ISO/IEC 27001

ISO 27001 Anforderung 5.3 – Organisatorische Rollen und Verantwortlichkeiten

In Aktion sehen
Von Mark Sharron | Aktualisiert am 14. Dezember 2023

In dieser Klausel geht es darum, dass die oberste Leitung sicherstellt, dass die Rollen, Verantwortlichkeiten und Befugnisse für das Informationssicherheitsmanagementsystem klar sind. Dies bedeutet nicht, dass die Organisation mehrere neue Mitarbeiter einstellen oder die erforderlichen Ressourcen überfordern muss – es handelt sich um eine oft missverstandene Erwartung, die kleinere Organisationen davon abhält, den Standard zu erreichen.

Zum Thema springen


Was beinhaltet Abschnitt 5.3?

Ganz einfach: ISO 27001 strebt nach Klarheit und Konzentration auf die Kernbestandteile des ISMS – wer insgesamt verantwortlich ist, wer für bestimmte Teile verantwortlich ist, alles gute und logische Geschäftspraktiken. Sie müssen nachweisen, dass bestimmte Rollen (nicht unbedingt Personen) vorhanden sind, vom Top-Management ernannt wurden und dass diese den relevanten interessierten Parteien mitgeteilt und klar dokumentiert werden, sodass keine Unklarheiten bestehen. Die Anforderung ist hier ziemlich hoch und leicht zu dokumentieren und passt auch zu anderen Teilen des Informationssicherheitsmanagementsystems, z. B. zu den Eigentümern von Sicherheitsrisiken in 6.1, zu den Eigentümern von Informationssicherheitszielen in 6.2 usw.

Wie ISMS.online Ihnen hilft

ISMS.online vereinfacht auch einen Großteil der ISMS-Verantwortung und -Einbindung in der Praxis mit seinen kollaborativen Teammitgliedschaften, Richtlinienaktivitätseigentümern, Risiko-, Vorfall-, Verbesserungseigentümern usw. – all dies kann sich aus der Klarheit des Top-Managements ergeben, die sich aus dieser Klausel ergibt 5.3.

Buchen Sie eine Plattformdemo, um sie in Aktion zu sehen.

Buchen Sie eine Plattform-Demo

So kann eine Person mehr als eine Rolle übernehmen und Sie können die Arbeit vereinheitlichen, indem Sie beispielsweise einen Vorstand alles überwachen lassen, um Managementbewertungen gemäß 9.3 nachzuweisen und das Informationssicherheitsmanagementsystem vollständig zu integrieren. Machen Sie einfach klar, wer wofür verantwortlich ist. Denken Sie bei der Auswahl der Rollen an interessierte Parteien und an die praktische Umsetzung. Beispielsweise könnte die Rolle des CISO (Chief Information Security Officer) für Ihre Kunden bedeuten, dass Sie die Informationssicherheit ernst nehmen, und dies könnte von einem leitenden Angestellten zusätzlich zu seiner Hauptaufgabe oder, in einer größeren Organisation, von einer vollwertigen Person übernommen werden -zeitliche Rolle für sich.

Sie können sich auch für einen TISO (Technical Information Security Officer) oder einen gleichwertigen Beauftragten entscheiden, der technischer ist und sich auf diese Aspekte des ISMS konzentrieren kann, wenn die anderen Rollen von eher kommerziell/strategisch ausgerichteten Personen übernommen werden. Sehen Sie sich Anhang A 6.1.1 (über die Organisation der Informationssicherheit) an und stellen Sie sicher, dass Sie diese Anforderung mit der Kontrolle in Anhang A in Einklang bringen.

ISO 27001 strebt insbesondere nach Klarheit in den Rollen und Verantwortlichkeiten für:

  • Sicherstellen, dass das Informationssicherheitsmanagementsystem den Anforderungen der International Organization for Standardization entspricht
  • Die Berichterstattung über die Leistung des ISMS (was viel einfacher ist, wenn alles an einem Ort ist)

Es kann durchaus sein, dass ein leitender Angestellter im Rahmen der Führungsverpflichtung zur Informationssicherheit (5.1) die Verantwortung für das ISMS trägt, die Ausführung jedoch natürlich an andere in der Organisation delegieren oder an spezialisierte Parteien wie die virtuelle Organisation auslagern kann CISO, um das herum viele der ISMS.online-Partner Dienstleistungen anbieten. Denken Sie daran, es zu dokumentieren!


Machen Sie es einfacher mit ISMS.online

Die ISMS.online-Plattform erleichtert dem Top-Management die Festlegung einer Informationssicherheitsrichtlinie, die mit dem Zweck und Kontext der Organisation im Einklang steht.

Ihr ISMS umfasst eine vorgefertigte Informationssicherheitsrichtlinie, die problemlos an Ihr Unternehmen angepasst werden kann. Diese Richtlinie dient als Rahmen für die Überprüfung der Ziele und beinhaltet Verpflichtungen zur Erfüllung aller geltenden Anforderungen und zur kontinuierlichen Verbesserung des Managementsystems. Diese Richtlinie kann problemlos mit interessierten Parteien geteilt und für Ausschreibungen oder andere externe Kommunikation eingereicht werden.

Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo buchen

Anforderungen der ISO 27001:2022


ISO 27001:2022 Anhang A Kontrollen

Organisatorische Kontrollen


Menschenkontrollen


Physikalische Kontrollen


Technologische Kontrollen


Über ISO 27001


Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.