Die Zugriffskontrollrichtlinie verlangt vierteljährliche Rezertifizierung. Ergebnis der Prüfung: In drei von fünf Abteilungen hat die Rezertifizierung nicht stattgefunden. Die Passwortrichtlinie verlangt MFA für Remote-Zugriff. Ergebnis: 30% der Remote-Konten haben keine MFA aktiviert. A.5.36 fordert, dass die Organisation regelmäßig prüft, ob ihre eigenen Sicherheitsrichtlinien tatsächlich eingehalten werden.
Was verlangt die Norm?
- Regelmäßige Prüfung. Führungskräfte überprüfen regelmäßig, ob die Informationssicherheitsrichtlinien in ihrem Verantwortungsbereich eingehalten werden.
- Nichteinhaltung identifizieren. Bei Feststellung einer Nichteinhaltung werden Ursache, Maßnahme und Wirksamkeitsprüfung dokumentiert.
- Werkzeuge einsetzen. Automatisierte Werkzeuge unterstützen die regelmäßige Prüfung (Konfigurationsmanagement, Vulnerability Scanner, DLP).
- Ergebnisse dokumentieren und berichten. Die Prüfergebnisse werden dokumentiert und der Geschäftsführung berichtet.
In der Praxis
Compliance-Dashboard aufbauen. Visualisiere den Einhaltungsstatus aller Richtlinien auf einen Blick: Grün (konform), Gelb (Abweichung festgestellt, Maßnahme eingeleitet), Rot (kritische Nichteinhaltung). Das Dashboard ist gleichzeitig Steuerungsinstrument und Management-Bericht.
Prüfplan pro Richtlinie erstellen. Für jede Richtlinie: Prüfmethodik (automatisiert, Stichprobe, Audit), Prüffrequenz, verantwortliche Person, Prüfindikatoren. Die Passwortrichtlinie wird monatlich automatisiert geprüft, die Lieferantensicherheitsrichtlinie jährlich manuell.
Self-Assessments durch Führungskräfte. Quartalsweise: Führungskräfte bewerten die Einhaltung der für ihren Bereich relevanten Richtlinien. Das Self-Assessment wird vom ISB aggregiert und mit technischen Prüfergebnissen abgeglichen.
Korrekturmaßnahmen systematisch verfolgen. Jede festgestellte Nichteinhaltung wird im Befundregister erfasst (wie bei Audit-Befunden): Befund, Ursache, Maßnahme, verantwortliche Person, Frist, Verifikation. Nicht behobene Befunde werden eskaliert.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.36 typischerweise diese Nachweise:
- Prüfplan — Übersicht aller Richtlinien mit Prüfmethodik und Frequenz
- Prüfergebnisse — Ergebnisse der Compliance-Checks pro Richtlinie
- Befundregister — Dokumentation festgestellter Nichteinhaltung mit Maßnahmen
- Self-Assessments — Bewertungen der Führungskräfte
- Automatisierte Berichte — Outputs technischer Compliance-Checks
KPI
% der IS-Richtlinien und Standards, die im letzten Audit als konform bestätigt wurden
Gemessen über den Prüfplan: Wie viele Richtlinien haben den letzten Compliance-Check ohne kritische Befunde bestanden? Ziel: über 90%. Kritische Befunde (z. B. MFA nicht aktiv trotz Richtlinienpflicht) drücken den Wert stärker als geringfügige Abweichungen.
Ergänzende KPIs:
- Anzahl der offenen Compliance-Befunde
- Durchschnittliche Behebungsdauer für festgestellte Nichteinhaltung
- Anteil der Richtlinien mit automatisierter Compliance-Prüfung
BSI IT-Grundschutz
A.5.36 mappt auf die BSI-Anforderungen zur internen Kontrolle:
- BSI-Standard 200-2 Kapitel 10 (Aufrechterhaltung und Verbesserung) — verlangt regelmäßige Überprüfung der Umsetzung aller Sicherheitsmaßnahmen.
- DER.3.1 (Audits und Revisionen) — operative Prüfung der Einhaltung von Sicherheitsmaßnahmen.
- ISMS.1.A11 (Aufrechterhaltung der Informationssicherheit) — kontinuierliche Überprüfung und Verbesserung.
Verwandte Kontrollen
A.5.36 schließt den Regelkreis:
- A.5.1 — Richtlinien für Informationssicherheit: Die Richtlinien, deren Einhaltung A.5.36 prüft.
- A.5.35 — Unabhängige Überprüfung der IS: Das unabhängige Audit, das auch die Wirksamkeit von A.5.36 prüft.
- A.5.37 — Dokumentierte Betriebsverfahren: Betriebsverfahren, deren Einhaltung ebenfalls geprüft wird.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.36 — Einhaltung von IS-Richtlinien
- ISO/IEC 27002:2022 Abschnitt 5.36 — Umsetzungshinweise
- BSI IT-Grundschutz, DER.3.1 — Audits und Revisionen