(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Organisationen stehen im Kontext der Informationssicherheit häufig im Austausch mit speziellen Interessensgruppen, die über relevantes Fachwissen, branchenspezifische Informationen oder aktuelle Bedrohungsinformationen verfügen. Dazu zählen unter anderem Branchenverbände, Fachgremien, CERTs, Informationssicherheitsnetzwerke oder andere Organisationen mit vergleichbaren Sicherheitsanforderungen. Dieses Control stellt sicher, dass der Kontakt zu solchen Interessensgruppen strukturiert erfolgt und gezielt genutzt wird, um das Informationssicherheitsniveau der Organisation zu stärken.

Zweck des Controls

A 5.6 soll gewährleisten, dass Organisationen geeignete Interessensgruppen identifizieren und einen geregelten Austausch mit diesen etablieren. Ziel ist es, relevante Informationen zu Bedrohungen, Schwachstellen, Best Practices, regulatorischen Entwicklungen oder technischen Neuerungen frühzeitig zu erhalten und in das Informationssicherheitsmanagement einzubeziehen. Dadurch wird die Fähigkeit der Organisation verbessert, Risiken zu erkennen, zu bewerten und angemessen zu behandeln.

Anforderungen und Maßnahmen

1. Identifikation relevanter Interessensgruppen

Organisationen müssen geeignete interne und externe Interessensgruppen identifizieren, mit denen ein Austausch im Bereich Informationssicherheit sinnvoll ist, zum Beispiel:

• Branchen- und Fachverbände
• Informationssicherheitsnetzwerke und Arbeitskreise
• Computer Emergency Response Teams (CERTs)
• Hersteller- und Technologiecommunities
• Normungs- und Fachgremien
• Austauschplattformen mit vergleichbaren Organisationen

Die Auswahl der Interessensgruppen muss risikoorientiert und nachvollziehbar erfolgen.

2. Festlegung von Zielen und Nutzen des Austauschs

Für den Kontakt mit Interessensgruppen müssen klare Ziele definiert werden, insbesondere:

• Gewinnung von Informationen zu aktuellen Bedrohungen und Schwachstellen
• Austausch zu Best Practices und bewährten Sicherheitsmaßnahmen
• Frühzeitige Information über regulatorische oder normative Änderungen
• Unterstützung bei der Weiterentwicklung des ISMS
• Stärkung der eigenen Sicherheitskompetenz

So wird sichergestellt, dass der Austausch einen konkreten Mehrwert bietet.

3. Benennung von Ansprechpartnern und Verantwortlichkeiten

Organisationen müssen festlegen, wer für den Kontakt mit Interessensgruppen verantwortlich ist:

• Benennung geeigneter Rollen oder Funktionen
• Definition von Vertretungsregelungen
• Abgrenzung der Zuständigkeiten zu anderen Kommunikationswegen (z. B. Behördenkontakt)
• Sicherstellung, dass Ansprechpartner über ausreichende Fachkenntnisse verfügen

Dies gewährleistet eine koordinierte und konsistente Kommunikation.

4. Regelung des Informationsaustauschs

Der Austausch von Informationen mit Interessensgruppen muss kontrolliert erfolgen:

• Festlegung, welche Informationen geteilt werden dürfen
• Schutz vertraulicher oder sensibler Informationen
• Einhaltung vertraglicher, gesetzlicher und regulatorischer Vorgaben
• Nutzung geeigneter und sicherer Kommunikationskanäle

So wird verhindert, dass durch den Austausch neue Risiken entstehen.

5. Integration gewonnener Informationen in das ISMS

Relevante Informationen aus dem Austausch müssen systematisch genutzt werden:

• Bewertung der Relevanz für die eigene Organisation
• Einbindung in Risikoanalysen und Risikobehandlungen
• Anpassung von Sicherheitsmaßnahmen, Richtlinien oder Prozessen
• Berücksichtigung in Schulungs- und Awareness-Maßnahmen

Dies stellt sicher, dass der Austausch praktische Auswirkungen auf die Informationssicherheit hat.

6. Dokumentation und Nachvollziehbarkeit

Der Kontakt mit Interessensgruppen muss dokumentiert werden:

• Dokumentation der beteiligten Gruppen und Ansprechpartner
• Nachweise über relevante Informationen und Erkenntnisse
• Dokumentation von Entscheidungen und abgeleiteten Maßnahmen
• Archivierung gemäß interner Vorgaben

Die Dokumentation dient als Nachweis und Grundlage für kontinuierliche Verbesserung.

7. Regelmäßige Überprüfung und Weiterentwicklung

Der Austausch mit Interessensgruppen muss regelmäßig bewertet werden:

• Überprüfung des Nutzens und der Aktualität der Kontakte
• Anpassung der beteiligten Gruppen bei veränderten Risiken
• Berücksichtigung neuer relevanter Netzwerke oder Gremien
• Integration von Lessons Learned in das ISMS

So bleibt der Austausch dauerhaft wirksam und relevant.

8. Sensibilisierung relevanter Mitarbeitender

Mitarbeitende mit Kontakt zu Interessensgruppen müssen sensibilisiert werden:

• Schulung zum sicheren Informationsaustausch
• Klarstellung von Rollen, Befugnissen und Grenzen
• Sensibilisierung für Vertraulichkeit und Informationsklassifizierung
• Einbindung in bestehende Sicherheits- und Compliance-Prozesse

Dies unterstützt einen sicheren und kontrollierten Austausch.

Zusammenfassung

A 5.6 fordert, dass Organisationen einen strukturierten und zielgerichteten Kontakt mit speziellen Interessensgruppen im Bereich Informationssicherheit etablieren. Durch die Identifikation relevanter Gruppen, klare Verantwortlichkeiten, geregelten Informationsaustausch und die systematische Nutzung gewonnener Erkenntnisse wird die Fähigkeit der Organisation gestärkt, Risiken frühzeitig zu erkennen und das Informationssicherheitsmanagement kontinuierlich zu verbessern. Dieses Control trägt wesentlich zur Aktualität, Wirksamkeit und Reife des ISMS bei.