Das Ausnahmenregister dokumentiert alle genehmigten Abweichungen von deinen Sicherheitsrichtlinien. Jedes ISMS hat Stellen, an denen eine Richtlinie temporär nicht vollständig umgesetzt werden kann — das Register macht diese Stellen sichtbar, befristet und kontrollierbar.
ISO 27001 A.5.1 (Policies for Information Security) verlangt, dass Richtlinien verbindlich gelten. Wenn eine Abweichung unvermeidbar ist, muss sie formal genehmigt, mit kompensierenden Maßnahmen versehen und zeitlich begrenzt werden. Das Ausnahmenregister ist der Ort, an dem du diese Kette dokumentierst.
Was enthält es?
Jede Zeile steht für eine genehmigte Ausnahme. Die Spalten:
- ID / Type / Scope — eindeutige Kennung, Art der Abweichung (z. B. Malware Protection, Access Control) und betroffener Geltungsbereich
- Description / Reason — was genau abweicht und warum die Abweichung nötig ist
- Compensating Controls — welche alternativen Maßnahmen das Restrisiko begrenzen
- Requested By / Approved By — wer die Ausnahme beantragt und wer sie genehmigt hat
- Granted / Expires / Status — Genehmigungsdatum, Ablaufdatum und aktueller Status
So nutzt du es
Beantragung: Wer eine Abweichung von einer Richtlinie benötigt, dokumentiert den Fall im Register: welche Richtlinie betroffen ist, warum die Abweichung nötig ist und welche kompensierenden Maßnahmen umgesetzt werden.
Genehmigung: Der ISB (oder die Geschäftsleitung bei weitreichenden Ausnahmen) prüft die Begründung und die kompensierenden Maßnahmen, setzt ein Ablaufdatum und genehmigt oder lehnt ab.
Überwachung: Einmal im Quartal prüfst du das Register auf ablaufende oder abgelaufene Ausnahmen. Abgelaufene Einträge werden entweder verlängert (mit neuer Prüfung) oder geschlossen — in beiden Fällen wird der Status aktualisiert.
| ID | Typ | Geltungsbereich | Beschreibung | Begründung | Kompensierende Kontrollen | Beantragt von | Genehmigt von | Gewährt | Läuft ab | Status |
|---|---|---|---|---|---|---|---|---|---|---|
| EXC-2026-001 | Malware-Schutz | AST-013 CI-Runner | Verzeichnis /builds/ von Echtzeit-AV-Scan ausschließen | Builds schlagen mit Scan fehl (False Positives bei Artefakten) | Wöchentlicher Offline-Scan + eingeschränkter Netzzugriff für Runner | Head of Engineering | ISB | 2026-02-01 | 2026-08-01 | Aktiv |
| EXC-2026-002 | Web-Filter | Marketingteam (12 Nutzer) | Social-Media-Plattformen (LinkedIn Facebook Instagram X TikTok) erlauben | Geschäftlicher Bedarf für Social-Media-Kampagnen | DLP-Scan ausgehend + Schulung | Marketingleitung | ISB | 2026-01-15 | 2027-01-15 | Aktiv |
| EXC-2026-003 | Malware-Schutz | AST-006 (3 Entwickler-Laptops) | Docker Desktop Cache-Verzeichnisse ausschließen | EDR-Konflikte mit Containern | EDR-Richtlinie mit Docker-Regeln + Netzwerk-Monitoring | Head of Engineering | ISB | 2026-03-01 | 2026-09-01 | Aktiv |
| EXC-2026-004 | Web-Filter | Threat-Intel-Analyst (1 Nutzer) | Zugriff auf Malware-Analyse-Sandboxes und Untergrundforen erlauben | Bedrohungsforschung | Isolierte Forschungs-VM + geloggt | ISB | ISB + CEO | 2026-01-01 | 2026-12-31 | Aktiv |
| EXC-2026-005 | Passwortrichtlinie | Legacy-ERP-Schnittstelle | Passwortlänge von 10 statt 14 Zeichen erlauben | System unterstützt keine längeren Passwörter | Kontosperre nach 5 Fehlversuchen + MFA auf Jump-Host | IT-Betriebsleitung | ISB | 2025-11-01 | 2026-11-01 | Aktiv |
| EXC-2026-006 | Web-Filter | Finanzteam (4 Nutzer) | Zugriff auf Banking-Portale erlauben | Geschäftlicher Bedarf | Überwacht + DLP-Regeln | CFO | ISB | 2026-01-01 | 2027-01-01 | Aktiv |
| ID | Type | Scope | Description | Reason | Compensating Controls | Requested By | Approved By | Granted | Expires | Status |
|---|---|---|---|---|---|---|---|---|---|---|
| EXC-2026-001 | Malware protection | AST-013 CI runners | Exclude /builds/ directory from real-time AV scan | Builds fail with scan enabled (false positives on artefacts) | Weekly offline scan + limited network access for runners | Head of Engineering | ISO | 2026-02-01 | 2026-08-01 | Active |
| EXC-2026-002 | Web filter | Marketing team (12 users) | Allow social media platforms (LinkedIn Facebook Instagram X TikTok) | Business need for social media campaigns | DLP scan outbound + training | Marketing Lead | ISO | 2026-01-15 | 2027-01-15 | Active |
| EXC-2026-003 | Malware protection | AST-006 (3 developer laptops) | Exclude Docker Desktop cache directories | EDR conflicts with containers | EDR policy with Docker-aware rules + network monitoring | Head of Engineering | ISO | 2026-03-01 | 2026-09-01 | Active |
| EXC-2026-004 | Web filter | Threat Intel analyst (1 user) | Allow access to malware analysis sandboxes and underground forums | Threat research | Isolated research VM + logged | ISO | ISO + CEO | 2026-01-01 | 2026-12-31 | Active |
| EXC-2026-005 | Password policy | Legacy ERP interface | Allow password length of 10 chars instead of 14 | System does not support longer passwords | Account lockout after 5 failed attempts + MFA on jump host | IT Operations Lead | ISO | 2025-11-01 | 2026-11-01 | Active |
| EXC-2026-006 | Web filter | Finance team (4 users) | Allow banking portals | Business need | Monitored + DLP rules | CFO | ISO | 2026-01-01 | 2027-01-01 | Active |
Quellen
- ISO/IEC 27001:2022 A.5.1 — Policies for Information Security
- ISO/IEC 27002:2022 Abschnitt 5.1 — Leitlinie zur Implementierung von Informationssicherheitsrichtlinien