Compliance-Lexikon · Praxis
Information Security Policy – Praxis
Die Information Security Policy ist das meistverlangte Dokument in einem ISO-27001- oder NIS-2-Audit – und gleichzeitig eines der häufigsten Schwachstellen. Nicht weil der Inhalt fehlt, sondern weil Genehmigung, Review und Kommunikation nicht nachweisbar sind.
Was Auditoren konkret prüfen
Der Auditor prüft drei Dinge: Ist die Policy von der Geschäftsführung unterzeichnet? Wann wurde sie zuletzt überprüft? Können Mitarbeiter belegen, dass sie Kenntnis davon haben?
Häufige Fehler
- Policy hat kein Versionsdatum oder ist nicht datiert genehmigt
- Review wurde durchgeführt, aber nicht dokumentiert
- Kommunikation erfolgte per E-Mail ohne Lesebestätigung
Praxis-Tipp
Ein jährlicher Review-Termin im Kalender der Geschäftsführung mit Protokoll ist ausreichend. Wichtig ist, dass das Protokoll Datum, Teilnehmer und das Ergebnis (Policy bestätigt oder angepasst) enthält – und dass es abgelegt ist, wo der Auditor es findet.
Kommunikationsnachweis
ISO 27001 verlangt, dass die Policy allen relevanten Personen bekannt gemacht wird. Akzeptierte Nachweisformen: Intranet-Veröffentlichung mit Zeitstempel, Bestätigungs-E-Mail, Schulungsnachweis oder digitale Signatur im HR-System. Am belastbarsten ist eine schriftliche Bestätigung mit Datum – auch als Teil des Onboarding-Prozesses.
Evidence-Anforderungen im Audit
Vorzulegen sind: IS-Policy mit Versionsnummer, Genehmigungsdatum und Unterschrift der Geschäftsführung, Review-Protokoll aus den letzten 12 Monaten und Nachweis der Kommunikation an die Belegschaft. Das BAM-Objekt GOV-ISP-01 strukturiert diese Anforderungen als prüfbare Liste.
Nächster Schritt
NIS-2-Stresstest starten
Kostenloser Compliance-Check auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – wie eine IS-Policy das gesamte Compliance-Programm verankert – findet sich auf Ebene 3.