Die Informationssicherheitspolitik ist das Fundament jeder strukturierten Sicherheitsorganisation. Sie ist mehr als nur ein Dokument – sie ist ein klares Signal des Managements: Informationssicherheit ist Chefsache. Doch was genau ist damit gemeint, warum ist sie so wichtig, und was müssen Unternehmen tun, um dieser Anforderung der ISO/IEC 27001:2024 gerecht zu werden? In diesem Beitrag zeigen wir praxisnah, wie Sie dieses Control verstehen, eine Leitlinie zur Informationssicherheit umsetzen und dokumentieren – auch ohne Technik-Background.
Inhaltsverzeichnis
- Was fordert ISO 27001 Control 5.1?
- Was ist eine Informationssicherheitspolitik?
- Informationssicherheitspolitik oder Leitlinie – was ist was?
- Ziele der Informationssicherheitspolitik
- Checkliste: So setzen Sie die Informationssicherheitspolitik praktisch um
- Risiken ohne Informationssicherheitsleitlinie bzw. Informationssicherheitspolitik
- So setzen Sie die Informationssicherheitspolitik praktisch um
- Dokumentation und Umsetzung im ISMS
- Relevanz der Informationssicherheitspolitik für DSGVO, NIS-2 & Co
- Fazit – Informationssicherheitspolitik
- FAQ zu Informationssicherheitsleitlinie bzw. Informationssicherheitspolitik
Was fordert ISO 27001 Control 5.1?
Die Informationssicherheitspolitik und themenspezifische Richtlinien müssen:
- definiert werden (inhaltlich erstellt und formuliert),
- von der Geschäftsleitung genehmigt werden (z. B. durch Unterschrift oder Beschluss),
- veröffentlicht werden (z. B. im Intranet, als PDF),
- dem zuständigen Personal mitgeteilt werden (z. B. durch Schulungen, Rundmails oder Onboarding),
- den interessierten Parteien zugänglich gemacht werden (z. B. Partnern, Dienstleistern, Auditoren),
- zur Kenntnis genommen werden (z. B. mit Empfangsbestätigung oder Einweisung),
- in geplanten Abständen überprüft werden (z. B. jährlich),
- bei wesentlichen Änderungen aktualisiert werden (z. B. nach Gesetzesänderung, Reorganisation, Vorfall).
In einfachen Worten:
Es braucht eine klare, formelle Erklärung vom Management: „So verstehen und organisieren wir Informationssicherheit in unserem Unternehmen.“ Diese Politik ist die Basis für alle weiteren Sicherheitsrichtlinien.
Was ist eine Informationssicherheitspolitik?
Die Informationssicherheitspolitik ist das strategische Grundlagendokument für den sicheren Umgang mit Informationen im Unternehmen. Sie bildet das Dach aller weiteren Sicherheitsregeln und Richtlinien.
Inhaltlich legt die Informationssicherheitspolitik fest:
- Welche Ziele das Unternehmen in der Informationssicherheit verfolgt (z. B. Vertraulichkeit, Integrität, Verfügbarkeit),
- Wer verantwortlich ist (z. B. Management, IT, Informationssicherheitsbeauftragter),
- Wie Risiken systematisch behandelt werden sollen,
- und welche Grundprinzipien im Umgang mit Informationen gelten.
Informationssicherheitspolitik oder Leitlinie – was ist was?
Die ISO/IEC 27001 fordert, dass Unternehmen eine Informationssicherheitspolitik definieren. In der Praxis wird diese meist in Form einer Informationssicherheitsleitlinie dokumentiert. Sie beschreibt die strategischen Ziele des Managements und legt die Grundprinzipien für den Umgang mit Informationen, IT-Systemen und Risiken fest.
Die Leitlinie bildet das Dach für alle operativen Richtlinien – etwa zur Passwortnutzung, mobilen Arbeit oder Cloud-Systemen – und sorgt so für einheitliche Sicherheitsstandards im Unternehmen. Sie ist damit ein zentrales Steuerungselement im ISMS und Ausgangspunkt für die praktische Umsetzung der Sicherheitsziele: Vertraulichkeit, Integrität und Verfügbarkeit.
Ziele der Informationssicherheitspolitik
Die Informationssicherheitspolitik verfolgt das zentrale Ziel, Informationssicherheit verbindlich und strategisch im Unternehmen zu verankern. Sie soll sicherstellen, dass das Management klare Leitplanken vorgibt, wie mit Informationen, IT-Systemen und Risiken umzugehen ist.
Control 5.1 fordert deshalb, dass Unternehmen eine übergeordnete Sicherheitsstrategie definieren, vom Management tragen lassen, und daraus nachvollziehbare Regeln ableiten. Die Politik soll:
- Commitment des Managements sichtbar machen
- Gesetzliche und vertragliche Anforderungen an das Informationssicherheits-Managementsystem enthalten (z.B. NIS-2, KRITIS, CRA)
- Verpflichtung zur kontinuierlichen Verbesserung enthalten
- Verbindlichkeit für Mitarbeiter herstellen
- Klare Erwartungen und Zuständigkeiten definieren
- Rolle des Informationssicherheitsbeauftragten (und Datenschutzbeauftragten)
Checkliste: So setzen Sie die Informationssicherheitspolitik praktisch um
Damit die Informationssicherheitspolitik wirksam ist und den Anforderungen der ISO/IEC 27001 (Control 5.1) entspricht, muss sie bestimmten praktischen Mindestanforderungen genügen.
| ✔ | Anforderung |
| ☐ | Die Informationssicherheitspolitik ist schriftlich dokumentiert und eindeutig formuliert. |
| ☐ | Ziele, Grundsätze, Verantwortlichkeiten und der Umgang mit Risiken sind klar beschrieben. |
| ☐ | Die Politik wurde von der Geschäftsführung offiziell genehmigt (z. B. Unterschrift, Beschluss). |
| ☐ | Sie ist in einer aktuellen, versionierten Fassung vorhanden (mit Datum, Versionsnummer). |
| ☐ | Alle relevanten Mitarbeitenden haben Zugriff darauf (z. B. über Intranet oder Handbuch). |
| ☐ | Die Inhalte wurden intern kommuniziert (z. B. über Rundmail, Schulung, Onboarding). |
| ☐ | Die Kenntnisnahme durch Mitarbeitende ist dokumentiert (z. B. über LMS, Unterschrift). |
| ☐ | Die Richtlinie wird regelmäßig überprüft (mindestens jährlich oder bei Änderungen). |
| ☐ | Es besteht eine Verbindung zu nachgelagerten Richtlinien (z. B. Passwort, Mobile Devices). |
| ☐ | Verantwortliche für Pflege und Weiterentwicklung der Richtlinie sind benannt. |
Eine gut umgesetzte Informationssicherheitspolitik ist nicht nur ein Dokument, sondern ein aktives Steuerungsinstrument – und ein zentrales Element, um Informationssicherheit im Unternehmen strukturiert, wirksam und nachvollziehbar zu gestalten.
Risiken ohne Informationssicherheitsleitlinie bzw. Informationssicherheitspolitik
Fehlt eine Informationssicherheitsleitlinie oder wird sie nicht gelebt, entstehen im Unternehmen erhebliche Risiken – organisatorisch, technisch und rechtlich:
- Orientierungslosigkeit im Umgang mit Informationen: Mitarbeitende wissen nicht, welche Sicherheitsregeln gelten oder wie sie mit sensiblen Daten umgehen sollen. Das führt zu Fehlern, Lücken und unnötigem Risiko.
- Inkonsistenz zwischen Abteilungen: Ohne gemeinsame Vorgaben entwickelt jede Abteilung eigene Regeln – oder gar keine. Das untergräbt die Einheitlichkeit der Sicherheitsmaßnahmen.
- Mangelndes Sicherheitsbewusstsein: Fehlt eine übergeordnete Leitlinie zur Informationssicherheit, fehlt oft auch die Wahrnehmung, dass Informationssicherheit ein zentrales Unternehmensziel ist. Das begünstigt leichtsinniges Verhalten.
- Schwache Verteidigung gegen Angriffe: Ohne klare Vorgaben werden technische Schutzmaßnahmen (z. B. Zugriffsbeschränkungen, Updates, Backups) nicht konsequent umgesetzt. Die Angriffsfläche für Cyberangriffe steigt.
- Rechts- und Haftungsrisiken: Unternehmen verstoßen möglicherweise gegen gesetzliche Vorgaben (z. B. DSGVO, NIS-2), wenn keine angemessenen organisatorischen Maßnahmen dokumentiert sind.
- Schwierigkeiten bei Audits und Zertifizierungen: Fehlt die Leitlinie zur Informationssicherheit, fehlt ein zentraler Nachweis für Führung, Steuerung und Struktur im Informationssicherheitsmanagement – ein wesentliches Kriterium für ISO 27001-Zertifizierungen.
Fazit: Ohne eine verlässliche, dokumentierte Informationssicherheitspolitik fehlt dem Unternehmen das Fundament für sichere Prozesse. Risiken werden unsichtbar – bis sie sich im Ernstfall schmerzhaft zeigen.
So setzen Sie die Informationssicherheitspolitik praktisch um
| Maßnahme | Beschreibung |
| Informationssicherheitspolitik erstellen | Formulieren Sie eine verständliche Grundsatzerklärung zur Informationssicherheit mit Zielen, Prinzipien und Managementverantwortung. |
| Managementgenehmigung einholen | Die Geschäftsführung muss die Politik offiziell freigeben (z. B. mit Unterschrift). |
| Veröffentlichung & Kommunikation | Stellen Sie sicher, dass alle Mitarbeitenden Zugang zur Politik haben (Intranet, Onboarding, Schulungen). |
| Ableitung themenspezifischer Richtlinien | Ergänzen Sie die Politik durch spezifischere Regelwerke (z. B. Passwortrichtlinie). |
| Regelmäßige Überprüfung | Mindestens jährlicher Review oder bei relevanten Änderungen. |
Dokumentation und Umsetzung im ISMS
Im Rahmen des Informationssicherheitsmanagementsystems (ISMS) muss die Informationssicherheitspolitik nicht nur existieren, sondern auch nachweislich dokumentiert und aktiv umgesetzt sein. Sie bildet einen zentralen Bestandteil der ISO/IEC 27001-konformen Dokumentationsstruktur.
Folgende Punkte sind dabei wesentlich:
- Dokumentierter Nachweis: Die Politik muss als formales, versioniertes Dokument mit Erstellungsdatum, Freigabevermerk und Verantwortlichkeiten vorliegen.
- Teil der ISMS-Dokumentation: Sie gehört in das zentrale ISMS-Handbuch oder -Dokumentenmanagementsystem und muss jederzeit für interne und externe Prüfungen abrufbar sein.
- Verweis im Statement of Applicability (SoA): Die Umsetzung des Controls A.5.1 wird im SoA dokumentiert, z. B. mit dem Hinweis auf das entsprechende Dokument.
- Kommunikation & Schulung: Die Politik muss aktiv vermittelt werden – etwa durch Schulungen, Onboarding, oder wiederkehrende Awareness-Maßnahmen.
Ziel: Die Informationssicherheitspolitik ist keine statische Pflichtübung, sondern ein lebendes Dokument, das Führung, Mitarbeitende und Prozesse miteinander verbindet – sichtbar im ISMS und wirksam im Alltag.
Relevanz der Informationssicherheitspolitik für DSGVO, NIS-2 & Co
Die Informationssicherheitspolitik ist nicht nur eine Anforderung der ISO/IEC 27001, sondern auch ein zentraler Baustein zur Erfüllung gesetzlicher und regulatorischer Vorgaben. Sie unterstützt Organisationen dabei, Sicherheitsmaßnahmen strukturiert, nachvollziehbar und rechtssicher umzusetzen. Ihre Relevanz zeigt sich besonders in folgenden Regelwerken:
DSGVO (Datenschutz-Grundverordnung)
- Artikel 32 DSGVO verlangt technische und organisatorische Maßnahmen zur Datensicherheit – eine dokumentierte Politik ist ein wichtiger Nachweis dafür.
- Sie zeigt, dass Informationssicherheit strukturell verankert ist und fördert die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).
- Sie trägt zur Sensibilisierung der Mitarbeitenden bei, wie in Erwägungsgrund 83 gefordert.
NIS-2 (EU-Richtlinie zur Cybersicherheit)
- Artikel 21 NIS-2 fordert explizit Richtlinien zur Cybersicherheit und zum Risikomanagement.
- Die Informationssicherheitspolitik ist hier zentraler Bestandteil des geforderten Governance-Rahmens.
- Sie dokumentiert Führungsverantwortung und das Sicherheitsbewusstsein auf Organisationsebene.
Cyber Resilience Act (CRA)
- Der CRA legt besonderen Wert auf „Security by Design“ bei digitalen Produkten und vernetzten Geräten.
- Die Informationssicherheitspolitik schafft die strukturelle Grundlage, damit solche Prinzipien intern verbindlich umgesetzt werden können.
- Besonders relevant für Hersteller und Unternehmen mit eigener Entwicklung oder IT-Produkten.
DORA (Digital Operational Resilience Act)
- DORA verpflichtet Finanzunternehmen zu einem umfassenden ICT-Risikomanagement.
- Eine formell dokumentierte Politik demonstriert, dass das Unternehmen Informationssicherheit strategisch steuert – wie in Artikel 5 und 6 von DORA gefordert.
- Sie zeigt, dass Verantwortlichkeiten definiert sind und Sicherheit nicht nur technisch, sondern auch organisatorisch gedacht wird.
Fazit – Informationssicherheitspolitik
Die Informationssicherheitspolitik ist weit mehr als ein Dokument – sie ist ein strategisches Steuerungsinstrument, das den Stellenwert von Informationssicherheit im Unternehmen sichtbar macht. Sie legt fest, welche Ziele verfolgt werden, wie mit Risiken umgegangen wird und wer wofür verantwortlich ist. Damit bildet sie die Grundlage für alle weiteren Sicherheitsmaßnahmen, Richtlinien und Prozesse.
Eine gut aufgesetzte und regelmäßig überprüfte Informationssicherheitsleitlinie sorgt für Orientierung, Verbindlichkeit und Nachvollziehbarkeit – intern wie extern. Sie ist außerdem ein Schlüsselbaustein für die Einhaltung gesetzlicher Anforderungen (wie DSGVO, NIS-2, CRA oder DORA) und stärkt das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.
Kurz gesagt: Wer Informationssicherheit ernst nimmt, beginnt mit einer starken, gelebten Politik – getragen vom Management, verstanden von den Mitarbeitenden und integriert in die tägliche Praxis.
FAQ zu Informationssicherheitsleitlinie bzw. Informationssicherheitspolitik
Die Informationssicherheitsleitlinie ist ein verbindliches Dokument, das die grundlegenden Ziele und Prinzipien des Unternehmens zur Informationssicherheit beschreibt. Sie bildet den Rahmen für alle untergeordneten Sicherheitsrichtlinien und zeigt, dass Informationssicherheit strategisch gesteuert wird.
Eine Leitlinie (z. B. Informationssicherheitsleitlinie) gibt die übergeordneten Ziele und Grundsätze vor. Eine Richtlinie beschreibt konkrete Regeln und Maßnahmen zu Einzelthemen – etwa zum Umgang mit Passwörtern, mobilen Geräten oder externen Dienstleistern.
Ja, im Rahmen der ISO/IEC 27001 ist sie für jedes ISMS verpflichtend. Auch Gesetze wie die DSGVO, das NIS-2 Umsetzungsgesetz oder Regelwerke wie DORA erwarten strukturierte organisatorische Sicherheitsmaßnahmen – die Leitlinie ist ein zentraler Nachweis dafür.
Die NIS-2-Richtlinie (und das geplante NIS-2 Umsetzungsgesetz in Deutschland) fordert explizit, dass Unternehmen Richtlinien zur Cybersicherheit und Risikobehandlung im Rahmen des ISMS einführen. Die Informationssicherheitspolitik ist genau solch eine Richtlinie – sie bildet den Kern des geforderten Sicherheitsrahmens.
Die Erstellung kann intern erfolgen – z. B. durch IT, Compliance oder einen externen Informationssicherheitsbeauftragten. Die Genehmigung muss aber durch die Geschäftsleitung erfolgen, da sie strategische Verantwortung trägt.
Ziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit), Geltungsbereich, Verantwortlichkeiten, Umgang mit Risiken sowie der Bezug zu geltenden Gesetzen und Standards (z. B. ISO 27001, DSGVO, NIS-2, CRA).
Mindestens einmal jährlich oder bei wesentlichen Änderungen, z. B. neue gesetzliche Anforderungen (wie NIS-2, CRA) oder interne Strukturveränderungen.
Ja, besonders bei kleinen oder mittelständischen Unternehmen ohne eigene Sicherheitsabteilung kann ein externer Informationssicherheitsbeauftragter helfen, die Leitlinie rechtssicher, praxisnah und ISO-konform aufzusetzen.
Der CRA verlangt „Security by Design“ in Produkten und Systemen. Eine gute Informationssicherheitspolitik verankert dieses Prinzip auf Organisationsebene – etwa durch klare Vorgaben zur sicheren Entwicklung oder zum Risikomanagement.
Nein. Eine IT-Sicherheitsrichtlinie ist meist operativ und technisch ausgerichtet. Die Informationssicherheitspolitik (Leitlinie) hingegen beschreibt die strategische Ausrichtung, ist also übergeordnet und zwingend für ISO 27001 und NIS-2.
Die aktuelle Fassung der Informationssicherheitsleitlinie mit Versionsnummer, Datum, Genehmigung durch die Geschäftsleitung und einem definierten Überprüfungsintervall – idealerweise integriert ins ISMS.
Durch Schulungen, E-Mails, Intranet-Beiträge oder im Onboarding-Prozess. Wichtig ist, dass Mitarbeitende die Inhalte kennen und verstehen – gerade auch in Vorbereitung auf NIS-2-Audits oder ISO-Zertifizierungen
Sie ist eines der ersten Dokumente, das ein Prüfer (z. B. ISO 27001-Auditor oder Aufsicht im Rahmen des NIS-2 Umsetzungsgesetzes) sehen möchte. Sie zeigt, dass das Unternehmen Informationssicherheit strukturiert angeht und lebt.
Fehlende Orientierung, unklare Verantwortlichkeiten, höhere Anfälligkeit für Sicherheitsvorfälle – und im Ernstfall Probleme bei der Nachweispflicht gegenüber Behörden (z. B. nach DSGVO, NIS-2, CRA). Auch Zertifizierungen können gefährdet sein.
Ja. In Konzernen oder Unternehmensgruppen kann eine zentrale Informationssicherheitspolitik gelten, sofern sie für alle relevanten Einheiten und Länder anwendbar ist – ggf. ergänzt durch spezifische unternehmens- oder standortbezogene Richtlinien.
