ISO 27001 / NIS2 Word (.docx)Kostenlos

Zugriffs- und Berechtigungskonzept: Vorlage (ISO 27001 / NIS2)

Zu weit gefasste Zugriffsrechte sind einer der häufigsten Audit-Befunde. Diese kostenlose Vorlage strukturiert Ihr Zugriffs- und Berechtigungskonzept nach Least Privilege, mit Rollenmodell, Vergabe-/Entzugsprozess und regelmäßiger Rezertifizierung.

Berechtigungskonzept

Word (.docx) · sofort einsatzbereit

Kostenlos herunterladen

Keine Anmeldung nötig

Worum geht es?

Ein Berechtigungskonzept regelt, wer auf welche Systeme und Daten zugreifen darf und wie Rechte vergeben, geändert und entzogen werden. Es setzt mehrere ISO-27001-Controls (A.5.15 bis A.8.3) um und gehört zur NIS2-Pflicht Zugriffskontrolle.

Grundprinzipien sind Need-to-know und Least Privilege: Jeder erhält nur die Rechte, die er für seine Aufgabe braucht. Berechtigungen werden über Rollen vergeben statt personenbezogen zusammengesammelt.

Enthalten sind Grundsätze inklusive Funktionstrennung, ein Rollen- und Rechtemodell, der Ablauf von Vergabe, Änderung und Entzug, strengere Regeln für privilegierte Zugriffe sowie die regelmäßige Rezertifizierung.

Was die Vorlage enthält

Zweck & Geltungsbereich

Welche Systeme, Daten und Konten das Konzept umfasst

Grundsätze

Need-to-know, Least Privilege, Funktionstrennung, Nachvollziehbarkeit

Rollen- & Rechtemodell

Rechtevergabe über Rollen statt personenbezogen

Vergabe, Änderung, Entzug

Antrag, Freigabe, Rollenwechsel und Offboarding

Privilegierte Zugriffe

Getrennte Admin-Identität, MFA und Protokollierung

Rezertifizierung

Regelmäßige Überprüfung durch System-Owner

Die Vorlage eignet sich für ISB und IT-Leitung, die Zugriffsrechte nachvollziehbar steuern müssen. Ergänzen Sie Ihr Rollenmodell und legen Sie die Intervalle für die Rezertifizierung fest.

Häufige Fehler beim Ausfüllen

Rechte-Anhäufung über die Zeit

Bei Rollenwechseln werden neue Rechte vergeben, alte aber nicht entzogen. So sammeln Mitarbeiter über Jahre zu viele Berechtigungen an.

Keine Rezertifizierung

Ohne regelmäßige Überprüfung bleiben veraltete und überflüssige Rechte bestehen, ein klassischer Audit-Befund.

Zugänge beim Austritt nicht entzogen

Ausgeschiedene Mitarbeiter oder Externe behalten Zugriff. Der Entzug muss unverzüglich und nachweisbar erfolgen.

Vorlage pflegen kostet Zeit. Es geht auch automatisch.

Dies ist eine gekürzte Muster-Fassung. In CompliantDesk verwalten Sie Rollen, Zugriffsrechte je Asset und die Rezertifizierung verknüpft und mit Erinnerungen, inklusive Versionierung, SHA-256-Nachweis der Fassung und dokumentierter Mitarbeiter-Bestätigung.

Häufig gestellte Fragen

Was bedeutet Least Privilege?

Das Prinzip der minimalen Rechte: Jede Person und jedes Konto erhält nur die Zugriffsrechte, die für die konkrete Aufgabe zwingend notwendig sind, nicht mehr.

Wie oft muss ich Berechtigungen überprüfen?

Mindestens jährlich, privilegierte Zugriffe häufiger. Bei der Rezertifizierung bestätigen die System-Owner, dass die Rechte noch erforderlich sind.

Rollenbasiert oder personenbezogen vergeben?

Rollenbasiert. Rechte werden über definierte Rollen vergeben, die die für eine Funktion notwendigen Berechtigungen bündeln. Das ist übersichtlicher und leichter zu prüfen.

Compliance ohne Excel-Chaos

CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.