Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.2 — Rollen und Verantwortlichkeiten

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.2 ISO 27001ISO 27002BSI ISMS.1

In der Praxis sieht es häufig so aus: Der IT-Leiter „macht auch Sicherheit”, der Datenschutzbeauftragte „kümmert sich um alles mit Daten”, und bei einem Vorfall weiß niemand, wer entscheidet. A.5.2 verlangt, dass Informationssicherheitsrollen explizit definiert, zugewiesen und kommuniziert werden.

Ohne klare Verantwortlichkeiten entstehen Lücken — Aufgaben, für die sich niemand zuständig fühlt. Gleichzeitig entstehen Überlappungen, bei denen sich Personen gegenseitig im Weg stehen. Beides schwächt die Informationssicherheit.

Was verlangt die Norm?

  • Rollen definieren. Alle Informationssicherheitsrollen müssen explizit beschrieben werden — mit Aufgaben, Befugnissen und Verantwortlichkeiten.
  • Verantwortung zuweisen. Jede Rolle muss einer konkreten Person zugewiesen sein. Die Zuweisung muss von der zuständigen Führungsebene genehmigt werden.
  • Delegation ermöglichen, Verantwortung behalten. Wer Aufgaben delegiert, bleibt für deren korrekte Durchführung verantwortlich.
  • Kommunikation sicherstellen. Alle Beschäftigten müssen wissen, an wen sie sich bei Sicherheitsfragen wenden können.
  • Regelmäßige Aktualisierung. Rollen und Zuweisungen werden bei Personalwechseln und Organisationsänderungen aktualisiert.

In der Praxis

Rollenprofile erstellen. Für jede Sicherheitsrolle (ISB, IT-Sicherheitsbeauftragter, Risikoverantwortliche, Asset-Eigentümer) ein Profil mit Aufgaben, Befugnissen und Qualifikationsanforderungen erstellen. Das Profil wird Teil der Stellenbeschreibung.

Vertretungsregelungen definieren. Jede kritische Sicherheitsrolle braucht eine Vertretung. Dokumentiere, wer im Urlaub oder Krankheitsfall die Aufgaben übernimmt. Besonders beim ISB ist eine Vertretung für Auditoren ein Muss.

Organigramm mit Sicherheitsrollen ergänzen. Ein Organigramm, das die Sicherheitsrollen und ihre Berichtslinien zeigt, macht die Struktur auf einen Blick verständlich. Wichtig: Der ISB sollte eine direkte Berichtslinie zur Geschäftsführung haben.

Personalwechsel als Trigger nutzen. Bei jedem Ein- oder Austritt prüfen, ob Sicherheitsrollen betroffen sind. Das gilt besonders für Rollen wie Asset-Eigentümer oder Risikoverantwortliche, die oft an Positionen gekoppelt sind.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.2 typischerweise diese Nachweise:

  • Rollenprofile — dokumentierte Beschreibung aller Informationssicherheitsrollen
  • RACI-Matrix — Zuordnung von Verantwortlichkeiten zu sicherheitsrelevanten Prozessen
  • Ernennungsschreiben — formale Zuweisung der Rollen an benannte Personen
  • Organigramm mit Sicherheitsrollen — Darstellung der Berichtslinien
  • Vertretungsregelung — dokumentierte Stellvertretung für kritische Rollen

KPI

% der definierten Informationssicherheitsrollen mit zugewiesener verantwortlicher Person

Dieser KPI misst den Besetzungsgrad deiner Sicherheitsorganisation. Ziel: 100%. Jede unbesetzte Rolle ist eine Lücke in der Verantwortung. Typische Ursache für Werte unter 100%: Personalwechsel, bei denen die Sicherheitsrolle nicht übergeben wurde.

Ergänzende KPIs:

  • Anteil der Sicherheitsrollen mit dokumentierter Vertretungsregelung
  • Durchschnittliche Dauer bis zur Neubesetzung einer vakanten Sicherheitsrolle (Ziel: unter 30 Tage)
  • Anteil der Beschäftigten, die ihre Sicherheitsverantwortung kennen (gemessen über Awareness-Befragung)

BSI IT-Grundschutz

A.5.2 korrespondiert mit den zentralen BSI-Anforderungen zur Organisationsstruktur:

  • ISMS.1.A4 (Benennung eines Informationssicherheitsbeauftragten) — verlangt die explizite Benennung eines ISB mit direkter Berichtslinie zur Geschäftsführung und ausreichenden Ressourcen.
  • ISMS.1.A6 (Aufbau einer geeigneten Organisationsstruktur) — die Sicherheitsorganisation muss zur Größe und Komplexität der Organisation passen.
  • ORP.1.A1 (Festlegung von Verantwortlichkeiten) — alle sicherheitsrelevanten Aufgaben müssen einer verantwortlichen Person zugeordnet sein.
  • ORP.1.A2 (Zuweisung der Zuständigkeiten) — Zuständigkeiten für Informationswerte und Prozesse müssen eindeutig zugewiesen sein.

Verwandte Kontrollen

A.5.2 bildet zusammen mit den folgenden Kontrollen die Governance-Basis:

Quellen

Häufig gestellte Fragen

Braucht jede Organisation einen eigenen ISB?

ISO 27001 verlangt keine bestimmte Stellenbezeichnung, wohl aber eine klar zugewiesene Verantwortung für das ISMS. In der Praxis heißt das: Jemand muss benannt sein, der das ISMS koordiniert. Bei kleinen Organisationen kann das eine Teilzeitrolle sein, bei größeren eine Vollzeitstelle oder sogar ein Team.

Darf der ISB gleichzeitig IT-Leiter sein?

ISO 27001 verbietet das nicht explizit. Es besteht jedoch ein Interessenkonflikt, weil der ISB die IT-Sicherheit überwachen soll, die die IT-Leitung operativ verantwortet. Auditoren hinterfragen diese Doppelrolle regelmäßig. Wenn eine Trennung personell unmöglich ist, dokumentiere den Konflikt und die kompensierenden Maßnahmen (z. B. unabhängiges Audit).

Wie dokumentiert man Rollen und Verantwortlichkeiten am besten?

Eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) für alle sicherheitsrelevanten Prozesse ist der Standard. Ergänze sie um Stellenbeschreibungen oder Rollenprofile, die die Sicherheitsverantwortung explizit benennen. Das Ergebnis muss für Auditoren nachvollziehbar sein.