Starter Kit · Richtlinie

Informationssicherheitsrichtlinie

Aktualisiert am 16. April 2026 6 Min. Geprüft von: Cenedril-Redaktion

Clause 4.1Clause 4.2Clause 4.3Clause 4.4Clause 5.1Clause 5.2Clause 5.3Clause 7.1Clause 7.3Clause 7.5Clause 8.1Clause 9.1Clause 9.2Clause 9.3Clause 10.1Clause 10.2A.5.1A.5.2A.5.4 ISO 27001NIS2BSI ISMS.1

Die Informationssicherheitsrichtlinie ist das oberste Dokument deines ISMS. Alle themenspezifischen Richtlinien — von Zugriffskontrolle über Kryptographie bis Personalsicherheit — leiten ihre Autorität aus diesem einen Dokument ab. Wenn du nur eine einzige Richtlinie perfekt machen willst, dann diese.

ISO 27001 widmet dem Thema die gesamten Clauses 4 bis 10: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung. BSI IT-Grundschutz verankert es in ISMS.1 (Sicherheitsmanagement), ORP.1 (Organisation), ORP.3 (Sensibilisierung und Schulung) und ORP.5 (Anforderungsmanagement). NIS2 setzt voraus, dass ein dokumentiertes Informationssicherheitskonzept existiert. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Die strategische Klammer für das gesamte ISMS. Dieses Dokument verbindet Geschäftsstrategie, Risikobereitschaft und operative Sicherheitsmaßnahmen in einem Rahmenwerk.
Abdeckung der ISO 27001 Clauses 4–10: Kontext (4.1), interessierte Parteien (4.2), Geltungsbereich (4.3), Führungsverpflichtung (5.1), Rollen (5.3), Ziele (6.2), Kompetenz und Bewusstsein (7.2/7.3), Kommunikation (7.4), Dokumentenlenkung (7.5), Überwachung (9.1), internes Audit (9.2), Managementbewertung (9.3) und fortlaufende Verbesserung (10).
Sechs Schlüsselrollen werden zugewiesen: Geschäftsleitung, Informationssicherheitsbeauftragte:r, Datenschutzbeauftragte:r, Abteilungsleitungen, Asset-Eigentümer:innen und alle Beschäftigten.
Freigabe durch die Geschäftsleitung — die Richtlinie bindet die oberste Leitungsebene persönlich ein.
Unsere Vorlage deckt 21 Abschnitte ab: von der Rechtsgrundlage über Risikomanagement und Informationssicherheitsziele bis zur Behandlung von Abweichungen und Korrekturmaßnahmen.

Worum geht es konkret?

Jedes ISMS braucht ein Dokument, das die grundlegenden Fragen beantwortet: Warum betreiben wir Informationssicherheit? Welchen Geltungsbereich hat das System? Wer trägt welche Verantwortung? Und wie stellen wir sicher, dass das Ganze funktioniert und besser wird? Die Informationssicherheitsrichtlinie beantwortet genau diese Fragen — und gibt allen anderen Richtlinien ihren Rahmen.

Die Vorlage beginnt mit dem organisatorischen Kontext (Clause 4.1): Welche externen Faktoren beeinflussen dein ISMS — Bedrohungslage, Regulierung, Kundenanforderungen? Welche internen Faktoren spielen eine Rolle — Organisationsstruktur, Geschäftsprozesse, Technologielandschaft, Kompetenz des Personals? Daraus ergeben sich die Anforderungen der interessierten Parteien (Clause 4.2) und der Geltungsbereich (Clause 4.3).

Ab Clause 5 wird es konkret: Führungsverpflichtung, Rollenverteilung, Ressourcen. Ab Clause 6 folgt die Planung — Risikomanagement, Informationssicherheitsziele, Änderungsplanung. Clauses 7 und 8 decken den operativen Unterbau ab: Kompetenz, Bewusstsein, Kommunikation, Dokumentenlenkung, operative Steuerung. Clauses 9 und 10 schließen den Kreislauf mit Überwachung, Audit, Managementbewertung und fortlaufender Verbesserung.

Warum ist sie so wichtig?

Audit-Einstiegspunkt. Die Informationssicherheitsrichtlinie ist das erste Dokument, das Auditor:innen anfordern. Sie prüfen, ob die Richtlinie den strategischen Kontext abbildet, ob die Geschäftsleitung sie freigegeben hat und ob sie als Rahmen für alle weiteren Dokumente funktioniert. Stimmt dieses Dokument, hat der Audit einen guten Start.

Führungsverpflichtung wird greifbar. Clause 5.1 verlangt, dass die Geschäftsleitung Ressourcen bereitstellt, die Bedeutung von Informationssicherheit kommuniziert und selbst an Schulungen teilnimmt. Diese Verpflichtungen stehen in der Richtlinie — und damit lässt sich im Jahresgespräch oder bei der Budgetplanung darauf verweisen.

Bindeglied zwischen Strategie und Betrieb. Ohne dieses Dokument existieren themenspezifische Richtlinien isoliert. Die Informationssicherheitsrichtlinie verknüpft Geschäftsziele mit Sicherheitszielen, definiert messbare Kennzahlen und stellt sicher, dass die Ergebnisse regelmäßig an die Geschäftsleitung berichtet werden.

Was gehört in die Richtlinie?

Die Vorlage deckt 21 Abschnitte ab — hier die wichtigsten thematischen Blöcke:

Rechtsgrundlage und regulatorischer Rahmen — ISO 27001, ISO 27002, BSI ISMS.1/ORP.1/ORP.3/ORP.5, branchenspezifische Gesetze aus dem Rechtsregister
Kontext, interessierte Parteien, Geltungsbereich (4.1–4.3) — externe und interne Einflussfaktoren, Anforderungen von Kund:innen, Regulierungsbehörden, Beschäftigten; Grenzen des ISMS und Schnittstellen zu Dritten
Führung und Verpflichtung (5.1–5.3) — Ressourcenbereitstellung, Integration in Geschäftsprozesse, Rollenzuweisung (Geschäftsleitung, ISB, DSB, Abteilungsleitungen, Asset-Eigentümer:innen, alle Beschäftigten) mit RACI-Matrix
Risikomanagement (6.1) — Verweis auf die Risikorichtlinie für Methodik, Risikoakzeptanzkriterien und Erklärung der Anwendbarkeit (SoA)
Informationssicherheitsziele (6.2) — messbare Ziele auf relevanten Ebenen, mit Verantwortlichkeiten, Fristen und Bewertungsmethoden
Kompetenz, Bewusstsein, Kommunikation (7.2–7.4) — Kompetenzmatrix, Schulungsprogramm, Awareness-Kampagnen, interner und externer Kommunikationsplan
Dokumentenlenkung (7.5) — Dokumentenhierarchie, Erstellungs- und Freigabeprozess, Versionierung, Aufbewahrung
Operative Steuerung (8.1) — Verweis auf themenspezifische Richtlinien für Zugriffskontrolle, Asset-Management, IT-Betrieb, Vorfallmanagement, Lieferantensteuerung u.v.m.
Überwachung und Kennzahlen (9.1) — KPIs wie Risikoakzeptanzquote, Maßnahmenumsetzung, Schulungsquoten, Vorfallmetriken, Audit-Findings
Internes Audit und Managementbewertung (9.2–9.3) — Auditprogramm, Unabhängigkeit der Auditor:innen, Eingaben und Ergebnisse der Managementbewertung
Fortlaufende Verbesserung und Korrekturmaßnahmen (10) — Umgang mit Abweichungen, Ursachenanalyse, CAPA-Register

So führst du die Richtlinie ein

01

Kontext und Geltungsbereich bestimmen

Bevor du die Richtlinie schreibst, brauchst du Klarheit über drei Fragen: Welche externen Faktoren beeinflussen euer ISMS (Regulierung, Bedrohungslage, Kundenanforderungen)? Welche internen Faktoren sind relevant (Organisationsstruktur, IT-Landschaft, Personalkapazitäten)? Und wo genau liegen die Grenzen des Geltungsbereichs — welche Standorte, Abteilungen und Systeme sind einbezogen, welche Schnittstellen bestehen zu Dritten? Die Antworten fließen direkt in die Abschnitte 2.1 bis 2.3 der Vorlage.
02

Rollen und Verantwortlichkeiten zuweisen

Die Vorlage definiert sechs Schlüsselrollen: Geschäftsleitung, ISB, DSB, Abteilungsleitungen, Asset-Eigentümer:innen und alle Beschäftigten. Für jede Rolle brauchst du eine konkrete Person oder eine benannte Funktion. Das Ergebnis ist eine RACI-Matrix, die zeigt, wer für welche ISMS-Verantwortung rechenschaftspflichtig, verantwortlich, beratend oder informiert ist. Ohne diese Zuordnung bleiben die Verantwortlichkeiten abstrakt.
03

Vorlage anpassen und Platzhalter ersetzen

Unsere Vorlage enthält Platzhalter wie [IHR_ORGANISATIONSNAME], [RICHTLINIEN_EIGENTÜMER_ROLLE] und [BRANCHE]. Ersetze sie alle. Prüfe gleichzeitig, welche Abschnitte auf eure Organisation zutreffen: Habt ihr einen DSB? Betreibt ihr Softwareentwicklung? Welche Branchenregulierung gilt? Streiche, was irrelevant ist — aber dokumentiere im ISMS-Scope, warum ein Bereich ausgeklammert wurde.
04

Freigabe durch die Geschäftsleitung einholen

Die Informationssicherheitsrichtlinie ist eines der wenigen Dokumente, die ISO 27001 explizit von der obersten Leitungsebene freigeben lässt (Clause 5.2). Bereite eine kurze Managementvorlage vor: Zusammenfassung der Richtlinie auf einer Seite, Erklärung der Führungsverpflichtung, Ressourcenbedarf. Die Geschäftsleitung muss verstehen, was sie freigibt — und welche Konsequenzen sich daraus ergeben.
05

Kommunikation und Verankerung im Alltag

Nach der Freigabe kommunizierst du die Richtlinie an alle Beschäftigten. Die Vorlage enthält einen Kommunikationsplan (Abschnitt 12) — nutze ihn als Ausgangspunkt. Darüber hinaus: Binde die Richtlinie in das Onboarding neuer Beschäftigter ein, verweise in den jährlichen Awareness-Schulungen darauf und stelle sicher, dass die aktuelle Version jederzeit zugänglich ist. Die Richtlinie wird erst wirksam, wenn die Menschen in der Organisation sie kennen.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Richtlinie ohne Kontext. Die Abschnitte zu externen/internen Einflussfaktoren und interessierten Parteien sind leer oder generisch formuliert. Auditor:innen erkennen sofort, ob sich jemand mit dem tatsächlichen Geschäftsumfeld auseinandergesetzt hat. Ein Satz wie „wir operieren in einem dynamischen Umfeld” reicht als Kontextanalyse erkennbar nicht aus.

2. Führungsverpflichtung auf dem Papier. Die Geschäftsleitung hat die Richtlinie unterschrieben, kennt aber ihren Inhalt nicht. Im Audit-Interview werden Führungskräfte direkt befragt — wenn sie die Informationssicherheitsziele oder die Risikoakzeptanzkriterien nicht benennen können, ist das ein Hinweis auf mangelnde Verpflichtung.

3. Geltungsbereich unklar definiert. Welche Standorte, Abteilungen und Systeme umfasst das ISMS? Wo liegen die Grenzen? Ohne klare Antworten entstehen blinde Flecken — und Auditor:innen fragen gezielt nach Bereichen, die am Rand des Geltungsbereichs liegen.

4. Rollen zugewiesen, aber nie gelebt. Die RACI-Matrix existiert, aber Asset-Eigentümer:innen wissen nicht, dass sie Zugriffsanfragen genehmigen müssen. Abteilungsleitungen kennen ihre Verantwortung für abteilungsspezifische Risiken nicht. Die Zuordnung funktioniert nur, wenn sie kommuniziert und in die Arbeitsprozesse integriert wird.

5. Kennzahlen definiert, aber nie erhoben. Abschnitt 17 der Vorlage listet KPIs wie Maßnahmenumsetzungsrate, Schulungsquote und Vorfallmetriken. Wenn diese Kennzahlen zwar in der Richtlinie stehen, aber nie gemessen und berichtet werden, fehlt der Nachweis für die Wirksamkeit des ISMS.

Vorlage: Informationssicherheitsrichtlinie

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 — Informationssicherheitsmanagementsysteme (Kapitel 4–10).

ISO/IEC 27002:2022 — Informationssicherheitsmaßnahmen (Anhang-A-Referenzmaßnahmen).

BSI IT-Grundschutz:

ISMS.1 (Sicherheitsmanagement)
ORP.1 (Organisation)
ORP.3 (Sensibilisierung und Schulung zur Informationssicherheit)
ORP.5 (Compliance Management / Anforderungsmanagement)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften, die für [IHR_ORGANISATIONSNAME] gelten, sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen. Typische Beispiele sind Datenschutzgesetze (z. B. DSGVO), branchenspezifische Regulierungen (z. B. NIS2, DORA, KRITIS) sowie vertragliche Sicherheitsanforderungen wichtiger Kunden.

2. Zweck & Geltungsbereich (4.1–4.4)

Diese Informationssicherheitsrichtlinie legt die Grundsätze, Ziele und den Rahmen für das Informationssicherheitsmanagementsystem (ISMS) von [IHR_ORGANISATIONSNAME] fest. Sie dient als übergeordnetes Governance-Dokument, aus dem alle themenspezifischen Richtlinien und unterstützenden Management-Dokumente ihre Geltung ableiten.

2.1 Kontext der Organisation (4.1)

[IHR_ORGANISATIONSNAME] ist im Sektor [BRANCHE] tätig.

Externe Einflussfaktoren auf das ISMS umfassen die sich verändernde Cyber-Bedrohungslandschaft, anwendbare Gesetze und regulatorische Anforderungen, Erwartungen von Kunden und Partnern sowie Branchenstandards.

Interne Faktoren umfassen die Organisationsstruktur, Geschäftsprozesse, Informationswerte, Technologieinfrastruktur sowie die Kompetenz und das Bewusstsein des Personals.

2.2 Interessierte Parteien (4.2)

Die Bedürfnisse und Erwartungen interessierter Parteien, die für das ISMS relevant sind, werden identifiziert, dokumentiert und regelmäßig überprüft. Zu den interessierten Parteien gehören Kunden, Geschäftspartner, Regulierungs- und Aufsichtsbehörden, Anteilseigner, Beschäftigte und Auftragnehmer. Ihre Anforderungen werden im Interessengruppen-Register erfasst und bei der Einrichtung und Aufrechterhaltung des ISMS berücksichtigt.

2.3 Geltungsbereich des ISMS (4.3)

Das ISMS gilt für alle Informationswerte, Geschäftsprozesse, IT-Systeme und das gesamte Personal innerhalb des definierten Geltungsbereichs von [IHR_ORGANISATIONSNAME]. Die einbezogenen Standorte und Abteilungen sind im ISMS-Geltungsbereichsdokument aufgeführt.

Die Grenzen des Geltungsbereichs, einschließlich der Schnittstellen zu externen Parteien und nicht vom ISMS abgedeckten Diensten, sind im ISMS-Geltungsbereichsdokument dokumentiert. Der Geltungsbereich wird mindestens jährlich überprüft und bei wesentlichen Änderungen aktualisiert.

2.4 Das ISMS (4.4)

[IHR_ORGANISATIONSNAME] richtet ein Informationssicherheitsmanagementsystem gemäß ISO/IEC 27001:2022 ein, implementiert, pflegt und verbessert es fortlaufend. Das ISMS umfasst alle Prozesse, die zur Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit erforderlich sind, einschließlich des Risikomanagements und der Erreichung der Informationssicherheitsziele.

3. Führungsverpflichtung (5.1)

Die Geschäftsleitung demonstriert Führung und Engagement für das ISMS durch:

Festlegung dieser Informationssicherheitsrichtlinie und der Informationssicherheitsziele unter Sicherstellung ihrer Vereinbarkeit mit der strategischen Ausrichtung der Organisation.
Sicherstellung der Integration der ISMS-Anforderungen in die Geschäftsprozesse aller operativen Bereiche.
Bereitstellung der finanziellen, personellen und technischen Ressourcen, die für die Einrichtung, Implementierung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS erforderlich sind.
Kommunikation der Bedeutung eines wirksamen Informationssicherheitsmanagements und der Konformität mit den ISMS-Anforderungen an alle Beschäftigten.
Sicherstellung, dass das ISMS seine beabsichtigten Ergebnisse erzielt, durch regelmäßige Leistungsbewertung und Managementbewertung.
Anleitung und Unterstützung der Beschäftigten, zur Wirksamkeit des ISMS beizutragen, und Unterstützung anderer relevanter Führungskräfte bei der Demonstration ihrer Führungsrolle in ihren Verantwortungsbereichen.
Förderung der fortlaufenden Verbesserung des ISMS.
Teilnahme an verpflichtenden Informationssicherheitsschulungen für Leitungsorgane. Die Mitglieder der Geschäftsleitung halten ihr Wissen über Cyber-Risiken, Bedrohungslandschaften und ihre Governance-Pflichten aktuell.

4. Informationssicherheitspolitik (5.2)

[IHR_ORGANISATIONSNAME] verpflichtet sich zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Informationswerte. Diese Verpflichtung erstreckt sich auf Informationen in allen Formen — digital, physisch und verbal — über ihren gesamten Lebenszyklus.

Diese Richtlinie:

Ist dem Zweck und dem Kontext der Organisation angemessen.
Bietet einen Rahmen für die Festlegung von Informationssicherheitszielen.
Enthält eine Verpflichtung zur Erfüllung anwendbarer Anforderungen im Zusammenhang mit der Informationssicherheit.
Enthält eine Verpflichtung zur fortlaufenden Verbesserung des ISMS.

Diese Richtlinie wird innerhalb der Organisation kommuniziert, ist allen Beschäftigten zugänglich und wird relevanten interessierten Parteien bei Bedarf zur Verfügung gestellt.

5. Rollen & Verantwortlichkeiten (5.3)

Die Geschäftsleitung weist Rollen, Verantwortlichkeiten und Befugnisse zu, die für die Informationssicherheit relevant sind, und kommuniziert diese. Folgende Schlüsselrollen sind eingerichtet:

Geschäftsleitung: Trägt die Gesamtverantwortung für das ISMS. Genehmigt diese Richtlinie, stellt Ressourcen bereit, legt Risikoakzeptanzkriterien fest und überprüft die ISMS-Leistung in der Managementbewertung.
Informationssicherheitsbeauftragte/r (ISB): Stellt sicher, dass das ISMS den Anforderungen der ISO 27001 entspricht, und berichtet der Geschäftsleitung über die ISMS-Leistung. Koordiniert die Umsetzung von Sicherheitsmaßnahmen und dient als primäre Anlaufstelle für Informationssicherheitsfragen.
Datenschutzbeauftragte/r (DSB): Berät zu Datenschutzanforderungen, überwacht die Einhaltung der Datenschutzgesetzgebung und arbeitet mit Aufsichtsbehörden zusammen. Koordiniert sich eng mit dem/der ISB in Angelegenheiten, in denen sich Informationssicherheit und Datenschutz überschneiden.
Abteilungsleiter/Führungskräfte: Stellen sicher, dass die Anforderungen der Informationssicherheit in ihren Verantwortungsbereichen umgesetzt werden. Identifizieren abteilungsspezifische Risiken und stellen sicher, dass die Beschäftigten die geltenden Sicherheitsverfahren kennen und darin geschult sind.
Asset-Eigentümer: Sind verantwortlich für die Klassifizierung, den Schutz und das Lebenszyklusmanagement der ihnen zugewiesenen Informationswerte. Definieren Zugriffsanforderungen und genehmigen Zugriffsanträge für ihre Assets.
Alle Beschäftigten & Auftragnehmer: Befolgen diese Richtlinie und alle anwendbaren themenspezifischen Richtlinien. Melden Informationssicherheitsvorfälle und vermutete Schwachstellen über die eingerichteten Meldekanäle.

Die vollständige Zuordnung von Verantwortlichkeiten zu konkreten Personen ist in der RACI-Matrix dokumentiert. Die RACI-Matrix ordnet jede ISMS-Verantwortlichkeit den zuständigen, verantwortlichen, beratenden und zu informierenden Parteien zu.

6. Risikomanagement (6.1)

6.1 Maßnahmen zum Umgang mit Risiken und Chancen (6.1.1)

[IHR_ORGANISATIONSNAME] berücksichtigt die in der Kontextanalyse (4.1) identifizierten Themen und die Anforderungen interessierter Parteien (4.2) bei der Planung des ISMS. Maßnahmen werden festgelegt, um Risiken und Chancen zu adressieren, die die Fähigkeit des ISMS beeinträchtigen könnten, seine beabsichtigten Ergebnisse zu erzielen, unerwünschte Auswirkungen zu verhindern oder zu reduzieren und eine fortlaufende Verbesserung zu erreichen.

6.2 Informationssicherheits-Risikobeurteilung (6.1.2)

Ein dokumentierter Prozess zur Informationssicherheits-Risikobeurteilung ist etabliert, der Informationssicherheitsrisiken identifiziert, analysiert und bewertet. Die Risikobeurteilungsmethodik, einschließlich der Risikoakzeptanzkriterien, Bewertungsskalen und des systematischen Ansatzes zur Risikoidentifikation über Risikoquellen, Bedrohungen und Schwachstellen, ist in der Risikomanagement-Richtlinie definiert. Risikobeurteilungen werden in geplanten Abständen und bei wesentlichen Änderungen durchgeführt.

6.3 Informationssicherheits-Risikobehandlung (6.1.3)

Ein Risikobehandlungsprozess ist etabliert, um geeignete Risikobehandlungsoptionen (Risikomodifikation, Risikobeibehaltung, Risikovermeidung, Risikoteilung) auszuwählen und die zur Umsetzung dieser Optionen erforderlichen Maßnahmen zu bestimmen. Die ausgewählten Maßnahmen werden mit dem ISO-27001-Anhang-A-Maßnahmenkatalog verglichen, um die Vollständigkeit zu verifizieren. Die Erklärung zur Anwendbarkeit (SoA) dokumentiert alle anwendbaren Maßnahmen, ihre Begründung und ihren Umsetzungsstatus. Restrisiken werden formal von den Risikoeigentümern akzeptiert.

7. Informationssicherheitsziele (6.2)

[IHR_ORGANISATIONSNAME] legt Informationssicherheitsziele auf relevanten Funktions- und Organisationsebenen fest. Die Ziele sind mit dieser Richtlinie vereinbar, soweit praktikabel messbar, berücksichtigen anwendbare Anforderungen und die Ergebnisse der Risikobeurteilung und -behandlung und werden überwacht, kommuniziert und bei Bedarf aktualisiert.

Für jedes Ziel wird Folgendes festgelegt: was zu tun ist, welche Ressourcen erforderlich sind, wer verantwortlich ist, wann es abgeschlossen sein soll und wie die Ergebnisse bewertet werden. Die Informationssicherheitsziele und die Pläne zu ihrer Erreichung sind im ISMS-Ziele-Register dokumentiert.

8. Planung von Änderungen (6.3)

Änderungen am ISMS werden geplant durchgeführt. Wenn ein Änderungsbedarf festgestellt wird, werden Folgendes berücksichtigt: der Zweck der Änderung und ihre möglichen Auswirkungen, die Integrität des ISMS, die Verfügbarkeit von Ressourcen sowie die Zuweisung oder Neuzuweisung von Verantwortlichkeiten und Befugnissen. Änderungen werden dokumentiert und den betroffenen Parteien vor der Umsetzung kommuniziert.

9. Ressourcen (7.1)

[IHR_ORGANISATIONSNAME] bestimmt und stellt die Ressourcen bereit, die für die Einrichtung, Implementierung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS erforderlich sind. Dies umfasst qualifiziertes Personal, geeignete Technologie und Werkzeuge, angemessene Budgetzuweisung und ausreichend Zeit für sicherheitsbezogene Aktivitäten. Der Ressourcenbedarf wird im Rahmen der jährlichen Managementbewertung überprüft und bei wesentlichen Änderungen des Geltungsbereichs, des Risikoprofils oder der regulatorischen Anforderungen angepasst.

10. Kompetenz (7.2)

Personal, das Tätigkeiten ausführt, die die Informationssicherheitsleistung beeinflussen, verfügt über die erforderliche Kompetenz auf Grundlage angemessener Ausbildung, Schulung oder Erfahrung. Kompetenzanforderungen sind für jede ISMS-Rolle in der Kompetenzmatrix definiert. Werden Lücken identifiziert, werden Maßnahmen ergriffen, um die erforderliche Kompetenz zu erwerben — durch Schulung, Mentoring, Neubesetzung oder Rekrutierung. Die Wirksamkeit dieser Maßnahmen wird bewertet und dokumentiert.

Schulungsnachweise, Zertifizierungen und Kompetenznachweise werden als dokumentierte Informationen aufbewahrt. Das Schulungsprogramm deckt allgemeines Informationssicherheitsbewusstsein, rollenspezifische technische Kompetenzen und Spezialthemen wie Vorfallreaktion, Risikobeurteilung und sichere Entwicklung ab.

11. Bewusstsein (7.3)

Alle Personen, die unter der Kontrolle der Organisation tätig sind, kennen:

Diese Informationssicherheitsrichtlinie und ihre Relevanz für ihre Arbeit.
Ihren Beitrag zur Wirksamkeit des ISMS, einschließlich der Vorteile einer verbesserten Informationssicherheitsleistung.
Die Auswirkungen der Nichterfüllung der ISMS-Anforderungen, einschließlich disziplinarischer Konsequenzen.

Das Bewusstsein wird durch ein fortlaufendes Programm gefördert, das Sicherheitseinweisungen beim Onboarding, jährliche Auffrischungsschulungen, gezielte Kampagnen zu aktuellen Bedrohungen (wie Phishing, Social Engineering und Ransomware) und regelmäßige Mitteilungen des/der Informationssicherheitsbeauftragten umfasst. Der Schulungsabschluss und die Kenntnisnahme werden nachverfolgt und dem Management gemeldet.

12. Kommunikation (7.4)

[IHR_ORGANISATIONSNAME] bestimmt die für das ISMS relevanten internen und externen Kommunikationen, einschließlich was kommuniziert wird, wann, mit wem und wie. Der Kommunikationsplan deckt ab:

Interne Kommunikation: ISMS-Leistungsupdates an die Geschäftsleitung, Richtlinienänderungen an alle Beschäftigten, Sicherheitswarnungen und -hinweise, Vorfallbenachrichtigungen an betroffene Parteien und Ankündigungen des Schulungsplans.
Externe Kommunikation: Regulatorische Meldungen und Vorfallberichte an Aufsichtsbehörden, vertragliche Sicherheitszusicherungen an Kunden und Partner sowie Informationsaustausch mit Branchengruppen und CERTs.

Der detaillierte Kommunikationsplan — einschließlich Themen, Häufigkeiten, verantwortlicher Parteien und Kommunikationskanäle — ist im ISMS-Kommunikationsplan dokumentiert.

13. Dokumentierte Informationen (7.5)

Das ISMS umfasst von ISO 27001 geforderte dokumentierte Informationen sowie dokumentierte Informationen, die die Organisation für die Wirksamkeit des ISMS als erforderlich erachtet. Dokumentierte Informationen werden gemäß dem Rahmenwerk der ISMS-Governance-Richtlinie erstellt, aktualisiert und gelenkt. Dieses definiert:

Dokumentenhierarchie: Diese Informationssicherheitsrichtlinie und die Risikomanagement-Richtlinie an der Spitze, gefolgt von themenspezifischen Richtlinien für einzelne Sicherheitsbereiche, unterstützenden Management-Dokumenten und operativen Aufzeichnungen. Die vollständige Hierarchie und Themenabdeckung ist in der ISMS-Governance-Richtlinie beschrieben.
Erstellung und Freigabe: Jedes Dokument durchläuft einen definierten Lebenszyklus von Entwurf über Prüfung und Freigabe bis zur Veröffentlichung mit benannten Autoren, Prüfern und Genehmigern.
Versionskontrolle: Alle Änderungen an dokumentierten Informationen werden mit Versionshistorie, Änderungsbeschreibungen und Freigabenachweisen nachverfolgt.
Verteilung und Zugang: Aktuelle Versionen stehen allen Personen zur Verfügung, die sie benötigen. Veraltete Versionen werden aus der aktiven Nutzung entfernt, bleiben aber für Audit- und historische Zwecke abrufbar.
Aufbewahrung: Dokumentierte Informationen werden für einen Mindestzeitraum aufbewahrt, der den gesetzlichen, regulatorischen und vertraglichen Anforderungen entspricht. Die Aufbewahrungsfristen werden gegen das Rechtsregister und den Datenaufbewahrungsplan geprüft, und längere gesetzliche Fristen haben Vorrang, sofern sie gelten.

14. Operative Planung & Steuerung (8.1)

[IHR_ORGANISATIONSNAME] plant, implementiert und steuert die Prozesse, die zur Erfüllung der Informationssicherheitsanforderungen und zur Umsetzung der in Kapitel 6 festgelegten Maßnahmen erforderlich sind. Dies umfasst die Festlegung von Kriterien für die Prozesse, die Umsetzung der Prozesskontrolle gemäß diesen Kriterien und die Aufbewahrung dokumentierter Informationen zum Nachweis der planmäßigen Durchführung.

Die operative Planung umfasst folgende Bereiche, die jeweils durch eine dedizierte themenspezifische Richtlinie geregelt werden:

Zugriffskontrolle und Identitätsmanagement: Bereitstellung, Überprüfung und Entzug von Benutzerkonten und Berechtigungen.
Asset-Management: Inventarisierung, Klassifizierung und Lebenszyklusmanagement von Informationswerten.
IT-Betrieb: Netzwerksicherheit, Protokollierung, Überwachung, Datensicherung und Notfallwiederherstellung.
Endpunktsicherheit und Malware-Schutz: Gerätemanagement, Anti-Malware und Patch-Management.
Vorfallmanagement: Erkennung, Meldung, Triage, Reaktion, Forensik und Lessons Learned.
Geschäftskontinuität: Geschäftsauswirkungsanalyse (BIA), Kontinuitätsplanung, Tests und Krisenkommunikation.
Lieferantenmanagement: Lieferantenbewertung, Überwachung, vertragliche Sicherheitsanforderungen und SBOM-Management.
Sichere Entwicklung: Sicherer Entwicklungslebenszyklus, Code-Review, Tests und Deployment-Kontrollen.
Kryptografie: Schlüsselmanagement, Algorithmenauswahl und kryptografisches Inventar.
Konfigurations- und Änderungsmanagement: Basiskonfigurationen, Änderungskontrolle und Deployment-Verfahren.
Physische Sicherheit: Gebäudezugang, Umgebungskontrollen und Geräteschutz.
Personalsicherheit: Überprüfung vor der Einstellung, Onboarding, Sensibilisierung und Offboarding.

Geplante Änderungen werden kontrolliert und die Auswirkungen unbeabsichtigter Änderungen überprüft. Ausgelagerte Prozesse, die das ISMS betreffen, werden durch Lieferantenvereinbarungen und Überwachung identifiziert und kontrolliert.

15. Informationssicherheits-Risikobeurteilung (8.2)

[IHR_ORGANISATIONSNAME] führt Informationssicherheits-Risikobeurteilungen in geplanten Abständen — mindestens jährlich — und bei geplanten oder eingetretenen wesentlichen Änderungen durch. Risikobeurteilungen folgen der in der Risikomanagement-Richtlinie definierten Methodik und berücksichtigen Änderungen der Geschäftsanforderungen, der Bedrohungslandschaft, der Technologieumgebung, rechtlicher und regulatorischer Anforderungen sowie der Ergebnisse von Vorfalluntersuchungen. Die Ergebnisse der Risikobeurteilungen werden dokumentiert und aufbewahrt.

16. Informationssicherheits-Risikobehandlung (8.3)

Der Risikobehandlungsplan wird gemäß den bei der Risikobeurteilung festgelegten Prioritäten und Zeitplänen umgesetzt. Der Umsetzungsfortschritt wird nachverfolgt, und Abweichungen von geplanten Zeitplänen werden an die Risikoeigentümer eskaliert. Die Ergebnisse der Risikobehandlung werden dokumentiert und aufbewahrt. Die Wirksamkeit umgesetzter Maßnahmen wird durch die in dieser Richtlinie beschriebenen Überwachungs-, Test- und Auditaktivitäten bewertet.

17. Überwachung, Messung, Analyse & Bewertung (9.1)

[IHR_ORGANISATIONSNAME] bestimmt, was überwacht und gemessen werden muss, einschließlich der Informationssicherheitsprozesse und -maßnahmen. Folgendes ist festgelegt:

Methoden: Geeignete Methoden zur Überwachung, Messung, Analyse und Bewertung werden ausgewählt, um valide und vergleichbare Ergebnisse zu erzielen.
Zeitpunkt: Wann die Überwachung und Messung durchgeführt und wann die Ergebnisse analysiert und bewertet werden.
Verantwortlichkeit: Wer überwacht, misst, analysiert und bewertet.

Zentrale Leistungskennzahlen (KPIs) für das ISMS umfassen:

Anteil der Risiken innerhalb der definierten Akzeptanzschwelle.
Maßnahmenumsetzungsstatus aus der Erklärung zur Anwendbarkeit.
Offene Risikobehandlungsmaßnahmen und deren Abschlussraten.
Schulungsabschlussraten über alle Beschäftigten.
Vorfallkennzahlen: Anzahl, mittlere Erkennungszeit (MTTD), mittlere Reaktionszeit (MTTR) und Trendanalyse.
Schwachstellenmanagement: offene Schwachstellen, SLA-Einhaltung, Behebungsraten.
Auditfeststellungen: offene Feststellungen, Abschlussraten von Korrekturmaßnahmen.
Richtlinien-Compliance: Dokumentvollständigkeit und fristgerechte Überprüfung.

Die Ergebnisse werden dokumentiert und der Geschäftsleitung im Rahmen der Managementbewertung berichtet. Penetrationstests und Schwachstellenbewertungen werden in geplanten Abständen durchgeführt, um die Wirksamkeit technischer Maßnahmen zu validieren.

18. Internes Audit (9.2)

[IHR_ORGANISATIONSNAME] führt interne Audits in geplanten Abständen durch, um Informationen darüber zu erhalten, ob das ISMS den eigenen Anforderungen der Organisation und den Anforderungen der ISO 27001 entspricht und ob es wirksam implementiert und aufrechterhalten wird.

Das interne Auditprogramm berücksichtigt die Bedeutung der betroffenen Prozesse, die Ergebnisse früherer Audits und Änderungen am ISMS. Auditkriterien, -umfang, -häufigkeit und -methoden werden für jedes Audit festgelegt. Auditoren werden so ausgewählt, dass Objektivität und Unparteilichkeit gewährleistet sind — Auditoren prüfen nicht ihre eigene Arbeit.

Auditergebnisse, einschließlich festgestellter Nichtkonformitäten und Verbesserungsmöglichkeiten, werden in Auditberichten dokumentiert und dem zuständigen Management mitgeteilt. Das Auditprogramm, einzelne Auditpläne und Auditberichte werden als dokumentierte Informationen aufbewahrt. Der detaillierte Auditrahmen ist im Internen Auditprogramm und im Verfahren für Interne Audits definiert.

19. Managementbewertung (9.3)

Die Geschäftsleitung überprüft das ISMS in geplanten Abständen, um dessen fortlaufende Eignung, Angemessenheit und Wirksamkeit sicherzustellen. Die Managementbewertung berücksichtigt:

Den Status der Maßnahmen aus vorherigen Managementbewertungen.
Änderungen externer und interner Themen, die für das ISMS relevant sind.
Rückmeldungen zur Informationssicherheitsleistung, einschließlich Trends bei Nichtkonformitäten und Korrekturmaßnahmen, Überwachungs- und Messergebnisse, Auditergebnisse und Erfüllung der Informationssicherheitsziele.
Rückmeldungen interessierter Parteien.
Ergebnisse der Risikobeurteilung und Status des Risikobehandlungsplans.
Möglichkeiten zur fortlaufenden Verbesserung.

Die Ergebnisse der Managementbewertung umfassen Entscheidungen und Maßnahmen in Bezug auf Verbesserungsmöglichkeiten und etwaigen Änderungsbedarf am ISMS, einschließlich Änderungen an Ressourcen. Die Ergebnisse der Managementbewertung werden in Protokollen dokumentiert, die Entscheidungen, Maßnahmen, verantwortliche Parteien und Fristen festhalten.

20. Fortlaufende Verbesserung (10.1)

[IHR_ORGANISATIONSNAME] verbessert fortlaufend die Eignung, Angemessenheit und Wirksamkeit des ISMS. Verbesserungsimpulse leiten sich aus der Analyse und Bewertung von Überwachungsergebnissen, Auditfeststellungen, Ergebnissen der Managementbewertung, Vorfalluntersuchungen, aktualisierten Risikobeurteilungen und Rückmeldungen interessierter Parteien ab. Verbesserungsinitiativen werden priorisiert, geplant, umgesetzt und ihre Wirksamkeit wird bewertet.

21. Nichtkonformität & Korrekturmaßnahmen (10.2)

Wenn eine Nichtkonformität auftritt, werden folgende Schritte durchgeführt:

Auf die Nichtkonformität reagieren: Maßnahmen ergreifen, um sie zu kontrollieren und zu korrigieren sowie die Auswirkungen zu bewältigen.
Handlungsbedarf bewerten: Feststellen, ob ähnliche Nichtkonformitäten bestehen oder potenziell auftreten könnten, durch Überprüfung der Nichtkonformität, Ermittlung ihrer Ursachen und Identifikation vergleichbarer Situationen an anderer Stelle.
Korrekturmaßnahmen umsetzen: Erforderliche Maßnahmen umsetzen, um die Grundursache zu beseitigen und ein Wiederauftreten zu verhindern.
Wirksamkeit überprüfen: Die Wirksamkeit der ergriffenen Korrekturmaßnahmen überprüfen.
ISMS aktualisieren: Bei Bedarf Änderungen am ISMS auf Grundlage der Überprüfung der Korrekturmaßnahmen vornehmen.

Korrekturmaßnahmen sind den Auswirkungen der aufgetretenen Nichtkonformitäten angemessen. Nachweise über die Art der Nichtkonformitäten, ergriffene Maßnahmen und die Ergebnisse der Korrekturmaßnahmen werden als dokumentierte Informationen im Register für Korrektur- und Vorbeugungsmaßnahmen (CAPA) aufbewahrt.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 — Information Security Management Systems (Clauses 4–10).

ISO/IEC 27002:2022 — Information Security Controls (Annex A reference controls).

BSI IT-Grundschutz:

ISMS.1 (Security Management)
ORP.1 (Organisation)
ORP.3 (Awareness and Training for Information Security)
ORP.5 (Compliance Management)

Additional jurisdiction-specific laws and regulations that apply to [YOUR_ORGANISATION_NAME] are listed in the Legal Register and are incorporated by reference. Typical examples include data protection laws (e.g. GDPR), sector-specific regulations (e.g. NIS2, DORA, HIPAA) and contractual security requirements from key customers.

2. Purpose & Scope (4.1–4.4)

This Information Security Policy establishes the principles, objectives and framework for the Information Security Management System (ISMS) of [YOUR_ORGANISATION_NAME]. It serves as the overarching governance document from which all topic-specific policies and supporting management documents derive their authority.

2.1 Context of the Organisation (4.1)

[YOUR_ORGANISATION_NAME] operates in the [INDUSTRY_SECTOR] sector.

External factors influencing the ISMS include the evolving cyber-threat landscape, applicable legislation and regulatory requirements, customer and partner expectations, and industry standards.

Internal factors include the organisational structure, business processes, information assets, technology infrastructure, and the competence and awareness of personnel.

2.2 Interested Parties (4.2)

The needs and expectations of interested parties relevant to the ISMS are identified, documented and regularly reviewed. Interested parties include customers, business partners, regulators and supervisory authorities, shareholders, employees and contractors. Their requirements are recorded in the Stakeholder Register and are considered when establishing and maintaining the ISMS.

2.3 Scope of the ISMS (4.3)

The ISMS applies to all information assets, business processes, IT systems and personnel within the defined scope of [YOUR_ORGANISATION_NAME]. The locations and departments in scope are listed in the ISMS Scope Statement.

The scope boundaries, including interfaces with external parties and services not covered by the ISMS, are documented in the ISMS Scope Statement. The scope is reviewed at least annually and updated when significant changes occur.

2.4 The ISMS (4.4)

[YOUR_ORGANISATION_NAME] establishes, implements, maintains and continually improves an Information Security Management System in accordance with ISO/IEC 27001:2022. The ISMS encompasses all processes needed to plan, implement, monitor and improve information security, including the management of risks and the achievement of information security objectives.

3. Leadership & Commitment (5.1)

Top management demonstrates leadership and commitment to the ISMS by:

Establishing this Information Security Policy and the information security objectives, ensuring their compatibility with the strategic direction of the organisation.
Ensuring that the ISMS requirements are integrated into business processes across all operational areas.
Providing the resources — financial, human and technical — necessary for the establishment, implementation, maintenance and continual improvement of the ISMS.
Communicating the importance of effective information security management and of conforming to the ISMS requirements to all personnel.
Ensuring that the ISMS achieves its intended outcomes through regular performance evaluation and management review.
Directing and supporting personnel to contribute to the effectiveness of the ISMS, and supporting other relevant management roles to demonstrate their leadership in their areas of responsibility.
Promoting the continual improvement of the ISMS.
Participating in mandatory information security training for management bodies. Members of top management maintain current knowledge of cyber risks, threat landscapes and their governance obligations.

4. Information Security Policy Statement (5.2)

[YOUR_ORGANISATION_NAME] is committed to protecting the confidentiality, integrity and availability of all information assets. This commitment extends to information in all forms — digital, physical and verbal — throughout its lifecycle.

This policy:

Is appropriate to the purpose and context of the organisation.
Provides a framework for setting information security objectives.
Includes a commitment to satisfy applicable requirements related to information security.
Includes a commitment to the continual improvement of the ISMS.

This policy is communicated within the organisation, is available to all personnel, and is made available to relevant interested parties as appropriate.

5. Roles & Responsibilities (5.3)

Top management assigns and communicates roles, responsibilities and authorities relevant to information security. The following key roles are established:

Top Management / Executive Board: Bears overall accountability for the ISMS. Approves this policy, allocates resources, sets risk acceptance criteria and reviews ISMS performance in the management review.
Information Security Officer (ISO): Ensures that the ISMS conforms to ISO 27001 requirements and reports ISMS performance to top management. Coordinates the implementation of security controls and serves as the primary point of contact for information security matters.
Data Protection Officer (DPO): Advises on data protection requirements, monitors compliance with data protection legislation and cooperates with supervisory authorities. Works in close coordination with the ISO on matters where information security and data protection intersect.
Department Heads / Line Managers: Ensure that information security requirements are implemented within their areas of responsibility. Identify department-specific risks and ensure that personnel are aware of and trained in applicable security procedures.
Asset Owners: Are responsible for the classification, protection and lifecycle management of assigned information assets. Define access requirements and approve access requests for their assets.
All Employees & Contractors: Comply with this policy and all applicable topic-specific policies. Report information security events and suspected weaknesses through established reporting channels.

The complete assignment of responsibilities to specific persons is documented in the RACI matrix. The RACI matrix maps each ISMS responsibility to the accountable, responsible, consulted and informed parties.

6. Risk Management (6.1)

6.1 Actions to Address Risks and Opportunities (6.1.1)

[YOUR_ORGANISATION_NAME] considers the issues identified in the context analysis (4.1) and the requirements of interested parties (4.2) when planning the ISMS. Actions are determined to address risks and opportunities that could affect the ability of the ISMS to achieve its intended outcomes, to prevent or reduce undesired effects, and to achieve continual improvement.

6.2 Information Security Risk Assessment (6.1.2)

A documented information security risk assessment process is established that identifies, analyses and evaluates information security risks. The risk assessment methodology, including risk acceptance criteria, assessment scales and the systematic approach to risk identification through risk sources, threats and vulnerabilities, is defined in the Risk Management Policy. Risk assessments are performed at planned intervals and when significant changes occur.

6.3 Information Security Risk Treatment (6.1.3)

A risk treatment process is established to select appropriate risk treatment options (risk modification, risk retention, risk avoidance, risk sharing) and to determine the controls necessary to implement those options. Selected controls are compared against the ISO 27001 Annex A control set to verify completeness. The Statement of Applicability (SoA) documents all applicable controls, their justification and implementation status. Residual risks are formally accepted by risk owners.

7. Information Security Objectives (6.2)

[YOUR_ORGANISATION_NAME] establishes information security objectives at relevant functions and levels. The objectives are consistent with this policy, are measurable where practicable, take into account applicable requirements and the results of risk assessment and treatment, and are monitored, communicated and updated as appropriate.

For each objective, the following is determined: what is to be done, what resources are required, who is responsible, when it is to be completed, and how the results are evaluated. The information security objectives and the plans to achieve them are documented in the ISMS Objectives register.

8. Planning of Changes (6.3)

Changes to the ISMS are carried out in a planned manner. When a need for change is identified, the following are considered: the purpose of the change and its potential consequences, the integrity of the ISMS, the availability of resources, and the allocation or reallocation of responsibilities and authorities. Changes are documented and communicated to affected parties before implementation.

9. Resources (7.1)

[YOUR_ORGANISATION_NAME] determines and provides the resources needed for the establishment, implementation, maintenance and continual improvement of the ISMS. This includes qualified personnel, appropriate technology and tools, adequate budget allocation and sufficient time for security-related activities. Resource requirements are reviewed as part of the annual management review and adjusted when significant changes in scope, risk profile or regulatory requirements occur.

10. Competence (7.2)

Personnel performing work that affects information security performance possess the necessary competence based on appropriate education, training or experience. Competence requirements are defined for each ISMS role in the competence matrix. Where gaps are identified, actions are taken to acquire the necessary competence — through training, mentoring, reassignment or recruitment. The effectiveness of these actions is evaluated and documented.

Training records, certifications and evidence of competence are retained as documented information. The training programme covers general information security awareness, role-specific technical competencies and specialised topics such as incident response, risk assessment and secure development.

11. Awareness (7.3)

All personnel working under the control of the organisation are aware of:

This Information Security Policy and its relevance to their work.
Their contribution to the effectiveness of the ISMS, including the benefits of improved information security performance.
The implications of not conforming to the ISMS requirements, including disciplinary consequences.

Awareness is established through an ongoing programme that includes onboarding security briefings, annual refresher training, targeted campaigns on current threats (such as phishing, social engineering and ransomware) and regular communications from the Information Security Officer. Training completion and acknowledgement are tracked and reported to management.

12. Communication (7.4)

[YOUR_ORGANISATION_NAME] determines the internal and external communications relevant to the ISMS, including what is communicated, when, with whom and how. The communication plan covers:

Internal communication: ISMS performance updates to management, policy changes to all personnel, security alerts and advisories, incident notifications to affected parties, and training schedule announcements.
External communication: Regulatory notifications and incident reports to supervisory authorities, contractual security assurances to customers and partners, and information sharing with industry groups and CERTs.

The detailed communication plan — including topics, frequencies, responsible parties and communication channels — is documented in the ISMS Communication Plan.

13. Documented Information (7.5)

The ISMS includes documented information required by ISO 27001 and documented information determined by the organisation to be necessary for ISMS effectiveness. Documented information is created, updated and controlled according to the ISMS Governance Policy framework, which defines:

Document hierarchy: This Information Security Policy and the Risk Management Policy at the top, followed by topic-specific policies covering individual security domains, supporting management documents, and operational records. The full hierarchy and topic coverage is described in the ISMS Governance Policy.
Creation and approval: Each document follows a defined lifecycle from draft through review and approval to publication, with identified authors, reviewers and approvers.
Version control: All changes to documented information are tracked with version history, change descriptions and approval records.
Distribution and access: Current versions are available to all personnel who need them. Obsolete versions are removed from active use but remain queryable for audit and historical reference.
Retention: Documented information is retained for a minimum period consistent with statutory, regulatory and contractual requirements. The retention defaults are reviewed against the Legal Register and the data retention plan, and longer statutory periods take precedence where they apply.

14. Operational Planning & Control (8.1)

[YOUR_ORGANISATION_NAME] plans, implements and controls the processes needed to meet information security requirements and to implement the actions determined in Clause 6. This includes establishing criteria for the processes, implementing control of the processes in accordance with those criteria, and retaining documented information to demonstrate that processes have been carried out as planned.

Operational planning encompasses the following areas, each governed by a dedicated topic-specific policy:

Access control and identity management: Provisioning, review and de-provisioning of user accounts and privileges.
Asset management: Inventory, classification and lifecycle management of information assets.
IT operations: Network security, logging, monitoring, backup and disaster recovery.
Endpoint security and malware protection: Device management, anti-malware and patch management.
Incident management: Detection, reporting, triage, response, forensics and lessons learned.
Business continuity: Business impact analysis, continuity planning, testing and crisis communication.
Supplier management: Supplier assessment, monitoring, contractual security requirements and SBOM management.
Secure development: Secure development lifecycle, code review, testing and deployment controls.
Cryptography: Key management, algorithm selection and cryptographic inventory.
Configuration and change management: Baseline configurations, change control and deployment procedures.
Physical security: Facility access, environmental controls and equipment protection.
Human resource security: Pre-employment screening, onboarding, awareness and offboarding.

Planned changes are controlled and the consequences of unintended changes are reviewed. Outsourced processes that affect the ISMS are identified and controlled through supplier agreements and monitoring.

15. Information Security Risk Assessment (8.2)

[YOUR_ORGANISATION_NAME] performs information security risk assessments at planned intervals — at least annually — and when significant changes are proposed or occur. Risk assessments follow the methodology defined in the Risk Management Policy and consider changes to business requirements, the threat landscape, the technology environment, legal and regulatory requirements and the results of incident investigations. The results of risk assessments are documented and retained.

16. Information Security Risk Treatment (8.3)

The risk treatment plan is implemented in accordance with the priorities and timelines established during risk assessment. Implementation progress is tracked, and deviations from planned timelines are escalated to risk owners. The results of risk treatment are documented and retained. The effectiveness of implemented controls is evaluated through monitoring, testing and audit activities described in this policy.

17. Monitoring, Measurement, Analysis & Evaluation (9.1)

[YOUR_ORGANISATION_NAME] determines what needs to be monitored and measured, including information security processes and controls. The following is established:

Methods: Appropriate methods for monitoring, measurement, analysis and evaluation are selected to produce valid and comparable results.
Timing: When monitoring and measuring is performed and when results are analysed and evaluated.
Responsibility: Who monitors, measures, analyses and evaluates.

Key performance indicators for the ISMS include:

Percentage of risks within the defined acceptance threshold.
Control implementation status from the Statement of Applicability.
Open risk treatment actions and their completion rates.
Training completion rates across all personnel.
Incident metrics: count, mean time to detect (MTTD), mean time to respond (MTTR), and trend analysis.
Vulnerability management: open vulnerabilities, SLA compliance, remediation rates.
Audit findings: open findings, corrective action completion rates.
Policy compliance: document completeness and review timeliness.

Results are documented and reported to top management through the management review process. Penetration tests and vulnerability assessments are conducted at planned intervals to validate the effectiveness of technical controls.

18. Internal Audit (9.2)

[YOUR_ORGANISATION_NAME] conducts internal audits at planned intervals to provide information on whether the ISMS conforms to the organisation's own requirements and to the requirements of ISO 27001, and whether the ISMS is effectively implemented and maintained.

The internal audit programme considers the importance of the processes concerned, the results of previous audits and changes to the ISMS. Audit criteria, scope, frequency and methods are defined for each audit. Auditors are selected to ensure objectivity and impartiality — auditors do not audit their own work.

Audit results, including identified nonconformities and improvement opportunities, are documented in audit reports and communicated to relevant management. The audit programme, individual audit plans and audit reports are retained as documented information. The detailed audit framework is defined in the Internal Audit Programme and the Internal Audit Procedure.

19. Management Review (9.3)

Top management reviews the ISMS at planned intervals to ensure its continuing suitability, adequacy and effectiveness. The management review considers:

The status of actions from previous management reviews.
Changes in external and internal issues relevant to the ISMS.
Feedback on information security performance, including trends in nonconformities and corrective actions, monitoring and measurement results, audit results, and fulfilment of information security objectives.
Feedback from interested parties.
Results of risk assessment and status of the risk treatment plan.
Opportunities for continual improvement.

The outputs of the management review include decisions and actions related to continual improvement opportunities and any need for changes to the ISMS, including changes to resources. Management review results are documented in minutes that record decisions, action items, responsible parties and deadlines.

20. Continual Improvement (10.1)

[YOUR_ORGANISATION_NAME] continually improves the suitability, adequacy and effectiveness of the ISMS. Improvement inputs are derived from the analysis and evaluation of monitoring results, audit findings, management review outputs, incident investigations, risk assessment updates and feedback from interested parties. Improvement initiatives are prioritised, planned, implemented and their effectiveness evaluated.

21. Nonconformity & Corrective Action (10.2)

When a nonconformity occurs, the following steps are taken:

React to the nonconformity: Take action to control and correct it, and deal with the consequences.
Evaluate the need for action: Determine whether similar nonconformities exist or could potentially occur, by reviewing the nonconformity, determining its causes and identifying whether comparable situations exist elsewhere.
Implement corrective action: Implement any action needed to address the root cause and prevent recurrence.
Review effectiveness: Review the effectiveness of corrective actions taken.
Update the ISMS: Make changes to the ISMS if necessary based on the corrective action review.

Corrective actions are appropriate to the effects of the nonconformities encountered. Evidence of the nature of nonconformities, actions taken and the results of corrective actions are retained as documented information in the corrective and preventive action (CAPA) register.

Quellen

ISO/IEC 27001:2022 Clauses 4–10 — die vollständigen Anforderungen an ein ISMS
ISO/IEC 27002:2022 — Referenzmaßnahmen für die operative Umsetzung
BSI IT-Grundschutz ISMS.1 — Sicherheitsmanagement
BSI IT-Grundschutz ORP.1 — Organisation
NIS2-Richtlinie (EU 2022/2555) — Art. 21 Risikomanagementmaßnahmen

Abgedeckte ISO-27001-Kontrollen

Clause 4.1 Kontext der Organisation Clause 4.2 Interessierte Parteien Clause 4.3 Anwendungsbereich des ISMS Clause 4.4 Informationssicherheitsmanagementsystem Clause 5.1 Führung und Verpflichtung Clause 5.2 Informationssicherheitspolitik Clause 5.3 Rollen, Verantwortlichkeiten und Befugnisse Clause 7.1 Ressourcen Clause 7.3 Bewusstsein Clause 7.5 Dokumentierte Information Clause 8.1 Betriebliche Planung und Steuerung Clause 9.1 Überwachung, Messung, Analyse und Bewertung Clause 9.2 Internes Audit Clause 9.3 Managementbewertung Clause 10.1 Fortlaufende Verbesserung Clause 10.2 Nichtkonformität und Korrekturmaßnahmen A.5.1 Informationssicherheitsrichtlinien A.5.2 Rollen und Verantwortlichkeiten A.5.4 Verantwortlichkeiten der Leitung

Häufig gestellte Fragen

Brauche ich eine separate Informationssicherheitsrichtlinie, wenn ich schon themenspezifische Richtlinien habe?

Ja. ISO 27001 Clause 5.2 verlangt eine übergeordnete Richtlinie, die den Rahmen für alle themenspezifischen Dokumente setzt. Ohne sie fehlt die strategische Klammer — Auditor:innen fragen danach als erstes Dokument.

Wie lang muss die Richtlinie sein?

Es gibt keine Mindestlänge. Die Richtlinie muss die Anforderungen aus Clauses 4–10 abdecken, aber Detailregelungen gehören in die themenspezifischen Richtlinien. Unsere Vorlage hat rund 20 Abschnitte — das reicht für ein KMU. Kürze, wo deine Organisation Themen nicht betrifft.

Wer muss die Richtlinie freigeben?

Die Geschäftsleitung. ISO 27001 Clause 5.2 verlangt, dass die Richtlinie vom Top-Management verabschiedet wird. Eine Freigabe durch den ISB allein genügt dem Audit nicht — die Geschäftsleitung trägt die Gesamtverantwortung für das ISMS.

Wie oft muss ich die Richtlinie überprüfen?

Mindestens jährlich, typischerweise im Rahmen der Managementbewertung. Zusätzlich bei wesentlichen Änderungen — etwa einer Umstrukturierung, einem Wechsel des Geschäftsmodells oder neuen regulatorischen Anforderungen. Die Vorlage enthält eine Versionstabelle, die das dokumentiert.

Was ist der Unterschied zwischen der Informationssicherheitsrichtlinie und der Risikorichtlinie?

Die Informationssicherheitsrichtlinie definiert das Gesamtkonzept: Geltungsbereich, Ziele, Rollen, Führungsverpflichtung. Die Risikorichtlinie beschreibt die Methodik der Risikobewertung und -behandlung im Detail. Die Informationssicherheitsrichtlinie referenziert die Risikorichtlinie — umgekehrt leitet die Risikorichtlinie ihre Autorität aus der Informationssicherheitsrichtlinie ab.