Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.4 — Managementverantwortlichkeiten

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.4 ISO 27001ISO 27002BSI ISMS.1

85% aller ISMS-Implementierungen, die im ersten Zertifizierungsaudit scheitern, haben ein gemeinsames Merkmal: fehlende sichtbare Unterstützung durch die Geschäftsführung. A.5.4 macht diese Unterstützung zur dokumentierten Pflicht. Die Kontrolle verlangt, dass Führungskräfte aktiv dafür sorgen, dass alle Beschäftigten ihre Sicherheitsverantwortung kennen und einhalten.

Was verlangt die Norm?

  • Führungskräfte verstehen ihre Rolle. Das Management muss seine eigene Verantwortung für die Informationssicherheit kennen und aktiv wahrnehmen.
  • Beschäftigte informieren und befähigen. Führungskräfte stellen sicher, dass alle Mitarbeitenden ihre Sicherheitsverantwortung kennen, bevor sie Zugang zu sensiblen Informationen erhalten.
  • Schulung und Sensibilisierung unterstützen. Das Management fördert kontinuierliche Awareness-Programme und stellt die dafür notwendigen Ressourcen bereit.
  • Einhaltung durchsetzen. Führungskräfte sind dafür verantwortlich, dass die Informationssicherheitsrichtlinien in ihrem Verantwortungsbereich eingehalten werden.
  • Meldekanäle bereitstellen. Beschäftigte müssen die Möglichkeit haben, Sicherheitsverstöße vertraulich zu melden, ohne Nachteile befürchten zu müssen.

In der Praxis

Sicherheit als festen Agendapunkt etablieren. Informationssicherheit gehört als regelmäßiger Punkt auf die Agenda der Geschäftsführungssitzungen. Quartalsweise reicht, solange es tatsächlich stattfindet und dokumentiert wird.

Führungskräfte-Schulungen durchführen. Führungskräfte brauchen eigene Schulungen, die über die allgemeine Awareness hinausgehen: Risikolandschaft des Unternehmens, rechtliche Konsequenzen bei Verstößen, ihre persönliche Haftung. Die Teilnahme wird dokumentiert.

Budget und Ressourcen sichtbar bereitstellen. Die Managementverpflichtung zeigt sich am deutlichsten in der Budgetplanung. Ein eigener Posten für Informationssicherheit (Personal, Schulungen, Tools, externe Beratung) ist ein starkes Signal — und ein starker Audit-Nachweis.

Vorbildfunktion wahrnehmen. Führungskräfte, die selbst Phishing-Simulationen nicht absolvieren oder ihre Passwörter auf Post-its kleben, untergraben jede Sicherheitskultur. Kommuniziere explizit, dass Richtlinien für alle gelten — auch für die Geschäftsführung.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.4 typischerweise diese Nachweise:

  • Management-Review-Protokoll — Nachweis, dass die Geschäftsführung das ISMS regelmäßig überprüft und Entscheidungen trifft
  • Schulungsnachweise der Führungskräfte — Teilnahmebestätigungen an IS-Schulungen und Awareness-Programmen
  • Budgetplanung — dokumentierte Mittelzuweisung für Informationssicherheit
  • Sitzungsprotokolle — Nachweis, dass Sicherheitsthemen in Management-Meetings behandelt werden
  • Commitment-Statement — formale Erklärung der Geschäftsführung zur Informationssicherheit

KPI

% der Führungskräfte, die ihre Informationssicherheitsverantwortung formell bestätigt haben

Gemessen als Prozentsatz aller Führungskräfte mit personalverantwortlichen Rollen. Ziel: 100%. Die formelle Bestätigung umfasst die Kenntnisnahme der IS-Richtlinie, die Absolvierung der Führungskräfte-Schulung und die Bestätigung der eigenen Verantwortung.

Ergänzende KPIs:

  • Anzahl der Management-Reviews pro Jahr (Ziel: mindestens 1)
  • Anteil des IS-Budgets am Gesamt-IT-Budget (Branchendurchschnitt: 5–15%)
  • Anzahl der Sicherheitsthemen in Geschäftsführungsprotokollen pro Quartal

BSI IT-Grundschutz

A.5.4 deckt sich mit den BSI-Anforderungen an die Führungsverantwortung:

  • ISMS.1.A1 (Übernahme der Gesamtverantwortung) — die Geschäftsführung trägt die Gesamtverantwortung für die Informationssicherheit und stellt die nötigen Ressourcen bereit.
  • ISMS.1.A8 (Integration in organisationsweite Abläufe) — Informationssicherheit muss in alle Geschäftsprozesse und Entscheidungen integriert werden.
  • ORP.3.A1 (Sensibilisierung der Geschäftsführung) — die Geschäftsführung muss selbst für Informationssicherheitsthemen sensibilisiert werden.
  • ORP.2.A14 (Aufgaben des Personalmanagements) — HR muss sicherstellen, dass Sicherheitsverantwortung im Einstellungsprozess und in Arbeitsverträgen verankert ist.

Verwandte Kontrollen

A.5.4 verknüpft Führungsverantwortung mit operativer Umsetzung:

Quellen

Häufig gestellte Fragen

Was genau bedeutet Managementverpflichtung in der Praxis?

Drei Dinge: Ressourcen bereitstellen (Budget, Personal, Zeit), Vorbildfunktion zeigen (eigene Schulungen absolvieren, Richtlinien einhalten) und aktiv nachfragen (Sicherheitsthemen in Management-Meetings behandeln, KPIs einfordern). Ein Management, das Richtlinien unterschreibt und dann ignoriert, erfüllt A.5.4 nicht.

Wie weise ich die Managementverpflichtung im Audit nach?

Auditoren suchen nach dokumentierten Management-Reviews, Protokollen von Sicherheitsthemen in Geschäftsführungssitzungen, Budgetfreigaben für Sicherheitsprojekte und Schulungsnachweisen der Führungskräfte. Ein formales Commitment-Statement der Geschäftsführung rundet das Bild ab.

Reicht es, wenn die Geschäftsführung die IS-Richtlinie unterschreibt?

Die Unterschrift unter der Richtlinie (A.5.1) ist notwendig, aber für A.5.4 nicht ausreichend. A.5.4 verlangt aktives Engagement: Führungskräfte müssen sicherstellen, dass ihre Mitarbeitenden die Sicherheitsverantwortung verstehen, Schulungen erhalten und die Richtlinien im Arbeitsalltag einhalten.