CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.10

Zulässige Nutzung von Werten

ISO 27001TISAXBSI

Regeln für die zulässige Nutzung sowie Verfahren für den Umgang mit Informationen und anderen Werten müssen festgelegt, dokumentiert und umgesetzt werden.

Was fordert dieses Control?

Regeln für die zulässige Nutzung sowie Verfahren für den Umgang mit Informationen und anderen Werten müssen festgelegt, dokumentiert und umgesetzt werden.

Warum ist das wichtig?

Klare Nutzungsregeln verhindern Missbrauch und Fehlgebrauch von Systemen und Daten. Sie geben Mitarbeitern Orientierung, was erlaubt ist und was nicht.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.4.1Direkt
BSIORP.1.A1Direkt

Was der Auditor erwartet

  1. 1Nutzungsrichtlinie (Acceptable Use Policy)
  2. 2Handhabungsregeln je Klassifizierungsstufe
  3. 3Bekanntmachung und Bestätigung durch Mitarbeiter

Audit-Checkliste

Dokumente

  • Acceptable Use Policy

    Erlaubte und unzulässige Nutzung von IT und Daten

Nachweise

  • Bestätigungen der Mitarbeiter

    Nachweis, dass die Regeln akzeptiert wurden

Interviews

  • Mitarbeiter

    Kenntnis der Nutzungsregeln

Praxis-Tipps zur Umsetzung

1

Konkret werden

Private Nutzung, Cloud-Dienste und Datenweitergabe klar regeln.

2

An Klassifizierung koppeln

Handhabungsregeln je Schutzstufe definieren.

3

Bestätigen lassen

Regeln nachweisbar durch alle Nutzer akzeptieren lassen.

Häufige Fehler

Zu allgemein

Floskeln statt konkreter, prüfbarer Nutzungsregeln.

Nicht bestätigt

Niemand hat die Nutzungsregeln nachweislich akzeptiert.

Häufig gestellte Fragen

Darf private Internetnutzung erlaubt sein?

Ja, sofern klar geregelt. Wichtig ist eine eindeutige, kommunizierte Vorgabe.

Wie hängt das mit der Klassifizierung zusammen?

Die Handhabungsregeln richten sich nach der Schutzstufe der jeweiligen Information.

Reicht eine Erwähnung im Arbeitsvertrag?

Der Vertrag kann verweisen, die konkreten Regeln gehören in eine eigene, bestätigte Richtlinie.

So hilft CompliantDesk bei A.5.10

Hinterlegen Sie die Acceptable Use Policy als Richtlinie und lassen Sie sie von allen Mitarbeitern per Magic-Link bestätigen.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.9

Inventar der Informationen und anderer Werte

A.5.12

Klassifizierung von Informationen

A.5.13

Kennzeichnung von Informationen