A.5 Organisatorische Maßnahmen
Informationssicherheitsrichtlinien
Eine Informationssicherheitsrichtlinie und themenspezifische Richtlinien müssen definiert, von der Leitung genehmigt, veröffentlicht, kommuniziert und in geplanten Abständen sowie bei Bedarf überprüft werden.
Was fordert dieses Control?
Eine Informationssicherheitsrichtlinie und themenspezifische Richtlinien müssen definiert, von der Leitung genehmigt, veröffentlicht, kommuniziert und in geplanten Abständen sowie bei Bedarf überprüft werden.
Warum ist das wichtig?
Die Sicherheitsrichtlinie ist das Fundament des ISMS. Sie macht die Haltung der Leitung verbindlich und ist Bezugspunkt für alle weiteren Maßnahmen und Nachweise.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 1.1.1 | Direkt |
| BSI | ISMS.1.A3 | Direkt |
Was der Auditor erwartet
- 1Von der Leitung freigegebene, aktuelle Sicherheitsrichtlinie
- 2Themenspezifische Richtlinien für relevante Bereiche
- 3Nachweis von Kommunikation und regelmäßiger Überprüfung
Audit-Checkliste
Dokumente
Informationssicherheitsrichtlinie
Freigabe durch die Leitung mit Datum und Version
Themenspezifische Richtlinien
Abdeckung relevanter Bereiche wie Zugriff, Krypto, mobiles Arbeiten
Nachweise
Kommunikationsnachweis
Veröffentlichung und Bestätigung durch Mitarbeiter
Review-Historie
Regelmäßige Überprüfung und Aktualisierung
Interviews
Leitung / ISB
Kenntnis und Trägerschaft der Richtlinie
Praxis-Tipps zur Umsetzung
Leitung sichtbar einbinden
Die Freigabe durch die Geschäftsführung ist zwingend und sollte dokumentiert sein.
Hierarchie aufbauen
Eine Dachrichtlinie plus themenspezifische Richtlinien statt eines unübersichtlichen Monsterdokuments.
Review-Zyklus festlegen
Mindestens jährliche Überprüfung fest terminieren.
Häufige Fehler
Schubladenrichtlinie
Dokument existiert, ist aber niemandem bekannt und wird nicht gelebt.
Keine Freigabe
Es fehlt die nachweisbare Genehmigung durch die Leitung.
Häufig gestellte Fragen
Wie oft muss die Richtlinie überprüft werden?
Mindestens jährlich und zusätzlich bei wesentlichen Änderungen der Organisation oder Bedrohungslage.
Reicht eine einzige Richtlinie?
Eine Dachrichtlinie ist Pflicht, ergänzt um themenspezifische Richtlinien für die relevanten Bereiche.
Muss die Geschäftsführung unterschreiben?
Ja, die Freigabe durch die oberste Leitung ist eine Kernanforderung der ISO 27001.
So hilft CompliantDesk bei A.5.1
Erstellen Sie Richtlinien per Wizard, lassen Sie sie von der Leitung freigeben und von Mitarbeitern bestätigen, inklusive Versionierung und Review-Fristen.