Kontrolle A.5.1 in ISO 27001:2022 Anhang A bildet die Grundlage Ihres gesamten Informationssicherheits-Managementsystems. Sie verlangt, dass Ihre Organisation eine Reihe von Informationssicherheitsrichtlinien definiert, genehmigt, veröffentlicht und kommuniziert – und diese in geplanten Abständen oder bei wesentlichen Änderungen überprüft.
Wenn Sie A.5.1 richtig umsetzen, lassen sich alle anderen Kontrollen aus Anhang A leichter implementieren. Wenn Sie es falsch machen, werden die Auditoren Lücken in Ihrem gesamten ISMS aufzeigen.
Was verlangt Kontrolle A.5.1?
Die formale Anforderung aus ISO 27001:2022 Anhang A lautet:
A.5.1 – Richtlinien zur Informationssicherheit: Es muss eine Reihe von Richtlinien zur Informationssicherheit definiert, von der Geschäftsleitung genehmigt, veröffentlicht, den betroffenen Mitarbeitern und interessierten Parteien mitgeteilt und von diesen anerkannt sowie in geplanten Abständen oder bei wesentlichen Änderungen überprüft werden.
Praktisch bedeutet dies, dass Sie Folgendes benötigen:
Warum A.5.1 wichtig ist
A.5.1 ist oft die erste Kontrolle, die Auditoren prüfen, da sie den Ton für Ihr gesamtes ISMS angibt. Hier sind die Gründe, warum sie so wichtig ist:
Schrittweise Umsetzung
Schritt 1: Definieren Sie Ihre Richtlinienhierarchie
Beginnen Sie mit einem mehrschichtigen Ansatz:
Die meisten Organisationen benötigen zwischen 8 und 15 themenspezifische Richtlinien. Erstellen Sie Richtlinien nicht um ihrer selbst willen – jede einzelne sollte sich auf Risiken beziehen, die in Ihrer Risikobewertung identifiziert wurden.
Schritt 2: Entwerfen Sie Richtlinien, die auf Ihr Risikoregister abgestimmt sind.
Beziehen Sie sich bei jeder themenspezifischen Richtlinie auf die Risiken, die sie behandelt. Eine gute Richtlinie umfasst:
Schritt 3: Genehmigung durch die Geschäftsleitung einholen
ISO 27001 verlangt ausdrücklich die Genehmigung durch das Management. Das bedeutet:
Schritt 4: Kommunizieren und Bestätigung einholen
Das Verfassen von Richtlinien reicht nicht aus. Sie müssen nachweisen, dass die betroffenen Personen diese erhalten und verstanden haben:
Schritt 5: Überprüfungen planen und durchführen
Legen Sie einen Überprüfungsrhythmus fest – mindestens einmal jährlich oder ausgelöst durch:
Dokumentieren Sie jede Überprüfung, auch wenn keine Änderungen vorgenommen wurden. Die Prüfer möchten sehen, dass Sie aktiv geprüft haben, ob Aktualisierungen erforderlich waren.
Für Wirtschaftsprüfer erforderliche Nachweise
Wenn der Zertifizierungsprüfer A.5.1 überprüft, achtet er auf Folgendes:
Nachweis Was es belegt Informationssicherheitsrichtlinie auf höchster Ebene (unterzeichnet, datiert) Verpflichtung der Geschäftsleitung und strategische Ausrichtung Reihe themenspezifischer Richtlinien Abdeckung relevanter Bereiche aus Anhang A Aufzeichnungen zur Genehmigung von Richtlinien (Unterschriften, Sitzungsprotokolle)Formelle Genehmigung durch das ManagementKommunikationsprotokoll/VerteilungsprotokolleRichtlinien wurden an relevante Mitarbeiter weitergegebenBestätigungsunterlagen (unterzeichnete Formulare, digitale Bestätigungen)Mitarbeiter haben die Richtlinien erhalten und akzeptiertÜberprüfungsunterlagen mit Datum und ErgebnissenRichtlinien werden gepflegt und sind aktuellVersionshistorie/ÄnderungsprotokollKontrollierte Dokumentenverwaltung
Häufige Fallstricke
Wie ISMS Copilot hilft
ISMS Copilot beschleunigt die Umsetzung von A.5.1 durch:
Anstatt wochenlang Richtlinien von Grund auf neu zu entwerfen, erstellen Teams, die ISMS Copilot verwenden, in der Regel innerhalb weniger Tage einen vollständigen Satz von Richtlinien.
Verwandte Steuerelemente
A.5.1 steht in direktem Zusammenhang mit mehreren anderen Kontrollen aus Anhang A:
Häufig gestellte Fragen
Wie viele Informationssicherheitsrichtlinien benötige ich für ISO 27001?
Es gibt keine festgelegte Anzahl. ISO 27001 verlangt eine übergeordnete Informationssicherheitsrichtlinie sowie themenspezifische Richtlinien, die für Ihr Unternehmen relevant sind. Die meisten Unternehmen implementieren zwischen 8 und 15 themenspezifische Richtlinien. Wichtig ist, dass Ihre Richtlinien die in Ihrer Risikobewertung identifizierten Risiken und die Kontrollen in Anhang A Ihrer Anwendbarkeitserklärung abdecken. Ein Start-up-Unternehmen mit 20 Mitarbeitern benötigt weniger Richtlinien als ein Unternehmen mit 5.000 Mitarbeitern.
Wie oft sollten Richtlinien zur Informationssicherheit überprüft werden?
ISO 27001 verlangt Überprüfungen in „geplanten Abständen“ – die meisten Organisationen legen einen jährlichen Überprüfungszyklus fest. Sie sollten Richtlinien jedoch auch überprüfen, wenn wesentliche Änderungen eintreten: ein schwerwiegender Sicherheitsvorfall, eine Umstrukturierung der Organisation, neue Vorschriften oder Änderungen an Ihrer Technologieplattform. Dokumentieren Sie jede Überprüfung, auch wenn keine Änderungen vorgenommen wurden, um die fortlaufende Konformität nachzuweisen.
Kann ich Richtlinienvorlagen für ISO 27001 A.5.1 verwenden?
Vorlagen sind ein nützlicher Ausgangspunkt, müssen jedoch an die tatsächlichen Abläufe, das Risikoprofil und den Kontext Ihres Unternehmens angepasst werden. Auditoren suchen nach spezifischen und umsetzbaren Richtlinien – nicht nach allgemeinen Dokumenten, die für jedes Unternehmen gelten könnten. Tools wie ISMS Copilot erstellen auf der Grundlage Ihrer spezifischen Eingaben maßgeschneiderte Entwürfe, was Zeit spart und gleichzeitig die Relevanz sicherstellt.