Wenn ein Unternehmen wächst, geht es nicht lange gut, wenn jeder irgendwie alles macht oder keiner so genau weiß, was eigentlich von ihm erwartet wird. Klar kann man eine Zeit lang vor sich hin "wuseln". Dann werden Dinge aber gar nicht gemacht, doppelt gemacht oder von jeder Ecke anders. An einer Stelle steht man sich auf den Füßen, an der anderen ist gähnende Leere, und am Ende kommen sehr überraschende Ergebnisse heraus.
Das weiß auch ISO 27001. Deshalb verlangt Abschnitt 5.3, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit zugewiesen und kommuniziert werden. Außerdem muss die oberste Leitung die Verantwortung und Befugnisse zuweisen.
Die kurze Antwort
Ein ISMS funktioniert nicht auf Dauer mit "macht halt irgendwer". Es muss klar sein, wer wofür zuständig ist, wer was entscheiden darf und wer an wen berichtet. Genau das ist der Kern von Abschnitt 5.3. Die Norm verlangt dabei nicht nur, dass Rollen existieren, sondern dass ihre Verantwortlichkeiten und Befugnisse auch im Unternehmen bekannt sind.
Besonders wichtig sind zwei Punkte: Jemand muss dafür verantwortlich sein, dass das ISMS die Normanforderungen erfüllt. Und jemand muss der obersten Leitung berichten, wie das ISMS läuft. Das sind keine netten Zusatzaufgaben, sondern ausdrücklich genannte Anforderungen in Abschnitt 5.3 (und auch Anhang A.5.2).
Worum es bei Abschnitt 5.3 praktisch wirklich geht
Informationssicherheit scheitert selten daran, dass alle grundsätzlich dagegen wären. Sie scheitert viel öfter daran, dass Verantwortung diffus bleibt. Dann denkt IT, HR kümmert sich um die Rücknahme des Laptops beim Offboarding - und HR denkt, das sei ein Thema der IT.
Die Geschäftsführung denkt, operativ sei alles delegiert. Und am Ende bleibt etwas liegen, weil sich niemand wirklich zuständig fühlt.
Genau an dieser Stelle wird Abschnitt 5.3 praktisch. Die Norm will, dass Informationssicherheit organisatorisch verankert wird und nicht nur als gute Absicht im Raum steht. Die ISO beschreibt Managementsysteme allgemein als Systeme, mit denen Organisationen ihre Prozesse und Zuständigkeiten steuern, um bestimmte Ziele zu erreichen.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "InfoSec? Wir haben doch eine IT-Abteilung, also wird das dort schon jemand machen."
Eine IT-Abteilung zu haben, ist noch keine saubere Rollenverteilung. Abschnitt 5.3 verlangt gerade nicht, dass Zuständigkeiten irgendwie im Nebel hängen, sondern dass sie klar zugewiesen und kommuniziert werden. Die IT-Abteilung stellt keine Leute ein (das macht HR), sorgt meist auch nicht für den Zutrittsschutz zum Gebäude (das macht Facility- oder Office Management) und entscheidet nicht über neue InfoSec Ziele (das macht die Geschäftsführung).
Wenn niemand sauber sagen kann, wer Risiken pflegt, wer Maßnahmen nachhält, wer Richtlinien koordiniert, wer an die Oberste Leitung berichtet oder wer bei Zielkonflikten entscheidet, dann ist das kein robustes ISMS.
Nicht eine Person muss alles machen, aber es muss klar geschnitten sein
Abschnitt 5.3 verlangt nicht, dass eine einzige Person das ganze ISMS allein stemmt. Und er verlangt auch nicht zwingend einen Vollzeit-Informationssicherheitsbeauftragten mit großem Team. Die Norm verlangt etwas viel Bodenständigeres: dass die relevanten Rollen sauber geschnitten sind. Rollen sind nicht 1:1 auch Personen. Ein und dieselbe Person kann je nach Situation verschiedene Rollen einnehmen.
Oberste Leitung heißt nicht immer automatisch Geschäftsführung des ganzen Unternehmens
In kleineren Unternehmen ist die Oberste Leitung oft schlicht die Geschäftsführung. In größeren Organisationen kann das aber auch die höchste Führungskraft innerhalb des Anwendungsbereichs des Managementsystems sein (so definiert in ISO 9000 3.1.1, Anmerkung 2).
Das ist für die Praxis wichtig. Sonst reden große Unternehmen aneinander vorbei: Die Konzernspitze ist formal "ganz oben", aber für das konkrete ISMS ist eigentlich die höchste Führung im betrachteten Bereich die relevante oberste Leitung.
Kommunikation ist Teil der Anforderung
Eine Rollenbeschreibung, die irgendwo im Dateisystem liegt und die niemand kennt, hilft wenig. Abschnitt 5.3 verlangt ausdrücklich nicht nur Zuweisung, sondern auch Kommunikation. Das bedeutet: Die Organisation soll wissen, wer welche Rolle hat, wer wofür ansprechbar ist und wo Berichtslinien verlaufen.
Gerade das ist in wachsenden Unternehmen wichtig. Solange zehn Leute in einem Raum sitzen, kann man vieles informell lösen. Sobald Teams, Standorte oder Dienstleister dazukommen, reicht stillschweigendes Wissen nicht mehr aus.
Was will der Auditor sehen?
Ein Auditor will hier meistens kein Kunstwerk sehen. Er will erkennen, dass die für das ISMS relevanten Rollen sauber zugeordnet sind und dass diese Zuordnung im Unternehmen auch bekannt ist. Besonders aufmerksam wird er dort hinschauen, wo Abschnitt 5.3 ausdrücklich etwas verlangt: bei der Verantwortung dafür, dass das ISMS die Norm erfüllt, und bei der Verantwortung dafür, über die Leistung des ISMS an die oberste Leitung zu berichten.
Hilfreiche Nachweise sind zum Beispiel eine schlanke Rollenübersicht, mit Beschreibung von Entscheidungsbefugnissen und einer groben Liste von Aufgaben und ggf. ein Organigramm (wenn das Unternehmen hier über eine Darstellung der Aufbauorganisation mehr Klarheit schaffen kann, dann diese Form, ansonsten Ablauforganisation).
Typische Fehler bei Rollen und Verantwortlichkeiten
Jeder fühlt sich ein bisschen zuständig
Das klingt auf den ersten Blick kooperativ, ist aber oft die Vorstufe von "eigentlich niemand". Wenn Verantwortung nicht sauber zugewiesen ist, bleiben Themen liegen oder werden nur zufällig bearbeitet.
Verantwortung ohne Befugnis
Jemand soll etwas sicherstellen, darf aber weder priorisieren noch Entscheidungen herbeiführen noch Ressourcen einfordern. Dann ist die Rolle auf dem Papier stark und in der Praxis schwach.
Rollen sind dokumentiert, aber nicht kommuniziert
Dann steht zwar etwas in einem Dokument, aber im Alltag weiß trotzdem niemand, wer was macht. Abschnitt 5.3 verlangt ausdrücklich beides: zuweisen und kommunizieren.
FAQ
Die Norm verlangt, dass Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit zugewiesen und kommuniziert werden. Zusätzlich muss die oberste Leitung die Verantwortung und Befugnis dafür zuweisen, dass das ISMS die Anforderungen der Norm erfüllt und dass über die Leistung des ISMS an die oberste Leitung berichtet wird.
Nein. Eine pauschale Sammelzuständigkeit reicht nicht aus. Die Anforderung zielt gerade auf klare Rollen, klare Verantwortlichkeiten und klare Befugnisse.
Absolut nicht. Die Norm schreibt keine bestimmte Organisationsform vor. Aber sie verlangt, dass die relevanten Aufgaben, Verantwortlichkeiten und Befugnisse klar geregelt sind. Diese Schlussfolgerung ergibt sich aus der anforderungsbezogenen Formulierung von Abschnitt 5.3.
Das ist die Person oder Personengruppe, die die Organisation auf höchster Ebene leitet und steuert. Wenn sich der Anwendungsbereich des Managementsystems nur auf einen Teil der Organisation bezieht, ist damit die höchste Leitung genau dieses Bereichs gemeint.
Weil Verantwortung ohne Entscheidungsmacht oft leer läuft. Die ISO-Governance-Leitlinie betont, dass Verantwortlichkeit durch die Zuweisung von Verantwortung und die Delegation von Autorität entsteht.
Unser Tipp
Machen Sie Rollen, Verantwortlichkeiten und Befugnisse nicht unnötig kompliziert. Aber machen Sie sie klar. Wenn ein Dritter in wenigen Minuten nicht versteht, wer im ISMS was treibt, entscheidet, berichtet und nachhält, ist die Regelung meistens noch im Alltag nicht zu gebrauchen.
Interesse geweckt?
Wenn Sie Rollen, Verantwortlichkeiten und Befugnisse im Rahmen einer ISO 27001-Einführung sauber regeln wollen, lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!