ISMS Copilot
ISO 27001 Glossar

Was ist eine Informationssicherheitsrichtlinie in ISO 27001?

Überblick

Eine Informationssicherheitsrichtlinie (Information Security Policy) ist eine übergeordnete dokumentierte Erklärung, die das Engagement Ihrer Organisation für die Informationssicherheit definiert und die strategische Richtung für das ISMS vorgibt. Sie wird gemäß ISO 27001:2022 Klausel 5.2 gefordert, vom Top-Management genehmigt und dient als Grundlage für alle Sicherheitsrichtlinien, Verfahren und Kontrollen.

Diese Richtlinie demonstriert das Engagement der Führungsebene und gibt den Ton für die Sicherheitskultur Ihrer Organisation vor.

Informationssicherheitsrichtlinie in der Praxis

ISO 27001:2022 Klausel 5.2 verlangt vom Top-Management die Festlegung einer Informationssicherheitsrichtlinie, die:

  • Angemessen für den Zweck der Organisation ist

  • Informationssicherheitsziele enthält oder den Rahmen für deren Festlegung bildet

  • Eine Verpflichtung zur Erfüllung geltender Anforderungen an die Informationssicherheit enthält

  • Eine Verpflichtung zur fortlaufenden Verbesserung des ISMS enthält

Die Richtlinie muss dokumentiert sein, innerhalb der Organisation kommuniziert werden und interessierten Parteien in angemessener Weise zur Verfügung gestellt werden.

Die Informationssicherheitsrichtlinie ist ein strategisches Dokument, kein detailliertes Verfahren. Sie gibt die Richtung vor; spezifische Kontrollen und Prozesse werden in ergänzenden Richtlinien und Verfahren definiert.

Erforderliche Elemente

1. Organisatorischer Kontext und Zweck

Die Richtlinie sollte die Geschäftsziele, die Branche und das Risikoumfeld Ihrer Organisation widerspiegeln.

Beispiel: „Als Gesundheitsdienstleister, der mit sensiblen Patientendaten arbeitet, verpflichtet sich [Organisation] zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsinformationen in Übereinstimmung mit HIPAA und branchenüblichen Best Practices.“

2. Rahmen für Informationssicherheitsziele

Geben Sie entweder spezifische Ziele an oder bilden Sie den Rahmen für deren Definition.

Beispiel: „Wir werden die ISO 27001-Zertifizierung aufrechterhalten, eine Systemverfügbarkeit von 99,9 % erreichen und auf Sicherheitsvorfälle innerhalb von 4 Stunden reagieren.“

3. Verpflichtung zu geltenden Anforderungen

Verweisen Sie auf rechtliche, regulatorische und vertragliche Verpflichtungen, die Sie erfüllen müssen.

Beispiel: „Wir verpflichten uns zur Einhaltung der DSGVO, der SOC 2 Type II-Anforderungen und der vertraglichen Sicherheitsverpflichtungen gegenüber unseren Kunden.“

4. Verpflichtung zur fortlaufenden Verbesserung

Erklären Sie Ihr Engagement für die ständige Weiterentwicklung des ISMS.

Beispiel: „Wir werden unsere Informationssicherheitspraktiken durch regelmäßige Risikobewertungen, interne Audits und Managementbewertungen kontinuierlich verbessern.“

Die Richtlinie muss vom Top-Management (CEO, Geschäftsführer oder gleichwertig) genehmigt und unterzeichnet werden. Eine Delegierung an untergeordnete Ebenen führt zu einer Nichtkonformität.

Struktur und Inhalt

Obwohl ISO 27001:2022 kein spezifisches Format vorschreibt, enthalten effektive Richtlinien typischerweise:

Kopfbereich

  • Dokumententitel und Version

  • Genehmigungsautorität und Unterschrift

  • Gültigkeitsdatum und Überprüfungszyklus

Zweck und Geltungsbereich

  • Warum die Richtlinie existiert

  • Was sie abdeckt (abgestimmt auf den ISMS-Anwendungsbereich aus Klausel 4.3)

  • Für wen sie gilt (Mitarbeiter, Auftragnehmer, Partner)

Richtlinien-Statements

  • Kernprinzipien der Informationssicherheit

  • Rollen und Verantwortlichkeiten auf hoher Ebene

  • Rahmen für Ziele

  • Verpflichtungen zu Anforderungen und Verbesserungen

Zugehörige Dokumente

  • Verweise auf unterstützende Richtlinien (z. B. akzeptable Nutzung, Zugriffskontrolle, Reaktion auf Vorfälle)

  • Link zu Risikobewertungs- und Behandlungsprozessen

Halten Sie die Informationssicherheitsrichtlinie kurz (normalerweise 2-4 Seiten). Detaillierte Regeln gehören in unterstützende Richtlinien und Verfahren, nicht in die übergeordnete Richtlinie.

Kommunikationsanforderungen

Klausel 5.2 verlangt, dass die Richtlinie:

  • Dokumentiert ist: Als gelenkte Information gepflegt wird

  • Kommuniziert wird: Allen Mitarbeitern durch Schulungen, Intranet oder Handbücher zugänglich gemacht wird

  • Interessierten Parteien zur Verfügung steht: Mit Kunden, Auditoren und Aufsichtsbehörden nach Bedarf geteilt wird (dies kann eine öffentliche oder vertrauliche Version sein)

Beispiele für Kommunikationsmethoden:

  • Aufnahme in die Onboarding-Schulung für Mitarbeiter

  • Veröffentlichung im Intranet des Unternehmens

  • Referenzierung in Arbeitsverträgen

  • Bereitstellung für Kunden bei Sicherheitsfragebögen

Überprüfung und Wartung

Die Richtlinie sollte überprüft und aktualisiert werden:

  • In geplanten Abständen (jährlich ist gängige Praxis)

  • Wenn bedeutende Änderungen eintreten (Fusionen, neue Vorschriften, größere Vorfälle)

  • Als Teil der Managementbewertung (Klausel 9.3)

  • Nach Feststellungen aus internen oder externen Audits

Nutzen Sie den ISMS Copilot, um einen Entwurf der Informationssicherheitsrichtlinie zu erstellen, der auf Ihre Branche, Ihren organisatorischen Kontext und Ihre Compliance-Anforderungen zugeschnitten ist. Das Tool kann geeignete Ziele und Verpflichtungulierungen vorschlagen.

Unterstützende Richtlinien vs. Informationssicherheitsrichtlinie

Die Informationssicherheitsrichtlinie ist das strategische Dokument auf oberster Ebene. Unterstützende Richtlinien bieten detaillierte Anforderungen für spezifische Bereiche:

  • Informationssicherheitsrichtlinie (Klausel 5.2): Übergeordnetes Engagement und Richtung

  • Zugriffskontrollrichtlinie: Details zu Authentifizierung, Autorisierung und Privilegienmanagement

  • Richtlinie zur akzeptablen Nutzung: Definiert die zulässige Nutzung von IT-Ressourcen

  • Richtlinie zur Reaktion auf Vorfälle: Spezifiziert Verfahren zur Behandlung von Vorfällen

  • Business-Continuity-Richtlinie: Behandelt Verfügbarkeit und Wiederherstellung

Häufige Fehler, die es zu vermeiden gilt

  • Die Richtlinie zu technisch oder detailliert gestalten (sie sollte strategisch sein)

  • Keine Genehmigung und Unterschrift durch das Top-Management einholen

  • Versäumnis, die Richtlinie an alle Mitarbeiter zu kommunizieren

  • Festlegung von Zielen, die nicht messbar oder erreichbar sind

  • Die Richtlinie nicht regelmäßig überprüfen

  • Kopieren allgemeiner Vorlagen ohne Anpassung an Ihre Organisation

Beispiel für ein Richtlinien-Statement

[Name der Organisation] verpflichtet sich zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten, die für unsere Geschäftsabläufe und das Kundenvertrauen entscheidend sind. Diese Informationssicherheitsrichtlinie etabliert unseren Rahmen für die Identifizierung, Bewertung und Steuerung von Informationssicherheitsrisiken gemäß ISO 27001:2022 und geltenden regulatorischen Anforderungen einschließlich DSGVO und SOC 2. Wir verpflichten uns zur fortlaufenden Verbesserung unseres ISMS durch regelmäßige Risikobewertungen, interne Audits, Managementbewertungen und Korrekturmaßnahmen.“

Verwandte Begriffe

  • ISMS – Wird durch die Informationssicherheitsrichtlinie gesteuert

  • Interessierte Parteien – Richtlinie wird relevanten Stakeholdern zur Verfügung gestellt

  • CIA-Triade – Kernprinzipien, auf die in der Richtlinie normalerweise verwiesen wird

  • Managementbewertung – Überprüft die Wirksamkeit und Aktualität der Richtlinie

War das hilfreich?