Unterscheiden Sie eine Richtlinie, einen Standard, eine Prozedur und eine Leitlinie. Welche sind verbindlich?
Kurzantwort
Eine Richtlinie ist die übergeordnete verbindliche Absichtserklärung des Managements; ein Standard ist eine verbindliche konkrete Regel, die die Richtlinie durchsetzt (z. B. AES-256); eine Prozedur ist die verbindliche Schritt-für-Schritt-Anleitung; eine Leitlinie ist eine optionale Empfehlung. Richtlinien, Standards und Prozeduren sind verbindlich, während Leitlinien im Ermessen liegen.
Dies ist eine klassische CISSP-Definitionsfrage, und Interviewer nutzen sie, um zu prüfen, ob Sie präzise mit Führungskräften und Prüfern sprechen können. Diese Begriffe zu verwechseln signalisiert schwache Governance-Grundlagen.
Die Governance-Hierarchie
Stellen Sie sich diese Dokumente als Pyramide vor, die von der Absicht zur Ausführung fließt:
- Richtlinie — die oberste, breite Erklärung der Absicht und Ausrichtung des Managements. Sie sagt was und warum, wird von der obersten Leitung genehmigt und vermeidet bewusst konkrete Technologien, um über Jahre stabil zu bleiben. Verbindlich.
- Standard — eine konkrete, verbindliche Regel, die eine Richtlinie operationalisiert. „Alle ruhenden Daten müssen mit AES-256 verschlüsselt werden" ist ein Standard, der eine Verschlüsselungsrichtlinie durchsetzt. Verbindlich.
- Baseline — ein minimal akzeptables Konfigurationsniveau (z. B. ein gehärteter OS-Build), auf das Standards verweisen.
- Prozedur — die detaillierte Schritt-für-Schritt-Anleitung, die das Personal befolgen muss, um einen Standard zu erfüllen. Verbindlich.
- Leitlinie — eine empfohlene bewährte Praxis, die Flexibilität bietet, wo starre Regeln unpraktisch sind. Im Ermessen / optional.
Warum die Unterscheidung wichtig ist
Die Grenze zwischen verbindlich und optional ist der Kern der Antwort. Prüfer testen die Einhaltung gegen Richtlinien, Standards und Prozeduren, weil sie durchsetzbar sind; Leitlinien existieren, um das Urteilsvermögen in Situationen zu unterstützen, die ein Standard nicht vollständig vorhersehen kann. Technologiedetails aus Richtlinien herauszuhalten (und sie in Standards und Baselines zu verlagern) bedeutet, dass Sie Anbieter oder Algorithmen wechseln können, ohne vom Vorstand genehmigte Dokumente neu schreiben zu müssen.
Worauf Interviewer achten
Klare Definitionen in der richtigen Reihenfolge, die ausdrückliche Aussage, dass nur Leitlinien optional sind, und die Einsicht, dass Richtlinien technologieneutral sein sollten, während Standards und Prozeduren die Details tragen.
Wahrscheinliche Anschlussfragen
- Wo ordnen sich Baselines in dieser Hierarchie ein?
- Warum sollte eine Richtlinie konkrete Technologien oder Anbieter nicht benennen?
- Wer sollte eine Sicherheitsrichtlinie formell genehmigen?