Klausel 7: Unterstützung
Anforderungen (Klauseln 4–10)
Klausel 7 – Unterstützung
Pläne sind wertlos ohne Mittel, Menschen und Kommunikation. Klausel 7 bündelt alles, was das ISMS am Laufen hält: Ressourcen, Kompetenz, Bewusstsein, Kommunikation und dokumentierte Information.
7.1 Ressourcen
Die Organisation muss die erforderlichen Ressourcen für Einrichtung, Betrieb und Verbesserung des ISMS bereitstellen – Budget, Personal, Zeit, Werkzeuge, Infrastruktur. Ein ISMS „nebenbei" ohne Mittel ist ein klassisches Scheitermuster.
7.2 Kompetenz
Personen, die die Sicherheitsleistung beeinflussen, müssen kompetent sein – durch Ausbildung, Schulung oder Erfahrung. Wo Kompetenz fehlt, muss die Organisation sie aufbauen (Trainings, Einstellung, externe Beratung) und die Wirksamkeit bewerten. Nachweise (z. B. Zertifikate) sind aufzubewahren.
7.3 Bewusstsein (Awareness)
Alle unter der Kontrolle der Organisation Tätigen müssen sich bewusst sein über:
- die Informationssicherheitspolitik;
- ihren eigenen Beitrag zur Wirksamkeit des ISMS;
- die Folgen, wenn man sich nicht an die Regeln hält.
Awareness ist mehr als ein jährliches E-Learning – sie zielt auf eine gelebte Sicherheitskultur. Die zugehörige Maßnahme ist 6.3 aus Anhang A.
7.4 Kommunikation
Die Organisation muss bestimmen, was, wann, mit wem, durch wen und wie kommuniziert wird – intern wie extern. Beispiel: Wer informiert bei einem Datenleck die Aufsichtsbehörde, und über welchen Kanal?
7.5 Dokumentierte Information
Der umfangreichste Teil von Klausel 7 betrifft die Dokumentation – von der Erstellung bis zur Lenkung. Weil das so zentral ist, behandeln wir es separat im Kapitel Dokumentierte Information.
| Abschnitt | Kurz |
|---|---|
| 7.1 Ressourcen | Mittel bereitstellen |
| 7.2 Kompetenz | die richtigen Fähigkeiten |
| 7.3 Bewusstsein | jeder kennt seinen Beitrag |
| 7.4 Kommunikation | geregelter Informationsfluss |
| 7.5 Dok. Information | schreiben & lenken |
Worauf zielt 7.3 „Bewusstsein" ab?