Im IT-Administrationsbereich beschreibt der Begriff Policy (deutsch: Richtlinie) ein verbindliches Regelwerk, das festlegt, wie IT-Ressourcen genutzt, geschützt und verwaltet werden.
Man unterscheidet in der Administration grundsätzlich zwei Ebenen:
1. Die organisatorische Policy (Regelwerk)
Dies ist ein Dokument, das Verhaltensregeln und Verantwortlichkeiten für Benutzer und Administratoren definiert.
- Ziele: Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
- Beispiele:
- Passwort-Policy: Festlegung von Mindestlänge und Komplexität.
- Clean Desk Policy: Verpflichtung, den PC bei Abwesenheit zu sperren.
- Acceptable Use Policy: Regeln für die private Nutzung von E-Mails oder Internet am Arbeitsplatz.
2. Die technische Policy (Konfiguration)
In der Administration wird „Policy“ oft synonym für die technische Umsetzung dieser Regeln in Systemen verwendet (z.B. Gruppenrichtlinien/GPOs in Windows-Umgebungen).
- Funktion: Die Software erzwingt die Einhaltung der Regeln automatisch, ohne dass der Administrator jeden Computer einzeln konfigurieren muss.
- Beispiel: Eine GPO sorgt dafür, dass USB-Sticks an allen Firmenrechnern automatisch blockiert werden, um Datenabfluss zu verhindern.
Warum sind Policies wichtig?
- Risikominimierung: Sie reduzieren Sicherheitslücken durch menschliches Fehlverhalten.
- Compliance: Sie stellen sicher, dass gesetzliche Anforderungen (z. B. DSGVO) oder Sicherheitsstandards (z.B. ISO 27001) eingehalten werden.
- Automatisierung: Administratoren können Einstellungen für tausende Geräte gleichzeitig steuern und standardisieren.
Zusammenfassend ist eine Policy das „Gesetzbuch“ der IT, das sowohl schriftlich fixiert als auch technisch durchgesetzt wird.
