Sicherheitsrichtlinie (IT-Security Policy)

Eine Sicherheitsrichtlinie (IT-Security Policy) ist ein verbindliches Regelwerk, das festlegt, wie eine Organisation mit Informationen, IT-Systemen und Sicherheitsrisiken umgeht. Sie umfasst übergeordnete Grundsätze (Informationssicherheitspolitik) sowie spezifische Vorgaben zu Zugriffskontrolle, Passwortsicherheit, Datensicherung und Incident Response. In IT-Ausschreibungen sollten Auftraggeber verlangen, dass Auftragnehmer eigene dokumentierte Sicherheitsrichtlinien nachweisen und deren Einhaltung im Rahmen des beauftragten Services sicherstellen, etwa durch Vorlage eines ISMS-Zertifikats nach ISO 27001.