(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Ein wirksames Informationssicherheitsmanagement erfordert klar definierte Rollen, Verantwortlichkeiten und Zuständigkeiten. Informationssicherheit ist eine organisationsweite Aufgabe und kann nur dann effektiv umgesetzt werden, wenn Aufgaben eindeutig zugewiesen, Entscheidungsbefugnisse festgelegt und Verantwortlichkeiten transparent kommuniziert sind. Dieses Control stellt sicher, dass Informationssicherheitsaufgaben strukturiert organisiert, nachvollziehbar gesteuert und dauerhaft wahrgenommen werden.

Zweck des Controls

A 5.2 soll gewährleisten, dass alle informationssicherheitsrelevanten Rollen innerhalb der Organisation klar definiert, dokumentiert und zugewiesen sind. Zuständigkeiten, Befugnisse und Rechenschaftspflichten müssen eindeutig geregelt sein, um eine wirksame Umsetzung, Überwachung und kontinuierliche Verbesserung des ISMS sicherzustellen. Dadurch werden organisatorische Schwachstellen, Verantwortlichkeitslücken und ineffiziente Abläufe vermieden.

Anforderungen und Maßnahmen

1. Festlegung von Informationssicherheitsrollen

Organisationen müssen alle relevanten Rollen im Kontext der Informationssicherheit identifizieren und definieren. Dazu zählen unter anderem:

• Rollen zur Steuerung und Koordination des ISMS (z. B. ISB / ISMS-Manager)
• Rollen mit Verantwortung für Informationssicherheitsrisiken
• Rollen im Bereich IT, Betrieb, Entwicklung und Infrastruktur
• Rollen in Fachbereichen mit Zugriff auf schützenswerte Informationen
• Rollen für Incident Management, Notfallmanagement und Business Continuity
• Rollen im Zusammenhang mit Datenschutz, Compliance und Recht
• Rollen externer Dienstleister mit sicherheitsrelevanten Aufgaben

Die Rollen müssen eindeutig beschrieben und organisatorisch verankert sein.

2. Zuweisung von Verantwortlichkeiten und Befugnissen

Für jede definierte Rolle müssen die zugehörigen Verantwortlichkeiten und Befugnisse festgelegt werden, insbesondere:

• Verantwortung für Planung, Umsetzung und Überwachung von Sicherheitsmaßnahmen
• Entscheidungsbefugnisse im Rahmen der Informationssicherheit
• Zuständigkeiten für Risikoidentifikation, -bewertung und -behandlung
• Eskalationsrechte bei Sicherheitsvorfällen oder Regelverstößen
• Berichtspflichten gegenüber Management oder Gremien

Dies stellt sicher, dass Aufgaben nicht unklar verteilt oder unbeabsichtigt vernachlässigt werden.

3. Trennung von Aufgaben und Vermeidung von Interessenkonflikten

Organisationen müssen sicherstellen, dass sicherheitskritische Aufgaben angemessen getrennt sind:

• Trennung von operativen Tätigkeiten und überwachenden Funktionen
• Vermeidung von Interessenkonflikten bei sicherheitsrelevanten Entscheidungen
• Einrichtung zusätzlicher Kontrollen bei personellen oder organisatorischen Einschränkungen
• Dokumentierte Kompensationsmaßnahmen bei fehlender vollständiger Funktionstrennung

Diese Maßnahmen erhöhen die Objektivität und Wirksamkeit der Sicherheitskontrollen.

4. Dokumentation der Rollen und Verantwortlichkeiten

Alle Rollen und Zuständigkeiten müssen nachvollziehbar dokumentiert werden, z. B. in:

• Rollen- und Aufgabenbeschreibungen
• Organisations- oder Rollenmodellen
• RACI-Matrizen oder Zuständigkeitsübersichten
• ISMS-Dokumentation oder Sicherheitskonzepten

Die Dokumentation muss aktuell gehalten und für relevante Personen zugänglich sein.

5. Kommunikation und Bekanntmachung der Rollen

Die Organisation muss sicherstellen, dass Mitarbeitende ihre Rolle im Kontext der Informationssicherheit kennen:

• Kommunikation der Rollen im Rahmen von Onboarding-Prozessen
• Regelmäßige Information über Zuständigkeiten und Ansprechpartner
• Integration der Rollen in Schulungen und Awareness-Maßnahmen
• Transparente Darstellung von Eskalations- und Meldewegen

Dies unterstützt die praktische Umsetzung der Informationssicherheitsanforderungen im Arbeitsalltag.

6. Sicherstellung von Kompetenz und Ressourcen

Rolleninhaber müssen in der Lage sein, ihre Aufgaben wirksam zu erfüllen:

• Bereitstellung ausreichender zeitlicher und organisatorischer Ressourcen
• Sicherstellung geeigneter fachlicher Qualifikation und Schulungen
• Zugriff auf relevante Informationen, Systeme und Werkzeuge
• Unterstützung durch das Management bei der Wahrnehmung der Aufgaben

Ohne ausreichende Ressourcen bleibt die Rollendefinition wirkungslos.

7. Regelmäßige Überprüfung und Anpassung der Rollen

Rollen und Verantwortlichkeiten müssen regelmäßig überprüft und bei Bedarf angepasst werden:

• Überprüfung im Rahmen interner Audits oder Management Reviews
• Anpassung bei organisatorischen Änderungen, Personalwechseln oder neuen Risiken
• Bewertung der Wirksamkeit der Rollenverteilung
• Dokumentation von Änderungen und Aktualisierungen

Dies stellt sicher, dass die Organisationsstruktur stets den aktuellen Anforderungen entspricht.

8. Einbindung externer Parteien

Sofern externe Dienstleister oder Partner informationssicherheitsrelevante Aufgaben übernehmen, müssen auch deren Rollen klar geregelt sein:

• Definition der Verantwortlichkeiten in Verträgen und Vereinbarungen
• Abgrenzung zwischen internen und externen Zuständigkeiten
• Überwachung der Leistung und Einhaltung sicherheitsrelevanter Vorgaben
• Sicherstellung der Integration externer Rollen in das ISMS

Die Gesamtverantwortung verbleibt dabei stets bei der Organisation.

Zusammenfassung

A 5.2 verlangt, dass Informationssicherheitsrollen und -verantwortlichkeiten klar definiert, dokumentiert, zugewiesen und kommuniziert werden. Durch eindeutige Zuständigkeiten, angemessene Befugnisse, ausreichende Ressourcen und regelmäßige Überprüfung wird sichergestellt, dass Informationssicherheit organisatorisch wirksam umgesetzt werden kann. Das Control bildet eine zentrale Grundlage für Governance, Transparenz und Effektivität des gesamten Informationssicherheitsmanagementsystems.