Härtungsrichtlinie (Hardening Policy / Security Baseline Policy)

Eine Härtungsrichtlinie ist ein verbindliches internes Regelwerk, das für alle IT-Systeme einer Organisation definiert, welche Härtungsmaßnahmen mindestens umgesetzt sein müssen, bevor ein System in den Produktivbetrieb geht. Sie konkretisiert allgemeine Standards (CIS Benchmarks, BSI IT-Grundschutz) für die spezifischen IT-Systemtypen der Organisation (Webserver, Datenbankserver, Endpoints) und legt Ausnahmeprozesse fest. In IT-Vergaben für IT-Betrieb und Managed Services sollten Auftraggeber verlangen, dass der Auftragnehmer eine dokumentierte Härtungsrichtlinie vorlegt, regelmäßige Compliance-Scans durchführt und Ausnahmen formell genehmigt und dokumentiert.