CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.3

Aufgabentrennung

ISO 27001TISAXBSIDORA

Einander widersprechende Aufgaben und Verantwortungsbereiche müssen getrennt werden, um das Risiko von Betrug, Fehlern und Umgehung von Sicherheitsmaßnahmen zu reduzieren.

Was fordert dieses Control?

Einander widersprechende Aufgaben und Verantwortungsbereiche müssen getrennt werden, um das Risiko von Betrug, Fehlern und Umgehung von Sicherheitsmaßnahmen zu reduzieren.

Warum ist das wichtig?

Funktionstrennung verhindert, dass eine Person kritische Prozesse allein und unkontrolliert durchführt. Sie ist eine zentrale Maßnahme gegen Insider-Missbrauch.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.2.2Direkt
BSIORP.1.A2Direkt
DORAArt. 5Indirekt

Was der Auditor erwartet

  1. 1Identifizierte, kritische Funktionskonflikte
  2. 2Trennung oder kompensierende Kontrollen
  3. 3Vier-Augen-Prinzip bei kritischen Vorgängen

Audit-Checkliste

Dokumente

  • SoD-Konzept / Regelwerk

    Welche Aufgaben nicht in einer Hand liegen dürfen

Nachweise

  • Berechtigungsanalyse

    Nachweis, dass konfligierende Rechte getrennt sind

Technisch

  • Rollen-/Rechtevergabe

    Trennung in den produktiven Systemen

Praxis-Tipps zur Umsetzung

1

Kritische Konflikte zuerst

Auf Vergabe und Genehmigung von Rechten, Zahlungen und Admin-Rechte fokussieren.

2

Kompensieren bei kleinen Teams

Wo Trennung unmöglich ist, durch Protokollierung und Reviews ausgleichen.

3

Vier-Augen verankern

Kritische Aktionen technisch oder organisatorisch doppelt absichern.

Häufige Fehler

Admin macht alles

Eine Person vergibt, genehmigt und kontrolliert Rechte zugleich.

Kein Ausgleich im kleinen Team

Trennung wird als unmöglich abgetan, ohne kompensierende Kontrollen.

Häufig gestellte Fragen

Wie geht Funktionstrennung im kleinen Team?

Über kompensierende Kontrollen wie Protokollierung, regelmäßige Reviews und das Vier-Augen-Prinzip an kritischen Stellen.

Welche Konflikte sind besonders kritisch?

Beantragung und Genehmigung von Berechtigungen, Entwicklung und Produktivsetzung sowie Zahlungsfreigaben.

Muss SoD technisch erzwungen werden?

Idealerweise ja, wo nicht möglich genügen dokumentierte organisatorische Kontrollen.

So hilft CompliantDesk bei A.5.3

CompliantDesk setzt Vier-Augen- und Funktionstrennungsregeln im ISMS technisch um, etwa bei der Freigabe von Risiken, DSFA und Richtlinien.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.2

Informationssicherheitsrollen und -verantwortlichkeiten

A.8.2

Privilegierte Zugangsrechte

A.8.3

Einschränkung des Informationszugriffs