Die Richtlinienhierarchie strukturiert die Dokumentation eines ISMS in aufeinander aufbauende Ebenen. Ganz oben steht die Informationssicherheitsleitlinie, die Grundsätze und Verantwortlichkeiten definiert. Darunter folgen themenspezifische Richtlinien (z. B. Zugriffskontrolle, Kryptographie). Die unterste Ebene bilden operative Verfahrensanweisungen und Checklisten. Jede Ebene konkretisiert die darübergelegene. Du erreichst damit Konsistenz und vermeidest Widersprüche zwischen Dokumenten. Im Audit prüft der Auditor, ob die Hierarchie lückenlos ist und ob operative Anweisungen tatsächlich aus den übergeordneten Richtlinien abgeleitet sind.