Login Registrieren
Lernen / ISO/IEC 27001 — ISMS-Tutorial / Richtlinien & Rollen (5.1–5.8)

Richtlinien & Rollen (5.1–5.8)

A.5 Organisatorische Maßnahmen

A.5 Organisatorische Maßnahmen – der Auftakt

Das Thema 5 (Organisatorisch) ist mit 37 Maßnahmen das größte. Es legt das organisatorische Fundament: Regeln, Rollen und Strukturen, auf denen alles andere aufbaut. Dieses Kapitel behandelt die Maßnahmen 5.1–5.8.

5.1 Informationssicherheitspolitik & themenspezifische Richtlinien

Die Spitze der Dokumentenpyramide. Die übergeordnete Politik (von der Geschäftsleitung genehmigt – siehe Klausel 5.2) wird durch themenspezifische Richtlinien ergänzt: Zugang, Backup, Kryptographie, Clean Desk usw. Alle müssen veröffentlicht, kommuniziert und regelmäßig überprüft werden.

Politik (das WARUM, Dach)
  └─ themenspezifische Richtlinien (das WAS je Thema)
       └─ Verfahren / Arbeitsanweisungen (das WIE im Detail)

5.2–5.4 Rollen, Aufgabentrennung & Verantwortung der Leitung

  • 5.2 Rollen & Verantwortlichkeiten: Sicherheitsaufgaben klar definieren und zuweisen – niemand kann verantworten, was nicht zugewiesen ist.
  • 5.3 Aufgabentrennung (SoD): Sich widersprechende Aufgaben trennen, damit keine einzelne Person einen kritischen Prozess allein missbrauchen kann (z. B. wer eine Zahlung anlegt, gibt sie nicht selbst frei).
  • 5.4 Verantwortlichkeiten der Leitung: Die Leitung verlangt aktiv von allen, die Sicherheitsregeln einzuhalten.

5.5–5.6 Kontakte pflegen

Sicherheit endet nicht an der Firmengrenze:

  • 5.5 Kontakt mit Behörden – z. B. Datenschutzaufsicht, Strafverfolgung, CERT. Wichtig, um im Ernstfall schnell handeln zu können.
  • 5.6 Kontakt mit speziellen Interessensgruppen – Fachverbände, Security-Foren, CERTs, um früh von Bedrohungen und Best Practices zu erfahren.

5.7 Informationen über die Bedrohungslage (Threat Intelligence)

Neu 2022. Informationen über aktuelle Bedrohungen werden gesammelt und analysiert, um Erkenntnisse zu gewinnen – strategisch (Trends), taktisch (Angreifer-Methoden) und operativ (konkrete Indikatoren). Quellen reichen von CERT-Meldungen über Hersteller-Advisories bis zu Branchen-Sharing.

5.8 Informationssicherheit im Projektmanagement

Sicherheit muss von Anfang an in Projekte einfließen – nicht nachträglich „draufgeklebt". Jedes Projekt (IT, aber auch organisatorisch) berücksichtigt Sicherheitsanforderungen und Risiken in allen Phasen („Security by Design").

Was bezweckt die „Aufgabentrennung" (5.3, Segregation of Duties)?

Weiter mit den Werten & ihrer Klassifizierung (5.9–5.14).

Erklärung zur Anwendbarkeit Werte & Klassifizierung (5.9–5.14)