ISO 27001 - Kapitel 5 Informationssicherheits-Leitlinie

In Kapitel 5 beschäftigt sich die ISO 27001:2022 mit der Informationssicherheits-Leitlinie. Hier wurden keine relevanten Änderungen (im Vergleich zur ISO 27001:2015) vorgenommen. Das Kapitel 5 behandelt nach wie vor die Rolle und Aufgabe der Führungsebene, also des Managements.

Informationssicherheitsziele

Das Management selbst muss Ziele im Bereich der Informationssicherheit festlegen, die mit der allgemeinen strategischen Ausrichtung der Organisation in Einklang stehen. Notwendig ist, zumindest die Rahmenbedingungen zur Erreichung angemessener Ziele festzulegen.

Die Ziele sollten hier so allgemein gehalten werden, dass ihr Bekanntwerden kein Sicherheitsrisiko darstellt. Aufgrund der Tatsache, dass die Leitlinie gegebenenfalls auch Interessenten zugänglich gemacht wird, sollen diese allgemeinen Ziele lediglich den Stellenwert der Informationssicherheit im Unternehmen beschreiben. Die konkreten Sicherheitsziele sollten stattdessen in einem eigenen Dokument zusammengefasst werden.

Selbstverpflichtung des Managements

Die Aufnahme einer Selbstverpflichtungserklärung des Managements in die Informationssicherheits-Leitlinie ist unter 5.2. c) und d) ausdrücklich vorgesehen.

Diese Selbstverpflichtung bezieht sich auf die Einhaltung der in der Leitlinie festgelegten Anforderungen an die Informationssicherheit sowie die laufende Verbesserung des Informationssicherheits-Managementsystems (ISMS). Gefordert ist ein klares Bekenntnis des Managements zu den Werten des Managementsystems sowie dessen vollumfänglicher Unterstützung und Förderung.

Zugänglichmachung der Informationssicherheitsleitlinie

Die Informationssicherheitsleitlinie muss sowohl innerhalb der Organisation als auch anderen interessierten Parteien zur Verfügung stehen.

Von einer allgemeinen Veröffentlichung der Leitlinie raten wir jedoch ab, da diese auch Informationen enthält, die nicht jedermann zugänglich gemacht werden sollten. Die Leitlinie sollte ausschließlich auf Abruf verfügbar sein.

Verantwortlichkeiten in der Informationssicherheitsleitlinie

Wie in den Vorgängerversionen der ISO 27001 sind weiterhin Verantwortlichkeiten und Zuständigkeiten betreffend das ISMS zu definieren.

Dass die Zuteilung der Verantwortung für die Berichterstattung zur Leistung des Informationssicherheitsmanagements weiterhin ausdrücklich und gesondert genannt bleibt, unterstreicht den Stellenwert dieser Aufgabe.

Bewertung von Risiken nicht zwingend

In älteren Versionen der Norm war es notwendig, Kriterien zur Bewertung von Risiken in die Informationssicherheits-Leitlinie aufzunehmen. Seit der Version 2015 ist das nicht mehr zwingend. Die Kriterien sind nun im Rahmen der Definition des Prozesses für die Informationssicherheits-Risikoeinschätzung festzuschreiben. Dies ist auch systematisch der bessere Ort, da hier der entsprechende Zusammenhang vorhanden ist.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die Experten der activeMind erstellen für Mandanten im Rahmen der Zertifizierung nach ISO 27001 eine individuell auf das jeweilige Unternehmen angepasste Informationssicherheits-Leitlinie und helfen dabei, diese allen relevanten Stakeholdern bekannt zu machen.