A.5.1 — Richtlinien für Informationssicherheit

Eine Organisation hat 15 Richtlinien im SharePoint liegen. Drei davon wurden seit 2019 nicht aktualisiert, zwei widersprechen sich, und die Hälfte der Belegschaft kennt keine einzige davon. A.5.1 fordert genau das Gegenteil: ein aktuelles, freigegebenes und kommuniziertes Richtlinienwerk.

Richtlinien sind die Grundlage des gesamten ISMS. Sie dokumentieren, was die Organisation in Sachen Informationssicherheit erwartet — von der Geschäftsführung bis zur letzten Werkstudentin. Ohne dieses Fundament fehlt allen weiteren Kontrollen die Legitimation.

Zweck: Fortlaufende Eignung, Angemessenheit und Wirksamkeit der Managementrichtung für Informationssicherheit sicherstellen.
Wirkungsrichtung: Präventiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Organisatorische Kontrolle
BSI-Bausteine: ISMS.1.A3, ORP.1.A1, ISMS.1.A1, ISMS.1.A16, ORP.3.A3
KPI: % der Informationssicherheitsrichtlinien, die innerhalb der letzten 12 Monate geprüft und freigegeben wurden

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB / (C)ISO
Consulted	Abteilungsleitung, Facility Manager, HR, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, Incident-Response-Team, interne Revision, Rechtsberatung, Prozessverantwortliche, Risikoverantwortliche, Software-Entwicklungsleitung, Geschäftsführung
Informed	Alle Beschäftigten, Abteilungsleitung, IT-Admin, IT-Sicherheitsbeauftragter, Software-Entwicklung, Geschäftsführung

Was verlangt die Norm?

Richtlinien erstellen und freigeben. Die Organisation braucht eine übergeordnete Informationssicherheitsrichtlinie sowie themenspezifische Richtlinien für relevante Bereiche. Beide müssen von der zuständigen Führungsebene genehmigt werden.
Angemessenheit an den Kontext. Richtlinien müssen die geschäftlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen der Organisation widerspiegeln — keine Mustervorlagen, die am Unternehmen vorbei formuliert sind.
Kommunikation an relevante Zielgruppen. Alle Personen, die eine Richtlinie betrifft, müssen diese kennen und verstehen. Das schließt externe Parteien ein, wenn deren Handlungen Auswirkungen auf die Informationssicherheit haben.
Regelmäßige Überprüfung. Richtlinien werden in geplanten Abständen und bei wesentlichen Änderungen überprüft und aktualisiert. Die Überprüfung wird dokumentiert.
Konsistenz im Richtlinienwerk. Richtlinien dürfen sich nicht widersprechen. Die übergeordnete Richtlinie bildet den Rahmen, themenspezifische Richtlinien konkretisieren.

In der Praxis

Richtlinienregister anlegen. Führe eine zentrale Liste aller Richtlinien mit Version, Freigabedatum, verantwortlicher Person und nächstem Review-Termin. Dieses Register ist dein Steuerungsinstrument und gleichzeitig ein Audit-Nachweis.

Freigabeprozess definieren. Jede Richtlinie durchläuft einen definierten Prozess: Entwurf → Fachliche Prüfung → Freigabe → Kommunikation → Archivierung der Vorgängerversion. Halte fest, wer wann was freigegeben hat.

Kommunikation aktiv gestalten. Eine Richtlinie im Intranet ablegen reicht nicht. Neue und geänderte Richtlinien brauchen eine aktive Kommunikation — per E-Mail, in Schulungen oder über das Onboarding-Programm. Besonders wirksam: Beschäftigte bestätigen die Kenntnisnahme.

Review-Zyklus einhalten. Setze dir feste Termine für die jährliche Überprüfung. Prüfe dabei: Stimmt der Inhalt noch? Haben sich Gesetze oder Verträge geändert? Gibt es neue Geschäftsbereiche? Dokumentiere das Ergebnis — auch wenn keine Änderung nötig war.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.1 typischerweise diese Nachweise:

Informationssicherheitsrichtlinie — die übergeordnete Richtlinie mit Unterschrift der Geschäftsführung (→ Informationssicherheitsrichtlinie im Starter Kit)
Richtlinienregister — zentrale Übersicht aller Richtlinien mit Versionierung und Review-Status (→ Dokumentenregister im Starter Kit)
Freigabeprotokolle — Nachweis, wer wann welche Richtlinie genehmigt hat
Kommunikationsnachweise — Belege, dass Richtlinien an die Zielgruppen verteilt wurden (E-Mail-Verteiler, Schulungsprotokoll, Kenntnisnahme-Bestätigung)
Review-Protokolle — Dokumentation der periodischen Überprüfung, einschließlich „keine Änderung erforderlich”

KPI

% der Informationssicherheitsrichtlinien, die innerhalb der letzten 12 Monate geprüft und freigegeben wurden

Dieser KPI misst die Aktualität deines Richtlinienwerks. Ziel: 100%. Jede Richtlinie, die ihren Review-Termin überschritten hat, drückt den Wert. In der Praxis starten viele Organisationen bei 60–70% und erreichen 100% nach dem ersten vollständigen Review-Zyklus.

Ergänzende KPIs:

Anteil der Beschäftigten, die die Kenntnisnahme der aktuellen Richtlinien bestätigt haben
Durchschnittliche Dauer zwischen Freigabe einer neuen Richtlinie und deren Kommunikation (Ziel: unter 5 Arbeitstage)
Anzahl der Richtlinien mit identifizierten Widersprüchen oder Lücken

BSI IT-Grundschutz

A.5.1 mappt direkt auf die Kernanforderungen des BSI zur Leitlinienerstellung:

ISMS.1.A3 (Erstellen einer Leitlinie zur Informationssicherheit) — verlangt explizit eine von der Geschäftsführung freigegebene Leitlinie mit Geltungsbereich, Sicherheitszielen und Organisationsstruktur.
ISMS.1.A1 (Übernahme der Gesamtverantwortung) — die Geschäftsführung muss die Informationssicherheit als strategisches Thema anerkennen und Ressourcen bereitstellen.
ISMS.1.A16 (Erstellung von zielgruppengerechten Richtlinien) — die Richtlinien müssen verständlich und an die jeweilige Zielgruppe angepasst sein.
ORP.1.A1 (Festlegung von Verantwortlichkeiten) — organisatorische Regelungen dokumentieren, wer für was zuständig ist.
ORP.3.A3 (Einweisung des Personals) — alle Beschäftigten müssen in die für sie relevanten Richtlinien eingewiesen werden.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.1 — Richtlinien für Informationssicherheit
ISO/IEC 27002:2022 Abschnitt 5.1 — Umsetzungshinweise
BSI IT-Grundschutz, ISMS.1 — Sicherheitsmanagement

Häufig gestellte Fragen

Wie viele Richtlinien braucht ein ISMS mindestens?

ISO 27001 verlangt eine übergeordnete Informationssicherheitsrichtlinie plus themenspezifische Richtlinien für jeden relevanten Bereich (z. B. Zugriffskontrolle, Kryptografie, Lieferanten). In der Praxis kommen die meisten Organisationen auf 10–20 Richtlinien. Entscheidend ist Qualität und Aktualität, weniger die reine Anzahl.

Wer muss die Informationssicherheitsrichtlinie freigeben?

Die oberste Leitung (Geschäftsführung, Vorstand). Das ist eine explizite Forderung aus ISO 27001 Clause 5.2. Die Freigabe dokumentiert das Bekenntnis der Führung zur Informationssicherheit und ist einer der ersten Punkte, die Auditoren prüfen.

Wie oft müssen Richtlinien überprüft werden?

ISO 27001 schreibt keine feste Frequenz vor. Gängige Praxis ist eine jährliche Überprüfung plus anlassbezogene Reviews bei wesentlichen Änderungen (Reorganisation, neuer Geschäftsbereich, Sicherheitsvorfall). Die Überprüfung muss dokumentiert werden — auch wenn sich nichts ändert.