Regeln können nur eingehalten werden, wenn es Regeln gibt

So einfach diese Erkenntnis ist, so wenig ist dies in vielen Unternehmen dokumentiert. Fehlt die Dokumentation fehlt dadurch die Transparenz und somit die Akzeptanz der Mitarbeiter, um in Hinblick auf IT Security mitzuhelfen und Ihr Unternehmen zu schützen. So lange Sie sich auf den "gesunden Menschenverstand" Ihrer Mitarbeiter verlassen, werden Sie überrascht sein, wie unterschiedlich dieser bei den einzelnen Personen ausgeprägt ist. Dies ist stark abhängig, wie vertraut Ihre Mitarbeiter mit IT-Technologie sind. Aus diesem Grund erarbeiten wir gemeinsam mit Ihnen verbindliche Regeln, die in der IT Security Policy festgelegt sind.

Die Security Policy teilt sich in drei Hierarchie-Ebenen.
Die oberste Ebene ist die Sicherheitsleitlinie, in der ein Unternehmen dokumentiert:

  • Was will das Unternehmen mit IT Security erreichen
  • Wie ist der Geltungsbereich
  • Wie sind die Verantwortlichkeiten geregelt
  • Wer muss sich an diese Regeln halten
  • Was passiert, wenn man sich nicht daran hält
  • Verweis auf gültige Gesetzesrichtlinien

Dieses Dokument wird von der Geschäftsleitung unterzeichnet und dient als Basis für die erfolgreiche Umsetzung der IT Security im Unternehmen.


Die nächste Ebene besteht aus mehreren Basisrichtlinien.
Die Basisrichtlinien kümmern sich um spezielle Angelegenheiten, wie z.B.

  • dienstlich / private Nutzung von Internet und E-Mail
  • Antivierenschutz
  • Passwortregelung

und sind alle in der gleichen Weise aufgebaut:

  • Warum gibt es diese Regel?
  • Geltungsbereich?
  • Wie lautet die Regel?
  • Was passiert, wenn man sich nicht daran hält

Die unterste Ebene beschreibt diese Regeln teilweise sehr technisch in Form von Benutzerhandbüchern.

avus bietet Ihnen die Sicherheitsleitlinie und die Basisrichtlinien plus weitere Richtlinien an, wobei die Dokumente rechtlich geprüft sind und dem aktuellen Stand der IT-Sicherheit entsprechen. Bei der Erstellung der Benutzerhand-bücher und technischen Anweisungen unterstützen wir Sie gerne; die Erstellung selbst wird aber sinnvollerweise von Ihnen durchgeführt.