Die Informationssicherheitsleitlinie bildet das zentrale Steuerungsinstrument für die strategische Ausrichtung der Informationssicherheit in der Organisation. Sie definiert Ziele, Prinzipien, Verantwortlichkeiten und Erwartungen an den sicheren Umgang mit Informationen und bildet den formellen Rahmen für das gesamte ISMS. Die Leitlinie setzt den Ton („Tone from the Top“), stellt Management-Commitment sicher und sorgt für eine klare Ausrichtung aller nachfolgenden Richtlinien, Standards und Prozesse.
Zweck des Controls
A 5.2-1 stellt sicher, dass die Organisation eine dokumentierte, genehmigte, kommunizierte und gelebte Informationssicherheitsleitlinie besitzt. Diese legt fest, wie Informationssicherheit in der Organisation verstanden wird, welche Ziele verfolgt werden und wie alle Beteiligten zur Aufrechterhaltung und Verbesserung des Sicherheitsniveaus beitragen. Die Leitlinie unterstützt Compliance, Risikomanagement und Entscheidungsfindung und fördert eine einheitliche Sicherheitskultur.
Anforderungen und Maßnahmen
1. Dokumentation einer formalen Informationssicherheitsleitlinie
Die Organisation muss eine schriftliche Leitlinie erstellen, die mindestens folgende Inhalte umfasst:
strategische Ziele und Bedeutung der Informationssicherheit,
Verpflichtung des Top-Managements zur Informationssicherheit,
Einbettung in Unternehmensstrategie und Governance,
Geltungsbereich und Anwendungsrahmen der Leitlinie,
Grundsätze für Vertraulichkeit, Integrität und Verfügbarkeit,
Verweis auf das ISMS und die zugrunde liegende Norm ISO/IEC 27001.
Die Leitlinie muss präzise, verständlich und für alle relevanten Parteien zugänglich sein.
2. Definition von Rollen, Verantwortlichkeiten und Zuständigkeiten
Die Leitlinie muss klar festlegen:
die Rolle des Top-Managements (Leadership, Ressourcen, Unterstützung),
die Verantwortung des Informationssicherheitsbeauftragten / ISMS-Managers,
die Aufgaben des Managements und der jeweiligen Führungskräfte,
die Verantwortung aller Mitarbeitenden für sicheres Verhalten,
die Schnittstellen zu Datenschutz, IT, Compliance, Risikomanagement und BCM.
So wird eine klare, nachvollziehbare Governance-Struktur erstellt.
3. Grundsätze und Leitlinien der Informationssicherheit
Die Leitlinie muss grundlegende Sicherheitsprinzipien definieren, z. B.:
risikobasierter Ansatz als Grundlage aller Entscheidungen,
Schutzbedarfsorientierung,
Prinzip der minimalen Berechtigung,
„Security by Design“ und „Privacy by Design“,
kontinuierliche Verbesserung des ISMS,
Zero-Trust-Ansätze oder moderne Sicherheitskonzepte (falls relevant für das Unternehmen).
Diese Prinzipien bilden die Basis aller operativen Sicherheitsmaßnahmen.
4. Anforderungen an die Einhaltung gesetzlicher, regulatorischer und vertraglicher Vorgaben
Die Leitlinie muss klarstellen, dass Informationssicherheit folgende Anforderungen berücksichtigt:
Datenschutzgesetze (z. B. DSGVO),
branchenspezifische Sicherheitsanforderungen (z. B. KRITIS, Finanzregulatorik),
vertragliche Sicherheitsverpflichtungen gegenüber Kunden/Lieferanten,
interne Richtlinien und normative Anforderungen (ISO, interne Governance).
Dies zeigt die übergeordnete Compliance-Verpflichtung der Organisation.
5. Ausrichtung am Risikomanagement
Die Leitlinie muss den Zusammenhang zwischen Informationssicherheit und Risikomanagement definieren:
Nutzung eines systematischen Informationssicherheits-Risikomanagements,
Bewertung von Bedrohungen, Schwachstellen und Auswirkungen,
Risikobehandlung basierend auf Akzeptanzkriterien und Toleranzgrenzen,
Integration in unternehmensweites Risikomanagement.
Somit wird ein ganzheitlicher Schutzansatz gewährleistet.
6. Sicherheitsziele und deren Verknüpfung mit der Leitlinie
Die Leitlinie muss einen Rahmen vorgeben für:
operative und strategische Sicherheitsziele,
Messbarkeit und Überwachung (KPIs/KRIs),
regelmäßige Managementreviews,
Vorgaben für Berichterstattung zur Informationssicherheit.
Sie ist damit der Ausgangspunkt für die Festlegung jährlicher Sicherheitsziele.
7. Kommunikation und Veröffentlichung
Die Leitlinie muss aktiv kommuniziert werden:
Bereitstellung für alle Mitarbeitenden (Intranet, Onboarding, Schulung),
Kommunikation an relevante externe Parteien (z. B. Dienstleister, Auditoren, Kunden),
Sicherstellung, dass Mitarbeitende die Leitlinie verstehen und anwenden können.
Aktive Kommunikation stärkt die Sicherheitskultur.
8. Überprüfung, Aktualisierung und Genehmigung
Eine Informationssicherheitsleitlinie ist ein lebendes Dokument:
regelmäßige Überprüfung mindestens jährlich oder bei Änderungen im Umfeld,
Aktualisierung aufgrund neuer Risiken, Technologien oder regulatorischer Anforderungen,
formelle Genehmigung durch das Top-Management,
Dokumentation von Versionierung und Änderungen.
Dies stellt sicher, dass die Leitlinie stets aktuell und wirksam bleibt.
9. Durchsetzung und Integration in das ISMS
Die Leitlinie muss verbindlich sein:
Verstöße müssen identifiziert, bewertet und adressiert werden,
Implementierung in Prozesse, Kontrollmechanismen und Richtlinien,
Integration in Audits, Schulungen und Compliance-Prüfungen,
Förderung einer Sicherheitskultur durch Vorbildfunktion des Managements.
So wird die Leitlinie nicht nur erstellt, sondern auch tatsächlich gelebt.
Zusammenfassung
A 5.2-1 verlangt, dass eine umfassende Informationssicherheitsleitlinie definiert, dokumentiert, genehmigt, kommuniziert und regelmäßig überprüft wird. Sie legt die strategischen Grundlagen, Verantwortlichkeiten und Erwartungen für das gesamte ISMS fest und bildet das zentrale Dokument für Governance und Sicherheitskultur. Die Leitlinie dient als Ausgangspunkt für sämtliche nachfolgenden Sicherheitsrichtlinien, Prozesse und Kontrollen.
Leave a comment