Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumVorlage
Vorlage für Datenschutzrichtlinien

Vorlage für Datenschutzrichtlinien

Das Vorhandensein einer dokumentierten Datenschutzrichtlinie ist eine bewährte Methode für jede Organisation — insbesondere für solche, die strengen Datenschutzgesetzen wie dem California Consumer Privacy Act (CCPA) und der Datenschutz-Grundverordnung (DSGVO) der EU unterliegen.

Datensicherheitsrichtlinien behandeln in der Regel Themen wie Datenverschlüsselung, Passwortschutz und Zugriffskontrolle. Sie beschränken sich jedoch nicht nur auf technische Maßnahmen; sie sollten auch die administrativen und physischen Kontrollen detailliert beschreiben, die zum Schutz sensibler Informationen verwendet werden. Die Richtlinie muss auch die Rollen und Funktionen im Zusammenhang mit dem Datenschutz erklären.

Im Folgenden finden Sie eine Vorlage für eine Datenschutzrichtlinie eines Unternehmens, die Sie frei an die einzigartigen Sicherheits- und Compliance-Anforderungen Ihrer Organisation anpassen können.

Vorlage für die Datensicherheitsrichtlinie

Hier sind die wichtigsten Abschnitte, die in Ihre Datenschutzrichtlinie aufgenommen werden sollten, sowie einige Beispiele für Datenschutzrichtlinien zur Ansicht.

1. Zweck

In diesem Abschnitt erklären Sie, warum diese Richtlinie eingeführt wurde und was die Menschen nun erwarten können, da sie verwendet wird. Zum Beispiel:

Das Unternehmen muss den Zugang zu vertraulichen und sensiblen Daten einschränken, um zu verhindern, dass diese verloren gehen oder kompromittiert werden, da jeder Vorfall unsere Kunden negativ beeinflussen und zu Strafen wegen Nichteinhaltung sowie zu Schäden an unserem Ruf führen könnte. Gleichzeitig müssen wir sicherstellen, dass Benutzer bei Bedarf auf Daten zugreifen können, um effektiv arbeiten zu können.

Es wird nicht erwartet, dass diese Richtlinie alle böswilligen Datendiebstähle beseitigen kann. Vielmehr ist es ihr Hauptziel, das Bewusstsein der Nutzer zu schärfen und unbeabsichtigte Verlustszenarien zu vermeiden, daher beschreibt sie die besten Praktiken zur Verhinderung von Datenpannen.

2. Umfang

2.1 Im Geltungsbereich

In diesem Abschnitt listen Sie alle Bereiche auf, die unter die Richtlinie fallen, wie Datenquellen und -typen. Hier ist ein Beispiel für einen Abschnitt "In Scope" einer Datenschutzrichtlinie:

Diese Datenschutzrichtlinie gilt für alle Kundendaten, personenbezogenen Daten und andere Unternehmensdaten, die vom Unternehmen als sensibel eingestuft werden, gemäß der Netwrix Data Classification-Richtlinie. Daher betrifft sie jeden Server, jede Datenbank und jedes IT-System, das solche Daten verarbeitet, einschließlich aller Geräte, die regelmäßig für E-Mails, Webzugriff oder andere arbeitsbezogene Aufgaben verwendet werden. Jeder Benutzer, der mit den IT-Diensten des Unternehmens interagiert, unterliegt ebenfalls dieser Richtlinie.

2.2 Nicht im Geltungsbereich

Dieser Abschnitt ist der Bereich, in dem Sie festlegen, was von Ihrer Data Security Posture Management ausgeschlossen ist. Zum Beispiel:

Informationen, die als öffentlich eingestuft sind, unterliegen nicht dieser Richtlinie. Andere Daten können von der Unternehmensleitung aufgrund spezifischer Geschäftsanforderungen von der Richtlinie ausgenommen werden, beispielsweise wenn der Schutz der Daten zu kostspielig oder komplex ist.

3. Richtlinie

Dies ist der Hauptteil der Richtlinie, in dem Sie alle Richtlinienanforderungen festlegen. Hier ist ein Beispiel:

3.1 Prinzipien

Das Unternehmen stellt allen Mitarbeitern und beauftragten Dritten den Zugang zu den Informationen zur Verfügung, die sie benötigen, um ihre Aufgaben so effektiv und effizient wie möglich auszuführen.

3.2 Allgemein

a. Jeder Benutzer muss durch eine eindeutige Benutzer-ID identifiziert werden, damit Personen für ihre Handlungen zur Verantwortung gezogen werden können.

b. Die Verwendung gemeinsamer Identitäten ist nur dort gestattet, wo sie geeignet sind, wie bei Trainingskonten oder Servicekonten.

c. Jeder Benutzer muss diese Datenschutzrichtlinie lesen und eine Erklärung unterschreiben, dass er die Zugangsbedingungen verstanden hat.

d. Aufzeichnungen über Benutzerzugriffe können als Beweismittel für Untersuchungen von Sicherheitsvorfällen verwendet werden.

e. Der Zugang soll auf der Grundlage des Prinzips der geringsten Berechtigung erteilt werden, was bedeutet, dass jedem Benutzer, jeder Anwendung und jedem Dienst die geringsten notwendigen Berechtigungen zum Ausführen ihrer Aufgaben gewährt werden.

3.3 Zugriffskontrollautorisierung

Der Zugang zu IT-Ressourcen und Diensten des Unternehmens erfolgt über ein einzigartiges Benutzerkonto und ein komplexes Passwort. Konten werden von der IT-Abteilung auf Grundlage der Personalakten bereitgestellt.

Der IT-Service-Desk verwaltet Passwörter. Anforderungen an Passwortlänge, Komplexität und Ablauf sind in der company password policy festgelegt.

Die rollenbasierte Zugriffskontrolle (RBAC) wird verwendet, um den Zugriff auf alle dateibasierten Ressourcen in Active Directory-Domänen zu sichern.

3.4 Netzwerkzugriff

a. Allen Mitarbeitern und Auftragnehmern soll gemäß den Geschäfts-Zugriffskontrollverfahren und dem Prinzip der geringsten Berechtigung Netzwerkzugang gewährt werden.

b. Alle Mitarbeiter und Auftragnehmer mit Fernzugriff auf Unternehmensnetzwerke müssen ausschließlich über den VPN-Authentifizierungsmechanismus authentifiziert werden.

c. Die Trennung von Netzwerken soll gemäß den Empfehlungen der Netzwerksicherheitsforschung des Unternehmens umgesetzt werden. Netzwerkadministratoren sollen Informationsservices, Benutzer und Informationssysteme entsprechend gruppieren, um die erforderliche Segregation zu erreichen.

d. Netzwerk-Routing-Kontrollen müssen implementiert werden, um die Zugriffskontrollrichtlinie zu unterstützen.

3.5 Benutzerverantwortlichkeiten

a. Alle Benutzer müssen ihre Bildschirme sperren, wenn sie ihren Arbeitsplatz verlassen, um das Risiko eines unbefugten Zugriffs zu verringern.

b. Alle Benutzer müssen ihren Arbeitsplatz frei von sensiblen oder vertraulichen Informationen halten, wenn sie diesen verlassen.

c. Alle Benutzer müssen ihre Passwörter vertraulich behandeln und dürfen sie nicht teilen.

3.6 Anwendung und Informationszugriff

a. Allen Mitarbeitern und Auftragnehmern des Unternehmens soll Zugang zu den Daten und Anwendungen gewährt werden, die für ihre beruflichen Verantwortlichkeiten erforderlich sind.

b. Alle Firmenmitarbeiter und Auftragnehmer dürfen auf sensible Daten und Systeme nur zugreifen, wenn ein geschäftlicher Bedarf besteht und sie eine Genehmigung des höheren Managements haben.

c. Sensible Systeme müssen physisch oder logisch isoliert werden, um den Zugang ausschließlich autorisiertem Personal zu gewähren.

3.7 Zugang zu vertraulichen oder eingeschränkten Informationen

a. Der Zugang zu als 'Vertraulich' oder 'Eingeschränkt' klassifizierten Daten darf nur autorisierten Personen gewährt werden, deren berufliche Verantwortlichkeiten dies erfordern, wie durch die Datenschutzrichtlinie oder das höhere Management festgelegt.

b. Die Verantwortung für die Implementierung von Zugriffsbeschränkungen liegt bei der IT-Sicherheitsabteilung.

4. Technische Richtlinien

Die technischen Richtlinien in Ihrer Vorlage für die Datenschutzrichtlinie sollten alle Anforderungen für technische Kontrollen spezifizieren, die verwendet werden, um den Zugang zu Daten zu gewähren. Hier ist ein Beispiel:

Zu verwendende Zugriffskontrollmethoden umfassen:

  • Überwachung von Anmeldeversuchen auf jeglichen Geräten im Firmennetzwerk
  • Windows NTFS-Berechtigungen für Dateien und Ordner
  • Rollenbasiertes Zugriffsmodell
  • Zugriffsrechte für Server
  • Firewall-Berechtigungen
  • Netzwerkzone und VLAN-ACLs
  • Web-Authentifizierungsrechte
  • Datenbankzugriffsrechte und ACLs
  • Verschlüsselung im Ruhezustand und während der Übertragung
  • Netzwerksegmentierung

Zugriffskontrolle gilt für alle Netzwerke, Server, Arbeitsstationen, Laptops, mobile Geräte, Webanwendungen, Websites, Cloud-Speicher und -Dienste.

5. Berichtsanforderungen

Dieser Abschnitt beschreibt die Anforderungen für die Meldung von Vorfällen, die auftreten. Alle Mitarbeiter sollten verpflichtet werden zu lernen, wie man Vorfälle meldet.

a. Tägliche Vorfallberichte sollen von der IT-Sicherheitsabteilung oder dem Incident Response Team erstellt werden.

b. Die IT-Sicherheitsabteilung soll wöchentliche Berichte über alle Vorfälle erstellen und diese an den IT-Manager oder Direktor senden.

c. Vorfälle mit hoher Priorität, die von der IT-Sicherheitsabteilung entdeckt werden, müssen umgehend an den IT-Manager eskaliert werden.

d. Die IT-Sicherheitsabteilung soll auch einen monatlichen Bericht erstellen, der die Anzahl der IT-Sicherheitsvorfälle und den Prozentsatz der gelösten Vorfälle zeigt.

6. Eigentum und Verantwortlichkeiten

Hier sollten Sie festlegen, wem was gehört und wer für welche Aktionen und Kontrollen verantwortlich ist. Hier sind einige gängige Rollen:

  • Datenbesitzer sind Mitarbeiter, die die Hauptverantwortung für die Pflege der Informationen tragen, die sie besitzen, wie zum Beispiel ein Geschäftsführer, Abteilungsleiter oder Teamleiter.
  • Information Security Administrator ist ein vom IT-Management bestimmter Mitarbeiter, der administrative Unterstützung bei der Implementierung, Überwachung und Koordination von Sicherheitsverfahren und -systemen für bestimmte Informationsressourcen bietet.
  • Benutzer umfassen alle Personen mit Zugang zu Informationsressourcen, wie Mitarbeiter, Treuhänder, Auftragnehmer, Berater, Zeitarbeiter und Freiwillige.
  • Das Incident Response Team wird von einem Vorstandsmitglied geleitet und umfasst Mitarbeiter aus Abteilungen wie IT-Infrastruktur, IT-Anwendungssicherheit, Recht, Finanzdienstleistungen und Personalwesen.

7. Durchsetzung

Dieser Absatz sollte die Strafen für Verstöße gegen die Zugangskontrolle klar darlegen, sodass kein Raum für Missverständnisse bleibt. Zum Beispiel:

Jeder Benutzer, der gegen diese Richtlinie verstößt, unterliegt disziplinarischen Maßnahmen, bis hin zur Beendigung des Arbeitsverhältnisses. Jeder Drittanbieter oder Auftragnehmer, der gegen die Richtlinie verstößt, kann die Netzwerkverbindung gekündigt bekommen.

8. Definitionen

Dieser Absatz definiert alle technischen Begriffe, die in der Richtlinie verwendet werden, damit die Leser genau wissen, was gemeint ist. Hier sind einige Beispiele:

  • Zugriffssteuerungsliste (ACL): Eine Liste von Zugriffssteuerungseinträgen (ACEs). Jeder ACE in einer ACL identifiziert einen Treuhänder und spezifiziert die für diesen Treuhänder erlaubten, verweigerten oder geprüften Zugriffsrechte.
  • Datenbank: Eine strukturierte Sammlung von Daten, die in der Regel elektronisch gespeichert und von einem Computersystem abgerufen wird.
  • Verschlüsselung: Der Prozess des Kodierens einer Nachricht oder anderer Informationen, sodass nur autorisierte Parteien darauf zugreifen können.
  • Firewall: Eine Technologie, die zur Isolierung eines Netzwerks von einem anderen verwendet wird. Firewalls können eigenständig sein oder in andere Geräte integriert werden, wie Router oder Server.
  • Netzwerksegmentierung: Die Aufteilung des Netzwerks in logische oder funktionale Einheiten, die als Zonen bezeichnet werden. Die Segmentierung hilft dabei, die seitliche Bewegung von Bedrohungsakteuren durch das Netzwerk zu verhindern.
  • Rollenbasierte Zugriffskontrolle (RBAC): Ein Modell zur Vergabe von Berechtigungen basierend auf den beruflichen Funktionen eines Benutzers.
  • Server: Ein Computerprogramm oder Gerät, das Funktionen für andere Programme oder Geräte bereitstellt, die als Clients bezeichnet werden.
  • Virtuelles privates Netzwerk (VPN): Eine sichere private Netzwerkverbindung über ein öffentliches Netzwerk.
  • VLAN (virtual LAN): Eine logische Gruppierung von Geräten im gleichen Broadcast-Domäne.

9. Verwandte Dokumente

Dieser Abschnitt listet alle mit der Richtlinie verbundenen Dokumente auf und stellt Links zu diesen bereit. Diese Liste könnte Links zu den folgenden Informationen enthalten:

10. Versionshistorie

Eine Datenschutzrichtlinie sollte regelmäßig überprüft und erweitert werden, um neue Vermögenswerte und Operationen abzudecken, sobald sie Ihrem Unternehmen hinzugefügt werden. Jede Änderung sollte dokumentiert werden, wie unten dargestellt.

Version


Datum

Autor

Änderungen

1.0

12. Juni 2019

J.Smith, IT-Manager

Erstversion

2.0

14. Juli 2022

J. Smith, IT-Manager

Aktualisierte Definitionsliste

Fazit

Diese Beispiele für Datenschutzrichtlinien sollen einen Rahmen bieten, um eine einzigartige Richtlinie zu erstellen, die für Ihre Organisation funktioniert. Bemühen Sie sich um eine Balance zwischen starkem Datenschutz und Benutzerproduktivität sowie Komfort und stellen Sie sicher, dass Ihre Richtlinie zugänglich, prägnant und leicht zu verstehen ist.

Netwrix Auditor

Richten Sie Ihre Datenschutzbemühungen auf den Schutz Ihrer wichtigsten Vermögenswerte aus

Eine Demo erhalten

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management