24. Januar 2025

Informationssicherheitsleitlinie: Was sie ist und was hineingehört

Von Joachim Reinke

Januar 24, 2025

ISO 27001, leitlinie

Viele Unternehmen stolpern beim Aufbau eines ISO 27001-ISMS über zwei Begriffe, die ähnlich klingen, aber oft unterschiedlich verwendet werden:

Informationssicherheitsleitlinie und Informationssicherheitspolitik.

Genau da beginnt oft die Verwirrung.

Die kurze Wahrheit lautet: Eine Informationssicherheitsleitlinie ist ein sinnvoller, oft sehr nützlicher Orientierungsrahmen. Die Norm verlangt aber nicht zwingend ein separates Dokument mit genau diesem Namen. Verlangt wird eine Informationssicherheitspolitik als Top-Level-Aussage des Managements. In der Praxis verwenden manche Unternehmen beide Begriffe synonym, andere trennen bewusst: Die Politik ist der verpflichtende Kern, die Leitlinie der breitere Rahmen darum.

Im Englischen sind die beiden Begriffe nicht so trennscharf. Sowohl das Dokument selbst als auch die Informationssicherheitspolitik heißen "policy".

Die kurze Antwort

Eine gute Informationssicherheitsleitlinie ist das übergeordnete Dokument, das die Richtung vorgibt.

Sie beantwortet auf hoher Ebene Fragen wie:

  • Warum ist Informationssicherheit für uns wichtig?
  • Welche Grundhaltung haben wir dazu?
  • Welche Leitplanken gelten für spätere Regeln und Maßnahmen?
  • Woran sollen sich konkrete Richtlinien und Prozesse orientieren?

Genau deshalb ist sie hilfreich. Sie verhindert, dass einzelne Sicherheitsregeln nebeneinander herlaufen, ohne auf eine gemeinsame Linie einzuzahlen - als "Toplevel-Dokument".

Was eine Informationssicherheitsleitlinie eigentlich ist

Die Leitlinie ist kein operatives Regelwerk und kein Sammelordner für Einzelfragen. Sie ist das strategische Dach über den konkreteren Sicherheitsregeln.

Das heißt praktisch:

Sie beschreibt nicht im Detail, wie Backups laufen, wie Adminrechte vergeben werden oder wie Lieferanten bewertet werden. Sie beschreibt vielmehr die Grundausrichtung, innerhalb derer solche Einzelregelungen später sinnvoll entstehen. Genau an diesem Punkt ist der Begriff "Leitlinie" gut gewählt: Sie soll Richtung geben, nicht jedes Detail festschreiben.

Informationssicherheitsleitlinie und Informationssicherheitspolitik: Was ist der Unterschied?

Die Informationssicherheitspolitik ist der Teil, den die Norm im Kern erwartet: eine von der Leitung getragene Grundsatzaussage zur Informationssicherheit. Sie soll zum Unternehmen passen, einen Rahmen für Ziele geben, die Einhaltung relevanter Anforderungen zusagen und die kontinuierliche Verbesserung des ISMS unterstützen.

Die Informationssicherheitsleitlinie ist dagegen eher ein praktischer Oberbegriff für ein etwas breiteres strategisches Dokument. Darin ist die Informationssicherheitspolitik sinnvollerweise enthalten. Genau deshalb ist es in der Praxis oft gar nicht entscheidend, wie das Dokument heißt. Entscheidend ist, dass der Top-Level-Rahmen inhaltlich sauber da ist. 

Was wirklich in eine gute Leitlinie hineingehört

Nicht jede denkbare Managementsystem-Idee muss in dieses Dokument. Aber ein paar Dinge passen gut hinein.

1. Die Bedeutung von Informationssicherheit für Ihr Unternehmen

Ganz am Anfang sollte klar werden, warum Informationssicherheit für Ihr Unternehmen überhaupt eine Rolle spielt.

Nicht als Sonntagsrede, sondern mit erkennbarem Bezug zur Realität: Kundenerwartungen, Schutz wichtiger Informationen, verlässliche Leistungserbringung, stabile Prozesse, Schutz vor unnötigen Schäden.

Das muss nicht lang sein. Aber es sollte spürbar zum Unternehmen passen und nicht wie austauschbarer Schaufenstertext klingen. Die Norm verlangt, dass die Politik zum Zweck der Organisation passt. Daraus folgt praktisch: Auch eine Leitlinie sollte nicht generisch wirken. 

2. Die grundlegende Richtung

Eine Leitlinie sollte auf hoher Ebene sichtbar machen, welche Richtung das Unternehmen einschlägt.

Zum Beispiel:

  • Informationssicherheit wird als Führungsaufgabe verstanden.
  • Risiken werden nicht zufällig, sondern systematisch behandelt.
  • Schutz von Vertraulichkeit, Integrität und Verfügbarkeit ist relevant.
  • Sicherheitsanforderungen werden nicht nur dokumentiert, sondern in Entscheidungen einbezogen.

Die Aufgabe dieser Passage ist nicht Vollständigkeit, sondern Orientierung. Sie gibt den Ton für die nachgelagerten Regeln vor.

3. Der Bezug zu Zielen

Die Leitlinie sollte nicht schon alle konkreten Jahresziele enthalten. Aber sie sollte erkennbar machen, dass Informationssicherheit nicht nur behauptet, sondern gesteuert werden soll.

Genau deshalb gehört der Gedanke hinein, dass aus dieser übergeordneten Linie konkrete Informationssicherheitsziele abgeleitet werden. Die Politik soll laut Norm gerade einen Rahmen für solche Ziele liefern. 

3. Der Bezug zu Zielen

Die Leitlinie sollte nicht schon alle konkreten Jahresziele enthalten. Aber sie sollte erkennbar machen, dass Informationssicherheit nicht nur behauptet, sondern gesteuert werden soll.

Genau deshalb gehört der Gedanke hinein, dass aus dieser übergeordneten Linie konkrete Informationssicherheitsziele abgeleitet werden. Die Politik soll laut Norm gerade einen Rahmen für solche Ziele liefern. 

5. Die Verpflichtung zur Weiterentwicklung

Ein gutes ISMS ist nie "fertig".

Deshalb sollte die Leitlinie klar machen, dass Informationssicherheit nicht als einmalige Aktion verstanden wird, sondern als fortlaufende Aufgabe. Die Idee dahinter ist einfach: neue Risiken, neue Technologien, neue Kundenanforderungen, neue Schwachstellen. Wer da stillsteht, verliert schnell den Anschluss. Die kontinuierliche Verbesserung gehört deshalb in den strategischen Kern. 

6. Ein knapper Bezug zum Scope

Der Scope muss nicht in epischer Breite in die Leitlinie geschrieben werden. Aber es ist sinnvoll, wenn klar ist, für welchen Rahmen diese Aussagen gelten. Gerade in Organisationen mit abgegrenztem ISMS hilft das, Missverständnisse zu vermeiden.

Was nicht in die Leitlinie gehört

Genau hier werden solche Dokumente oft unnötig schwer. Nicht in die Leitlinie gehören normalerweise:

  • detaillierte Passwortregeln;
  • konkrete Backup-Anweisungen;
  • exakte Incident-Abläufe;
  • lange Rollenmatrizen;
  • technische Konfigurationsvorgaben;
  • operative Einzelprozesse.

Solche Inhalte gehören in Richtlinien, Prozesse, Standards oder Arbeitsanweisungen. Die Leitlinie ist das Dach. Wenn man sie mit Operativem überlädt, verliert sie ihren eigentlichen Nutzen.

Aus gutem Grund findet sich im Grundgesetz keine detaillierte Regelung zu Parkverbotsflächen in Gelsenkirchen.

Wie lang sollte eine Informationssicherheitsleitlinie sein?

In vielen Unternehmen reicht eine Seite. Manchmal etwas mehr. Viel länger muss es meistens nicht werden.

Das Ziel ist nicht, Eindruck durch Länge zu machen. Das Ziel ist, eine verständliche, glaubwürdige Richtung vorzugeben. Sobald das Dokument anfängt, wie eine Mischung aus Managementhandbuch, Prozessdokumentation und Marketingtext zu klingen, ist es meist zu lang geworden.

Häufigste Fehler: Verwechslung von Strategie und Detailregel

Der häufigste Fehler ist nicht, dass Unternehmen gar keine Leitlinie haben.

Der häufigste Fehler ist, dass sie etwas schreiben, das weder klare Leitlinie noch brauchbare operative Richtlinie ist. Dann steht dort ein bisschen Grundsatz, ein bisschen Maßnahmenliste, ein bisschen Normsprache und am Ende hilft das Dokument niemandem wirklich weiter.

Besser ist eine klare Trennung:

  • Leitlinie = Richtung;
  • Politik = verbindlicher Top-Level-Kern in der Leitlinie;
  • Einzelrichtlinien und Prozesse = konkrete Umsetzung.

Genau dadurch wird das System verständlicher und auch später im Audit leichter erklärbar.

FAQ

Unser Tipp

Eine Informationssicherheitsleitlinie ist dann nützlich, wenn sie wirklich Orientierung gibt. Sie ist kein Ablageort für Detailregeln und auch kein Hochglanztext für die Website. Sie ist der strategische Rahmen, an dem sich die konkreteren Sicherheitsregeln ausrichten. Wenn sie sauber von operativen Einzelvorgaben getrennt ist und den verpflichtenden Kern der Informationssicherheitspolitik sinnvoll trägt, wird das ganze ISMS klarer und robuster.

Interesse geweckt?

Wenn Sie Ihre Informationssicherheitsleitlinie so aufbauen wollen, dass sie nicht nach Normaufsatz klingt, sondern Ihrem Unternehmen wirklich Orientierung gibt, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments