Beschreibung¶
Die Etablierung und Einhaltung von Politiken, Richtlinien und Leitfäden stellen die Grundpfeiler für Qualität und Informationssicherheit dar. Sowohl ISO 9001 als auch ISO 27001 legen besonderen Wert auf klar definierte, umsetzbare und überprüfbare Richtlinien, die auf den Prinzipien der ständigen Verbesserung beruhen.
Die Dokumentenlenkung (Erstellung, Freigabe, Verteilung etc. der Richtlinien) ist in der Richtlinie Organisation der Informationssicherheit beschrieben.
Das HowTo beschreibt die Kerntätigkeiten rund um das 05 - Politiken & Richtlinien, die notwendig sind, um diese im Unternehmen zu etablieren.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Einschränkung der Berechtigungen | Politiken und Richtlinien sollten nur von Mitarbeitern angepasst werden, welche dazu befugt sein sollten. Das ist insbesondere die Geschäftsführung sowie der CISO und QMB. Weitere Mitarbeiter können nach Bedarf auf einzelne Richtlinien berechtigt werden. | Werden die Berechtigungen nicht eingeschränkt, könnten Richtlinien manipuliert werden. |
| 2 | Anpassung an das Unternehmen | Zunächst müssen die Richtlinien bzw. die Leitlinien im IMS an den Unternehmenszweck angepasst werden. Die Anpassung der Richtlinien kann je nach Bedarf gut unter verschiedenen Mitarbeitern im Unternehmen verteilt werden. | Die Politiken und Richtlinien sind mit Best Practices angereichert, die häufig bereits gut geeignet sind und eine gute Ausgangsbasis für die Anpassung an unternehmensspezifische Anforderungen bieten. Sie sollten sich so nah wie möglich an der betrieblichen Realität orientieren, damit sie von den Mitarbeitenden auch tatsächlich umgesetzt und „gelebt“ werden können. |
| 3 | Abstimmung im Unternehmen | Die Dokumente sollten im Unternehmen mit den jeweils betroffenen Einheiten abgestimmt werden. Beispielsweise sollte die Richtlinie zum sicheren IT-Betrieb vom IT-Leiter gelesen werden und ggf. Feedback berücksichtigt werden. | Eine Abstimmung der Richtlinien erhöht die Akzeptanz durch die betroffenen Mitarbeiter. |
| 4 | Freigabe der Dokumente | Die Leitlinien und Richtlinien werden offiziell freigegeben, die Leitlinien durch die Geschäftsführung und die Richtlinien durch den CISO / QMB. | Die Freigabe sollte in der Änderungshistorie sowie im Dokumentenkopf dokumentiert werden. |
| 5 | Bekanntmachung | Die Richtlinien müssen für die relevanten Mitarbeiter im Unternehmen bekannt gemacht werden. Dafür kann z.B. der Link zur Seite Unternehmenspolitiken & Richtlinien an die Mitarbeiter per E-Mail versendet werden. Dasselbe gilt für jede Überarbeitung, also jede neue Version einer Richtlinie. | Politiken und Richtlinien können dafür auch aus dem IMS exportiert werden und z.B. im Intranet veröffentlicht werden. |
| 6 | Regelmäßige Überprüfung | Richtlinien sollten mindestens jährlich und nach Bedarf geprüft werden, ob diese noch dem aktuellen Stand der Technik und den Anforderungen des Unternehmens entsprechen. | Die Überprüfung sollte jeweils über die Änderungshistorie und im Dokumentenkopf dokumentiert werden. |
| 7 | Ausnahmen von Richtlinien-Vorgaben | Grundsätzlich sollten die Richtlinien immer den Ist-Zustand widerspiegeln und von allen Mitarbeitern befolgt werden. Trotzdem gibt es Einzelfälle, in welchen eine Abweichung von einer Richtlinie sinnvoll sein kann. In diesen Fällen kann durch den Mitarbeiter, welcher von der Richtlinie abweichen möchte, eine Ausnahmegenehmigungen beantragt werden. Das Management bzw. CISO oder QMB entscheiden dann über die Genehmigung und ordnen eventuell notwendige Bedingungen bzw. Maßnahmen an. | Beispiel für eine Ausnahmegenehmigung: Grundsätzlich sollte auf jedem Endgeräten im Unternehmen ein Antivirus-Programm installiert sein. Es kann aber auch ein Endgerät sein, was gar nicht ans Netzwerk angeschlossen wird und wo ein Antivirus die Performance schädigen würde. Beispielsweise ein PC zur Steuerung einer Produktionsmaschine. Die Gefahr einer Infektion mit Viren sollte minimiert werden (z.B. kein Datenaustausch über mobile Speichermedien und kein Zugang zum Netzwerk und Internet). Unter dieser Voraussetzung kann eine Ausnahmegenehmigung erteilt werden. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Modul Politiken und Richtlinien | In diesem Modul werden alle ISMS Richtlinien erstellt und verwaltet. | Link | |
| Ausnahmegenehmigungen | Hier können Ausnahmen zu den eigenen Vorgaben zu Informationssicherheit erfasst und begründet werden. | Link | |
| HowTo: Ausnahmegenehmigung erfassen und freigeben | Weitere Unterstützung zu Ausnahmen | Link |
\
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |