ISMS Copilot
ISMS-Dokumentation

Funktionstrennung (Segregation of Duties, SoD)

Die Funktionstrennung (SoD) reduziert das Risiko von Fehlern, Interessenkonflikten und unkontrollierten Entscheidungen, indem sie sicherstellt, dass kritische ISMS-Aktivitäten nicht von derselben Person verantwortet und genehmigt werden.

Warum SoD in einem ISMS wichtig ist

Die ISO 27001 fordert definierte Rollen, Rechenschaftspflicht sowie eine unabhängige Aufsicht für zentrale ISMS-Aktivitäten. Wenn sich Zuständigkeiten überschneiden, muss die Organisation das Governance-Risiko erkennen und nachweisen, wie es gesteuert wird.

Unsere aktuelle Situation

Als kleine Organisation ist die Person, die das ISMS implementiert, gleichzeitig Teil des Top-Managements und führt die Managementbewertung durch. Dies führt zu einem Risiko bei der Funktionstrennung, da Design, Ausführung und Prüfung nicht vollständig voneinander unabhängig sind.

Risikobehandlungsansatz

Wir behandeln dies als ein dokumentiertes und akzeptiertes Risiko in unserem Risikoregister. Aufgrund unserer aktuellen Größe und Ressourcen akzeptieren wir diese Einschränkung, führen jedoch kompensierende Kontrollen ein und planen künftige Maßnahmen zur Risikominderung mit zunehmendem Wachstum.

Kompensierende Kontrollen

  • Formaler Managementbewertungsprozess mit strukturierter Agenda und dokumentierten Ergebnissen

  • Explizite Dokumentation des Konflikts und der Begründung für die Akzeptanz

Geplante Abhilfemaßnahmen

  • Einstellung neuer Mitarbeiter und Teamerweiterung zur Trennung von Governance- und Ausführungsrollen

  • Delegation der Kontrollverantwortung, sofern machbar

  • Externer Input oder regelmäßige unabhängige Überprüfungen zur Reduzierung von Befangenheit

Wenn die Funktionstrennung eingeschränkt ist, zählt Transparenz: Das Risiko, die Begründung und der Minderungsplan müssen explizit dokumentiert werden.

Nachweise, die wir führen

  • Eintrag im Risikoregister für das SoD-Risiko (Status, Eigentümer, Behandlungsplan, Begründung der Akzeptanz)

  • Protokolle der Managementbewertung, die die Kenntnisnahme und Folgemaßnahmen belegen

  • Dokumentation von externem Input oder durchgeführten unabhängigen Prüfungen

War das hilfreich?