(nach ISO/IEC 27001:2022)

Eine wirksame Kommunikation ist ein wesentlicher Bestandteil eines funktionierenden Informationssicherheitsmanagementsystems (ISMS). Informationen zur Informationssicherheit müssen zielgerichtet, verständlich und rechtzeitig kommuniziert werden, um sicherzustellen, dass relevante Personen informiert sind und ihre Aufgaben erfüllen können. Diese Klausel stellt sicher, dass interne und externe Kommunikationsanforderungen systematisch festgelegt und umgesetzt werden.

Zweck der Klausel

Klausel 7.4 soll gewährleisten, dass die Organisation relevante Informationen zur Informationssicherheit angemessen kommuniziert. Ziel ist es, Transparenz zu schaffen, Verantwortlichkeiten zu klären und sicherzustellen, dass Informationssicherheitsanforderungen verstanden und eingehalten werden.

Anforderungen und Maßnahmen

1. Festlegung der Kommunikationsanforderungen

Die Organisation muss festlegen:

• welche Informationen kommuniziert werden müssen
• wann kommuniziert wird
• an wen kommuniziert wird
• auf welchem Weg kommuniziert wird

Die Anforderungen müssen dokumentiert sein.

2. Interne Kommunikation

Interne Kommunikation zur Informationssicherheit umfasst insbesondere:

• Informationssicherheitspolitik und Richtlinien
• Rollen, Verantwortlichkeiten und Zuständigkeiten
• Sicherheitsziele und Maßnahmen
• Meldungen zu Vorfällen oder Bedrohungen

Interne Kommunikation unterstützt das Tagesgeschäft.

3. Externe Kommunikation

Externe Kommunikation muss geregelt sein, insbesondere gegenüber:

• Kunden und Auftraggebern
• Lieferanten und Dienstleistern
• Behörden und Aufsichtsstellen
• Auditoren oder Zertifizierungsstellen

Externe Kommunikation muss kontrolliert und abgestimmt erfolgen.

4. Festlegung von Zuständigkeiten

Für die Kommunikation müssen Zuständigkeiten definiert sein:

• wer kommunizieren darf
• wer Informationen freigibt
• wer bei Vorfällen informiert
• Eskalations- und Vertretungsregelungen

Dies verhindert widersprüchliche Aussagen.

5. Auswahl geeigneter Kommunikationskanäle

Geeignete Kommunikationskanäle müssen genutzt werden:

• interne Plattformen oder Intranet
• E-Mail oder Meetings
• Schulungen und Workshops
• offizielle Schreiben oder Berichte

Die Auswahl muss zielgruppengerecht erfolgen.

6. Sicherstellung der Vertraulichkeit und Integrität

Bei der Kommunikation müssen Sicherheitsaspekte berücksichtigt werden:

• Schutz sensibler Informationen
• Nutzung sicherer Kommunikationswege
• Einschränkung der Informationsweitergabe
• Beachtung von Datenschutzanforderungen

Kommunikation darf keine Risiken erzeugen.

7. Kommunikation bei Sicherheitsvorfällen

Die Kommunikation bei Vorfällen muss geregelt sein:

• interne Melde- und Informationswege
• externe Meldepflichten
• zeitnahe und abgestimmte Kommunikation
• Dokumentation der Kommunikation

Dies ist essenziell für das Incident Management.

8. Dokumentation und Überprüfung

Kommunikationsregelungen müssen dokumentiert und überprüft werden:

• Kommunikationskonzepte oder -richtlinien
• Nachweise über durchgeführte Kommunikation
• Überprüfung der Wirksamkeit
• Anpassung bei Änderungen

Die Dokumentation unterstützt Audits und Wirksamkeit.

Zusammenfassung

Klausel 7.4 fordert, dass Organisationen die interne und externe Kommunikation zur Informationssicherheit systematisch planen und steuern. Durch klare Festlegung von Kommunikationsinhalten, Zielgruppen, Zuständigkeiten und Kanälen wird sichergestellt, dass relevante Informationen rechtzeitig, verständlich und sicher kommuniziert werden. Diese Klausel trägt wesentlich zur Wirksamkeit und Akzeptanz des Informationssicherheitsmanagementsystems nach ISO/IEC 27001:2022 bei.