24. Januar 2025

ISO 27001 Informationssicherheitspolitik: Was wirklich rein muss

Von Joachim Reinke

Januar 24, 2025

informationssicherheitspolitik, politik

Die Informationssicherheitspolitik klingt für viele Unternehmen erst einmal nach einem Dokument, das man für das Audit halt irgendwie braucht.

Genau das ist zu kurz gedacht. Die Informationssicherheitspolitik ist nicht einfach ein Stück Papier für den Ordner. Sie ist die grundsätzliche Aussage der Unternehmensleitung, wie Informationssicherheit im Unternehmen verstanden und getragen wird. Für ein ISMS nach ISO 27001 gehört sie damit klar zu den Führungsthemen.

Die kurze Antwort

Eine gute Informationssicherheitspolitik muss nicht lang sein. Sie muss aber die richtigen Dinge leisten.

Im Kern sollte sie

  • zur Organisation passen,
  • die Richtung für Informationssicherheitsziele vorgeben,
  • die Einhaltung relevanter Anforderungen zusagen,
  • die kontinuierliche Verbesserung des ISMS unterstützen,
  • dokumentiert, kommuniziert und bekannt gemacht sein.

Das bedeutet praktisch: Sie brauchen keinen Roman, aber auch keinen austauschbaren Schaufenstertext.

Was die Informationssicherheitspolitik eigentlich ist

Die Informationssicherheitspolitik beschreibt die Einstellung Ihres Unternehmens zur Informationssicherheit.

Sie ist nicht der Ort für jede Detailregel zu Passwörtern, Homeoffice, Adminrechten oder Lieferanten. Dafür gibt es in der Praxis meist weitere Richtlinien, Prozesse oder topic-spezifische Regeln. Die Politik steht darüber. Sie beschreibt die Grundhaltung, die Richtung und die Selbstverpflichtung des Unternehmens. Sinnvoll ist, die Politik in einem übergeordneten Dokument zu verankern, bspw. in der Informationssicherheitsleitlinie.

Was nach ISO 27001 wirklich hineinmuss

Der größte Fehler bei diesem Thema ist entweder zu wenig oder zu viel.

Zu wenig heißt: ein leerer Wohlfühltext ohne Substanz. Zu viel heißt: ein halbes Handbuch in eine Politik hineinzupressen.

Der sinnvolle Mittelweg sieht so aus.

1. Die Politik muss zum Unternehmen passen

Eine Informationssicherheitspolitik darf nicht wie Copy-Paste klingen. Sie muss zum Zweck und zur Ausrichtung Ihrer Organisation passen.

Ein Softwareunternehmen, ein Managed Service Provider, eine Agentur oder ein Hersteller haben nicht automatisch dieselben Schwerpunkte. Genau deshalb muss die Politik mit dem Zweck der Organisation beziehungsweise ihrer strategischen Richtung zusammenpassen.

2. Sie muss die Richtung für Ziele geben

Die Politik muss nicht schon alle konkreten Jahresziele ausformulieren. Aber sie sollte klar machen, worauf die Organisation mit Blick auf Informationssicherheit hinauswill.

Also nicht nur: "Informationssicherheit ist uns wichtig."

Sondern eher inhaltlich:

  • Schutz vertraulicher Kundeninformationen;
  • verlässliche Verfügbarkeit wichtiger Systeme;
  • sauber geregelte Verantwortlichkeiten;
  • risikobasierter Umgang mit Informationssicherheit.

Schauen Sie in die Anforderung 5.2 der ISO 27001, diese fasst das genau so: Die Politik soll einen Rahmen für Informationssicherheitsziele bieten. Anforderung 6  fordert dann anschließend, dass die Eigenschaften dieser Ziele definiert wird, so dass diese dann (siehe Anforderung 9.1).

3. Sie muss die Einhaltung relevanter Anforderungen zusagen

Das ist ein Punkt, der schnell weichgespült wird.

In die Politik gehört die klare Aussage, dass relevante Anforderungen eingehalten werden sollen. Das betrifft nicht nur Gesetze, sondern je nach Unternehmen auch vertragliche, regulatorische oder kundenseitige Anforderungen.

4. Sie muss zur kontinuierlichen Verbesserung passen

Die Informationssicherheitspolitik sollte nicht so klingen, als hätte das Unternehmen jetzt ein Endstadium erreicht und könne sich zurücklehnen.

Ein ISMS lebt von Weiterentwicklung. Genau deshalb gehört die Verpflichtung zur kontinuierlichen Verbesserung in diesen Text.

Was zusätzlich sinnvoll ist

Nicht alles, was sinnvoll ist, ist zugleich ein Pflichtsatz der Norm. Aber einige Dinge helfen enorm, damit die Politik nicht wie austauschbarer Zertifizierungstext klingt.

Sinnvoll sind zum Beispiel:

  • ein knapper Bezug zum Geschäftsmodell;
  • ein klarer Bezug zu Kundenerwartungen;
  • ein sichtbares Bekenntnis der Geschäftsführung (siehe auch Anforderung 5.1 der ISO 27001);
  • eine Formulierung, die im Unternehmen tatsächlich verstanden wird;
  • ein Text, den man guten Gewissens auch Kunden zeigen könnte.

Wie lang sollte eine Informationssicherheitspolitik sein?

In vielen Unternehmen reicht eine Seite. Manchmal sogar deutlich weniger.

Der Text muss nicht lang sein. Er muss nur die richtigen Aussagen treffen. Denn je länger das Dokument wird, desto größer ist die Gefahr, dass es in Wahrheit schon Richtlinie, Prozessbeschreibung und Schaufenstertext in einem sein will. Und dass es niemand liest.

Was nicht in die Informationssicherheitspolitik gehört

Genau hier wird es oft unnötig altbacken.

Nicht in die Politik gehören normalerweise:

  • detaillierte Passwortregeln,
  • konkrete Rollenmatrizen,
  • vollständige Incident-Prozesse,
  • detaillierte Backup-Vorgaben,
  • technische Maßnahmenlisten,
  • zu viele operative Einzelheiten.

Solche Inhalte gehören eher in themenspezifische Richtlinien, Prozesse oder Arbeitsanweisungen. Die Politik ist die Autobahnkarte, nicht das ganze Straßennetz.

Der häufigste Fehler: Schaufenstertext ohne Wirkung

Viele Informationssicherheitspolitiken klingen nach einem Mix aus Unternehmenslyrik und Normbausteinen.

Dann steht da sinngemäß: "Wir bekennen uns vollumfänglich zur Sicherstellung höchster Standards im Bereich der Informationssicherheit."

Das klingt wichtig, hilft aber wenig.

Besser ist ein Text, der erkennbar zum Unternehmen passt und intern wie extern glaubwürdig wirkt.

So sollte die Politik aufgebaut sein

Eine praxistaugliche Informationssicherheitspolitik kann sehr schlank aufgebaut sein:

  1. kurzer Einleitungssatz zur Bedeutung von Informationssicherheit im Unternehmen;
  2. Bezug zu Unternehmen, Kunden und Schutz von Informationen;
  3. Rahmen für Informationssicherheitsziele;
  4. Verpflichtung zu relevanten Anforderungen;
  5. Verpflichtung zur kontinuierlichen Verbesserung;
  6. sichtbares Commitment der Geschäftsführung;

Mehr braucht es oft gar nicht. Der Rest gehört meist in andere Unterlagen des ISMS.

FAQ

Unser Tipp

Legen Sie sich eine kurze und knackige Informationssicherheitspolitik zurecht. Das gibt eine Leitplanke und sorgt für Kohärenz im Unternehmen. Alle wissen dann, in welche Richtung die Reise geht.

Bedenken Sie immer: Die Treppe wird von oben gefegt! Wenn Ihre Mitarbeiter sich orientieren wollen, was wichtig ist, dann schauen Sie nach oben und was dort vorgelebt wird.

Interesse geweckt?

Wenn Sie Ihre Informationssicherheitspolitik so formulieren wollen, dass sie nicht nach Schaufenstertext klingt, sondern wirklich zu Ihrem Unternehmen passt und im Audit trägt, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments