtlinie, Richtlinie zur Sicherheit von Lieferketten, Zugangssteuerungsrichtlinie und die Richtlinie zum Umgang mit Cybersicherheitsvorfällen.

Aber welche Indikatoren gibt es, um Alibi-Richtlinien zu erkennen und wie schaffen Informationssicherheitsverantwortliche es mit ansprechenden Richtlinien einen tatsächlichen Mehrwert für das Unternehmen zu erstellen?

Indikatoren für Alibi-Richtlinien

Um festzustellen, ob es in Ihrem Unternehmen Alibirichtlinien gibt, betrachten Sie die jeweilige Richtlinie unter folgenden Gesichtspunkten und beantworten Sie für sich die jeweiligen Fragen.

Aktualität

Viele Richtlinien entsprechen nicht mehr den aktuellen Gegebenheiten oder passen zu Entwicklungen im Unternehmen – geschäftlich, organisatorisch oder unternehmenspolitisch.

Ist die zu prüfende Richtlinie bezogen auf die Gegebenheiten im Unternehmen noch aktuell?
Gibt es Richtlinien die länger als 2 Jahre nicht aktualisiert wurde?

Wirksamkeit und Nutzen

Das A und O einer Richtlinie ist, dass sie nicht nur erstellt, sondern im Berufsalltag von den MitarbeiterInnen angewendet wird. Ist das nicht der Fall, gibt es keinen Nutzen für die Organisation.

Wird die jeweilige Richtlinie von den Betroffenen angenommen und beachtet?
Sind die dazugehörigen Prozesse mit der Richtlinie abgeglichen und ggf. adaptiert worden?
Falls nicht, warum wird die Richtlinie nicht angenommen und beachtet?
Wurden relevante Prozesse in der Richtlinie berücksichtigt?
Gibt es Konsequenzen für die Nichtbeachtung der Richtlinien?

Komplexität

Häufig wird eine Richtlinie nicht beachtet, weil Sie zu komplex, zu umfangreich und zu wenig praxisorientiert ist.

Wird die Richtlinie verstanden oder ist sie zu kompliziert?
Gibt es zu viele Richtlinien, die den MitarbeiterInnen oft gar nicht bekannt sind?

Kommunikation

Zu guter Letzt werden Richtlinien sehr oft nicht ausreichend kommuniziert und sind vielen Mitarbeitern schlichtweg gar nicht bekannt.

Wurde bzw. wird alles getan, um die Richtlinie und deren Notwendigkeit im Unternehmen zu kommunizieren?
Haben alle, die einer Richtlinie unterliegen auch darauf Zugriff?
Wurden sie ausreichend geschult in Bezug auf die Anwendung der Richtlinie?

Empfehlungen zur Steigerung der Wirksamkeit

Sichern Sie sich die Unterstützung der Unternehmensleitung

Setzen Sie organisatorisch ein internes Projekt auf, das das Ziel verfolgt, alle bestehenden Richtlinien unter den oben genannten Aspekten zu prüfen. Im Idealfall übernimmt die Patronanz jemand aus der obersten Führungsebene, um dem Projekt im Unternehmen die erforderliche Gewichtung zu geben.

Analyse nach Aktualität, Wirksamkeit, Komplexität und Kommunikation

Betrachten Sie jede Richtlinie unter den oben genannten 4 Themenbereichen und erstellen Sie eine individuelle Bewertung. Aus der Betrachtung und daraus resultierenden Bewertung leiten sich eindeutige Handlungsnotwendigkeiten ab.

Adaptieren Sie die Richtlinien

Setzen Sie alles, was aus Ihrer Analyse hervorgeht, um und erstellen Sie eine adaptierte Richtlinie.

Aus unserer Erfahrung sind dabei folgende Punkte zielführend, wenn es darum geht aus Alibi-Richtlinien „echte“ Richtlinien zu machen:

„Reduce to the Max“

Reduzieren Sie den Umfang und gestalten Sie knackige Richtlinien mit Praxisbeispielen.

„Richtlinien Verantwortung“

Sollten es das nicht geben: Definieren Sie je Richtlinie eine(n) Verantwortliche(e). Der/die jeweilige Verantwortliche soll die regelmäßige Aktualisierung und die kontinuierliche Verbesserung der Inhalte übernehmen.

„Einbezug der Fachbereiche“

Alle Fachbereiche die die Richtlinien einhalten sollen müssen in der Planungsphase der Richtlinien einbezogen werden und Rückmeldungen zu den Entwürfen müssen sorgfältig abgewogen und konstruktiv berücksichtigt werden.

„Vorgaben, aber keine konkreten Umsetzungen“

Richtlinien sollten klare Vorgaben für die Umsetzung in den Fachbereichen beinhalten, aber keine spezifische Umsetzung festschreiben. Z.B. die Vorgabe welche Informationen bei einem IT-Asset-Management erhoben werden müssen, aber nicht mit welchem Tool das Asset-Management durchgeführt wird.

„Keine Überlastung der Fachbereiche“

Bei der Entwicklung von Richtlinien verzichten Sie darauf einzelne Abteilungen im Zuge der Umsetzung zu überlasten. Starten sie bei neuen Richtlinien im ersten Jahr mit realistisch umsetzbaren Zielen, jedoch können Sie bei der Überarbeitung im Folgejahr die Anforderungen schrittweise angehoben werden.

„zielgerichtete Kommunikation“

Kommunizieren Sie die Richtlinie frühzeitig und an alle relevanten Parteien – entwickeln Sie hierzu gemeinsam mit der Personal- und Marketingabteilung ein Konzept,

Schulen Sie die Richtlinie ausreichend und in regelmäßigen Abständen. Berücksichtigen Sie dabei aber ausschließlich die Zielgruppe der jeweiligen Richtlinien.

Compliance Management Systeme können helfen die Akzeptanz der Richtlinien durch die MitarbeiterInnen zu dokumentieren.

„Zeigen Sie Konsequenz“

Führungskräfte müssen eine Vorbildfunktion bei der Einhaltung von Richtlinien einnehmen. MitarbeiterInnen die Vorgaben aus Richtlinien nicht kennen oder diese nicht einhalten müssen über die Wichtigkeit der Inhalte aufgeklärt und nachgeschult werden. Vorsätzliches Nichteinhalten von Richtlinien muss geahndet werden.

Weg von Alibi-Richtlinien