CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.4

Verantwortlichkeiten der Leitung

ISO 27001NIS2TISAXBSI

Die Leitung muss von allen Beschäftigten verlangen, Informationssicherheit gemäß den festgelegten Richtlinien und Verfahren der Organisation umzusetzen.

Was fordert dieses Control?

Die Leitung muss von allen Beschäftigten verlangen, Informationssicherheit gemäß den festgelegten Richtlinien und Verfahren der Organisation umzusetzen.

Warum ist das wichtig?

Sicherheit lebt von der Vorbildfunktion und Einforderung durch das Management. Ohne aktive Leitung verpufft jedes Regelwerk.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 20Direkt
TISAX1.1.1Direkt
BSIISMS.1.A1Direkt

Was der Auditor erwartet

  1. 1Sichtbares Commitment der Leitung zur Informationssicherheit
  2. 2Einforderung der Regelkonformität von allen Beschäftigten
  3. 3Bereitstellung notwendiger Ressourcen

Audit-Checkliste

Dokumente

  • Management-Commitment

    Dokumentierte Verpflichtung der Leitung (z.B. in der Richtlinie)

Nachweise

  • Management-Review-Protokolle

    Aktive Befassung der Leitung mit dem ISMS

Interviews

  • Geschäftsführung

    Wie Sicherheit eingefordert und unterstützt wird

Praxis-Tipps zur Umsetzung

1

Vorbild sein

Die Leitung sollte Regeln sichtbar selbst befolgen, das prägt die Kultur.

2

Ressourcen sichern

Budget und Zeit für Sicherheit aktiv bereitstellen.

3

Regelmäßig befassen

Sicherheit fest in Management-Reviews verankern.

Häufige Fehler

Delegieren und vergessen

Leitung schiebt Sicherheit komplett an die IT ab.

Kein Vorbild

Management fordert Regeln, hält sich selbst aber nicht daran.

Häufig gestellte Fragen

Worin unterscheidet sich A.5.4 von A.5.1?

A.5.1 ist die Richtlinie selbst, A.5.4 verlangt, dass die Leitung deren Einhaltung aktiv von allen einfordert.

Wie weist man Leitungs-Commitment nach?

Über Freigaben, Management-Reviews, Ressourcenzuteilung und dokumentierte Beschlüsse.

Gilt das auch unter NIS2?

Ja, NIS2 macht die Leitungsorgane sogar persönlich für das Risikomanagement verantwortlich.

So hilft CompliantDesk bei A.5.4

Das Board-Report- und Management-Review-Modul macht das Engagement der Leitung sichtbar und dokumentiert Beschlüsse revisionssicher.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.1

Informationssicherheitsrichtlinien

A.5.2

Informationssicherheitsrollen und -verantwortlichkeiten

A.6.3

Informationssicherheitsbewusstsein, Schulung und Training