Klausel 5: Führung

Klausel 5 – Führung

Ein ISMS ohne Rückhalt der Leitung scheitert. Deshalb adressiert Klausel 5 ausdrücklich die oberste Leitung (Top Management) – also die Personen, die die Organisation auf höchster Ebene lenken. Sicherheit ist Chefsache, nicht nur ein IT-Thema.

5.1 Führung und Verpflichtung

Die oberste Leitung muss Führung und Selbstverpflichtung nachweisen. Konkret heißt das u. a.:

• sicherstellen, dass Politik und Ziele zur strategischen Ausrichtung passen;
• die nötigen Ressourcen bereitstellen;
• die Bedeutung des ISMS kommunizieren;
• das ISMS in die Geschäftsprozesse integrieren;
• Mitarbeitende anleiten und unterstützen, zum Erfolg beizutragen.

Diese Verantwortung lässt sich nicht wegdelegieren – die Leitung trägt sie persönlich.

5.2 Politik (Informationssicherheitspolitik)

Die Leitung legt eine Informationssicherheitspolitik fest – ein kurzes, übergeordnetes Grundsatzdokument. Es muss:

• zum Zweck der Organisation passen;
• Sicherheitsziele enthalten oder einen Rahmen dafür geben;
• die Verpflichtung zur Erfüllung von Anforderungen und zur fortlaufenden Verbesserung ausdrücken;
• dokumentiert, kommuniziert und für interessierte Parteien verfügbar sein.

Wichtig: Die Politik ist das Dach. Darunter hängen detaillierte themenspezifische Richtlinien (z. B. zu Zugang, Backup, Kryptographie) – die regelt Maßnahme 5.1 aus Anhang A.

5.3 Rollen, Verantwortlichkeiten und Befugnisse

Die Leitung muss sicherstellen, dass Rollen klar zugewiesen und kommuniziert sind. Insbesondere muss jemand verantwortlich sein, dass das ISMS die Normanforderungen erfüllt und dass über seine Leistung an die Leitung berichtet wird. In der Praxis ist das oft ein/e Informationssicherheitsbeauftragte/r (ISB/CISO).