CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.36

Einhaltung von Richtlinien, Regeln und Standards

ISO 27001TISAXBSINIS2

Die Einhaltung der Informationssicherheitsrichtlinie, themenspezifischer Richtlinien, Regeln und Standards der Organisation muss regelmäßig überprüft werden.

Was fordert dieses Control?

Die Einhaltung der Informationssicherheitsrichtlinie, themenspezifischer Richtlinien, Regeln und Standards der Organisation muss regelmäßig überprüft werden.

Warum ist das wichtig?

Richtlinien wirken nur, wenn ihre Einhaltung kontrolliert wird. Regelmäßige Compliance-Checks decken Abweichungen auf, bevor sie zu Vorfällen werden.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX1.2.3Direkt
BSIISMS.1.A11Direkt
NIS2Art. 21 (2)Indirekt

Was der Auditor erwartet

  1. 1Regelmäßige Prüfung der Richtlinienkonformität
  2. 2Dokumentierte Abweichungen und Korrekturmaßnahmen
  3. 3Verantwortliche für die Compliance-Prüfung

Audit-Checkliste

Dokumente

  • Compliance-Prüfplan

    Welche Richtlinien wann und durch wen geprüft werden

Nachweise

  • Prüfergebnisse

    Feststellungen zur Einhaltung und Folgemaßnahmen

Interviews

  • Führungskräfte

    Wie sie die Einhaltung in ihrem Bereich sicherstellen

Praxis-Tipps zur Umsetzung

1

Verantwortung verteilen

Führungskräfte prüfen die Einhaltung in ihrem Bereich, nicht nur der ISB zentral.

2

Technisch unterstützen

Wo möglich, Konformität automatisiert messen (z.B. Konfigurations-Checks).

3

Abweichungen nachhalten

Festgestellte Verstöße als Maßnahmen mit Frist führen.

Häufige Fehler

Nie geprüft

Richtlinien existieren, ihre Einhaltung wird aber nie kontrolliert.

Ohne Konsequenz

Abweichungen werden festgestellt, aber nicht behoben.

Häufig gestellte Fragen

Wie unterscheidet sich A.5.36 von A.5.35?

A.5.35 ist die unabhängige Gesamtüberprüfung des ISMS, A.5.36 die gezielte Kontrolle der Einhaltung konkreter Richtlinien und Regeln.

Wer prüft die Einhaltung?

Meist die jeweiligen Führungskräfte für ihren Bereich, koordiniert durch den ISB.

Wie oft sollte geprüft werden?

Regelmäßig und risikobasiert, kritische Bereiche häufiger.

So hilft CompliantDesk bei A.5.36

Verknüpfen Sie Richtlinien mit Kontrollen und Reviews, sodass die regelmäßige Prüfung der Einhaltung samt Ergebnissen dokumentiert ist.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.35

Unabhängige Überprüfung der Informationssicherheit

A.5.1

Informationssicherheitsrichtlinien

A.6.4

Disziplinarverfahren