Die RACI-Matrix beantwortet eine Frage, die in jedem ISMS-Audit gestellt wird: Wer ist wofür verantwortlich? ISO 27001 Clause 5.3 verlangt, dass Rollen, Verantwortlichkeiten und Befugnisse für die Informationssicherheit zugewiesen und kommuniziert werden. Die Matrix ist das Werkzeug, mit dem du das dokumentierst.
Was enthält das Register?
Die Vorlage listet typische ISMS-Aufgaben in den Zeilen und ISMS-Rollen in den Spalten. Jede Zelle enthält einen der vier Buchstaben R, A, C oder I. Die vorausgefüllten Aufgaben decken den gesamten PDCA-Zyklus ab:
- Risikomanagement — Risikoidentifikation, Risikobewertung, Risikobehandlung, Überwachung
- Richtlinien — Erstellung, Freigabe, Kommunikation, jährliche Überprüfung
- Betrieb — Vorfallbehandlung, Änderungsmanagement, Business Continuity
- Prüfung — Interne Audits, Management-Review, Korrekturmaßnahmen
- Personal — Onboarding, Schulung, Offboarding
So nutzt du die Vorlage
1. Rollen anpassen. Die Spaltenüberschriften enthalten generische Rollen (CISO, IT-Leitung, Geschäftsführung, Fachabteilung, HR). Ersetze sie durch die tatsächlichen Rollen oder Personen in deiner Organisation.
2. Aufgaben ergänzen oder streichen. Die vorausgefüllten Aufgaben sind ein Startpunkt. Ergänze spezifische Aufgaben, die in deinem Geltungsbereich relevant sind (z.B. Cloud-Security-Reviews, Penetrationstests, Datenschutz-Folgenabschätzungen). Streiche, was nicht zutrifft.
3. Zuordnungen eintragen. Für jede Aufgabe: genau ein A vergeben. R kann bei mehreren Personen liegen. C und I nach Bedarf. Leere Zellen sind erlaubt — sie bedeuten, dass die Rolle bei dieser Aufgabe keine definierte Beteiligung hat.
4. Kommunizieren. Die Matrix gehört ins ISMS-Dokumentenregister und wird allen Beteiligten zugänglich gemacht. Wer eine Rolle hat, muss wissen, dass sie dokumentiert ist — und was sie beinhaltet.
5. Pflegen. Jede organisatorische Änderung triggert eine Überprüfung. Neue Rolle? Spalte ergänzen. Bereich aufgelöst? Aufgaben umverteilen. Die Matrix ist ein lebendes Dokument.
| Tätigkeit | Geschäftsleitung | Informationssicherheitsbeauftragte/r (ISB) | IT-Betriebsleitung | HR-Leitung | Datenschutzbeauftragte/r | Abteilungsleitungen | Alle Mitarbeitende |
|---|---|---|---|---|---|---|---|
| Informationssicherheitsrichtlinie genehmigen | A | R | C | C | C | I | I |
| Risikoregister pflegen | I | A | R | C | C | C | I |
| Risikobeurteilungen durchführen | I | A | R | C | C | R | I |
| Risikobehandlungsplan genehmigen | A | R | C | I | C | C | I |
| Statement of Applicability pflegen | I | A/R | C | I | C | I | I |
| Interne Audits durchführen | A | R | C | I | C | I | I |
| Management-Review durchführen | A/R | R | C | C | C | C | I |
| Sicherheitsvorfälle managen | I | A | R | I | C | C | R |
| Zugriffsrechte verwalten | I | A | R | C | I | R | I |
| Awareness-Schulungen durchführen | I | A | C | R | C | C | R |
| Informationen klassifizieren | I | A | C | C | C | R | R |
| Changes genehmigen (CAB) | I | C | A/R | I | I | C | I |
| Schwachstellen- und Patch-Management | I | A | R | I | I | I | I |
| Lieferanten-Sicherheitsprüfung | I | A | C | I | C | R | I |
| Geschäftskontinuitätsplanung | A | R | R | C | I | R | I |
| Betroffenenanfragen bearbeiten | I | C | C | C | A/R | I | I |
| Asset-Register pflegen | I | A | R | I | I | R | I |
| Sicherheitsvorfälle melden | I | A | C | C | C | R | R |
| Schlüsselverwaltung (Kryptographie) | I | A | R | I | I | I | I |
| Legende | R = Responsible (durchführend) | A = Accountable (rechenschaftspflichtig) | C = Consulted (konsultiert) | I = Informed (informiert) |
| Activity | Top Management | Information Security Officer (ISO) | IT Operations Lead | HR Lead | Data Protection Officer | Department Heads | All Employees |
|---|---|---|---|---|---|---|---|
| Approve Information Security Policy | A | R | C | C | C | I | I |
| Maintain Risk Register | I | A | R | C | C | C | I |
| Perform Risk Assessments | I | A | R | C | C | R | I |
| Approve Risk Treatment Plan | A | R | C | I | C | C | I |
| Maintain Statement of Applicability | I | A/R | C | I | C | I | I |
| Conduct Internal Audits | A | R | C | I | C | I | I |
| Run Management Review | A/R | R | C | C | C | C | I |
| Manage Security Incidents | I | A | R | I | C | C | R |
| Manage Access Rights | I | A | R | C | I | R | I |
| Run Awareness Training | I | A | C | R | C | C | R |
| Classify Information | I | A | C | C | C | R | R |
| Approve Changes (CAB) | I | C | A/R | I | I | C | I |
| Vulnerability & Patch Management | I | A | R | I | I | I | I |
| Supplier Security Review | I | A | C | I | C | R | I |
| Business Continuity Planning | A | R | R | C | I | R | I |
| Handle Subject Access Requests | I | C | C | C | A/R | I | I |
| Maintain Asset Register | I | A | R | I | I | R | I |
| Report Security Incidents | I | A | C | C | C | R | R |
| Key Management (Cryptography) | I | A | R | I | I | I | I |
| Legend | R = Responsible | A = Accountable | C = Consulted | I = Informed |
Quellen
- ISO/IEC 27001:2022 Clause 5.3 — Organisatorische Rollen, Verantwortlichkeiten und Befugnisse
- BSI IT-Grundschutz ISMS.1 — Sicherheitsmanagement