(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die Einhaltung von internen Richtlinien, externen Vorschriften und anerkannten Normen ist eine grundlegende Voraussetzung für eine wirksame und vertrauenswürdige Informationssicherheit. Werden definierte Anforderungen nicht konsequent umgesetzt, entstehen Risiken für Sicherheitsvorfälle, Compliance-Verstöße und Reputationsschäden. Dieses Control stellt sicher, dass Informationssicherheitsanforderungen systematisch eingehalten, überwacht und überprüft werden.

Zweck des Controls

A 5.36 soll gewährleisten, dass alle relevanten Richtlinien, Vorschriften und Normen der Informationssicherheit in der Organisation eingehalten werden. Ziel ist es, eine konsistente Umsetzung von Sicherheitsanforderungen sicherzustellen, Abweichungen frühzeitig zu erkennen und die kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems zu unterstützen.

Anforderungen und Maßnahmen

1. Definition und Bereitstellung relevanter Anforderungen

Organisationen müssen sicherstellen, dass relevante Anforderungen bekannt und verfügbar sind, insbesondere:

• interne Richtlinien und Verfahren zur Informationssicherheit
• gesetzliche und regulatorische Vorgaben
• branchenspezifische Standards und Normen
• vertragliche Sicherheitsanforderungen

Die Anforderungen müssen aktuell, verständlich und zugänglich sein.

2. Zuweisung von Verantwortlichkeiten für Compliance

Für die Einhaltung von Richtlinien, Vorschriften und Normen müssen klare Verantwortlichkeiten definiert werden:

• Benennung zuständiger Rollen oder Funktionen
• Abgrenzung von Zuständigkeiten und Befugnissen
• Integration in bestehende Governance- und Managementstrukturen
• klare Eskalations- und Entscheidungswege

Dies unterstützt eine wirksame Steuerung der Compliance.

3. Umsetzung der Anforderungen in Prozesse und Kontrollen

Die definierten Anforderungen müssen in operative Prozesse überführt werden:

• Umsetzung in Richtlinien, Verfahren und Arbeitsanweisungen
• Implementierung technischer und organisatorischer Kontrollen
• Integration in bestehende Geschäfts- und IT-Prozesse
• Sicherstellung der praktischen Umsetzbarkeit

So wird die Einhaltung im Tagesgeschäft gewährleistet.

4. Überwachung der Einhaltung

Die Einhaltung von Informationssicherheitsanforderungen muss überwacht werden:

• regelmäßige Kontrollen und Reviews
• Überprüfung technischer Sicherheitsmaßnahmen
• Auswertung von Protokollen und Berichten
• Erkennung und Bewertung von Abweichungen

Eine kontinuierliche Überwachung ermöglicht frühzeitiges Eingreifen.

5. Durchführung von Prüfungen und Bewertungen

Organisationen müssen Prüfungen zur Einhaltung durchführen:

• interne Audits
• Selbstbewertungen oder Kontrollen
• unabhängige Überprüfungen, wo erforderlich
• Bewertung der Wirksamkeit umgesetzter Maßnahmen

Diese Prüfungen liefern eine objektive Grundlage für Verbesserungen.

6. Umgang mit Abweichungen und Verstößen

Festgestellte Abweichungen oder Verstöße müssen behandelt werden:

• Dokumentation der Abweichungen
• Bewertung der Ursachen und Risiken
• Definition und Umsetzung von Korrekturmaßnahmen
• Eskalation bei schwerwiegenden oder wiederholten Verstößen

So wird eine nachhaltige Einhaltung unterstützt.

7. Schulung und Sensibilisierung

Mitarbeitende müssen die relevanten Anforderungen kennen und verstehen:

• regelmäßige Schulungen zu Richtlinien und Vorschriften
• Sensibilisierung für Sicherheits- und Compliance-Anforderungen
• zielgruppenspezifische Trainings
• Dokumentation der Schulungsmaßnahmen

Dies stärkt die Sicherheits- und Compliance-Kultur.

8. Dokumentation und kontinuierliche Verbesserung

Die Einhaltung von Informationssicherheitsanforderungen muss dokumentiert und verbessert werden:

• Nachweise über umgesetzte Kontrollen und Prüfungen
• Dokumentation von Maßnahmen und Entscheidungen
• Integration der Ergebnisse in Management Reviews
• kontinuierliche Anpassung an neue Anforderungen

So bleibt die Informationssicherheit dauerhaft wirksam und aktuell.

Zusammenfassung

A 5.36 fordert, dass Organisationen Richtlinien, Vorschriften und Normen der Informationssicherheit konsequent einhalten. Durch klare Definition von Anforderungen, zugewiesene Verantwortlichkeiten, systematische Umsetzung, kontinuierliche Überwachung, regelmäßige Prüfungen sowie gezielte Schulungen wird sichergestellt, dass Informationssicherheitsanforderungen wirksam umgesetzt und dauerhaft eingehalten werden. Das Control bildet eine zentrale Grundlage für Governance, Compliance und kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems.