Dezember 22, 2025

Anhang A 5.10 Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten

(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Informationen und damit verbundene Werte müssen innerhalb der Organisation verantwortungsvoll, zweckgebunden und gemäß festgelegter Vorgaben genutzt werden. Unklarheiten oder fehlende Regeln zur zulässigen Nutzung erhöhen das Risiko von Missbrauch, Datenverlust, unbefugter Offenlegung oder Verstößen gegen gesetzliche und vertragliche Anforderungen. Dieses Control stellt sicher, dass klare Regeln für den zulässigen Gebrauch von Informationen und Assets definiert, kommuniziert und eingehalten werden.

Zweck des Controls

A 5.10 soll gewährleisten, dass Organisationen verbindliche Regeln für den zulässigen Gebrauch von Informationen und anderen damit verbundenen Werten festlegen. Ziel ist es, sicherzustellen, dass Mitarbeitende und externe Parteien wissen, wie Informationen und Assets genutzt werden dürfen und welche Nutzungen unzulässig sind. Dadurch werden Risiken durch Fehlverhalten, Missbrauch oder unbeabsichtigte Sicherheitsverstöße reduziert.

Anforderungen und Maßnahmen

1. Festlegung von Nutzungsregeln

Organisationen müssen klare und dokumentierte Regeln für den zulässigen Gebrauch von Informationen und Werten definieren, insbesondere für:

  • Informationen und Daten aller Klassifikationsstufen
  • IT-Systeme, Anwendungen und Netzwerke
  • Hardware, mobile Geräte und Speichermedien
  • Cloud-Dienste und externe Plattformen
  • Software, Lizenzen und digitale Inhalte

Die Regeln müssen verständlich, praktikabel und verbindlich sein.

2. Berücksichtigung der Informationsklassifizierung

Die zulässige Nutzung muss sich am Schutzbedarf der Informationen orientieren:

  • unterschiedliche Nutzungsregeln je Klassifikationsstufe
  • Einschränkungen für vertrauliche oder besonders schützenswerte Informationen
  • Vorgaben zur Weitergabe, Speicherung und Verarbeitung
  • besondere Regeln für personenbezogene oder regulatorisch relevante Daten

So wird sichergestellt, dass Informationen entsprechend ihrem Schutzbedarf genutzt werden.

3. Definition zulässiger und unzulässiger Nutzungen

Die Organisation muss klar festlegen, was erlaubt und was verboten ist, zum Beispiel:

  • Nutzung von Informationen ausschließlich für geschäftliche Zwecke
  • Verbot der unautorisierten Weitergabe an Dritte
  • Einschränkungen bei privater Nutzung von IT-Ressourcen
  • Verbot der Nutzung nicht genehmigter Software oder Dienste
  • Regeln für den Umgang mit externen Speichermedien

Klare Abgrenzungen reduzieren Interpretationsspielräume.

4. Einbindung externer Parteien

Auch externe Parteien müssen die Nutzungsregeln einhalten:

  • vertragliche Regelungen zur zulässigen Nutzung
  • Weitergabe der relevanten Richtlinien an Dienstleister und Partner
  • Einschränkung von Zugriffen auf das notwendige Maß
  • Kontrolle der Einhaltung vereinbarter Nutzungsbedingungen

Die Verantwortung für den Schutz der Informationen verbleibt bei der Organisation.

5. Kommunikation und Verbindlichkeit

Die Nutzungsregeln müssen allen relevanten Personen bekannt sein:

  • Veröffentlichung in Richtlinien oder Benutzerordnungen
  • Integration in Onboarding-Prozesse
  • Bestätigung der Kenntnisnahme durch Mitarbeitende
  • regelmäßige Erinnerung und Kommunikation der Regeln

Nur bekannte Regeln können eingehalten werden.

6. Technische und organisatorische Unterstützung

Die Organisation muss die Einhaltung der Nutzungsregeln unterstützen, z. B. durch:

  • technische Zugriffsbeschränkungen und Rollenmodelle
  • Protokollierung und Monitoring der Nutzung
  • Einschränkung nicht zulässiger Funktionen oder Dienste
  • organisatorische Kontrollen und Freigabeprozesse

So wird die Einhaltung nicht allein dem Nutzerverhalten überlassen.

7. Umgang mit Verstößen

Verstöße gegen die Nutzungsregeln müssen geregelt behandelt werden:

  • Meldewege für vermutete oder festgestellte Verstöße
  • Bewertung der Auswirkungen auf Informationssicherheit
  • Einleitung angemessener Maßnahmen
  • Dokumentation und Nachverfolgung von Verstößen

Dies stärkt die Durchsetzung und Glaubwürdigkeit der Regeln.

8. Überprüfung und Aktualisierung der Nutzungsregeln

Die Regeln zum zulässigen Gebrauch müssen regelmäßig überprüft werden:

  • Anpassung bei neuen Technologien oder Arbeitsformen
  • Berücksichtigung geänderter rechtlicher oder vertraglicher Anforderungen
  • Überprüfung im Rahmen von Audits oder Management Reviews
  • Aktualisierung bei identifizierten Schwachstellen oder Vorfällen

So bleiben die Nutzungsregeln wirksam und aktuell.

Zusammenfassung

A 5.10 fordert, dass Organisationen klare und verbindliche Regeln für den zulässigen Gebrauch von Informationen und anderen damit verbundenen Werten festlegen. Durch definierte Nutzungsregeln, Orientierung an der Informationsklassifizierung, Kommunikation, technische Unterstützung und konsequente Behandlung von Verstößen wird sichergestellt, dass Informationen verantwortungsvoll und sicher genutzt werden. Das Control trägt wesentlich dazu bei, Fehlverhalten zu vermeiden und das Informationssicherheitsniveau nachhaltig zu stärken.


    Leave a comment

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert