Information Security Policy

[ɪnfəˈmeɪʃən sɪˈkjʊərɪti ˈpɒlɪsi] · auch: Informationssicherheitsleitlinie, IS-Policy

Eine Information Security Policy ist das zentrale Steuerungsdokument eines ISMS: Sie legt Ziele, Grundsätze, Verantwortlichkeiten und den Geltungsbereich der Informationssicherheit fest und bildet die verbindliche Grundlage für alle untergeordneten Richtlinien und Kontrollen.

Warum die IS-Policy entscheidend ist

Ohne verabschiedete Information Security Policy fehlt dem gesamten ISMS die rechtliche und organisatorische Grundlage. Sie ist das erste Dokument, das ein Auditor anfordert – und der fehlende Nachweis der Geschäftsführungs-Unterschrift ist ein sofortiger Befund.

Wo die IS-Policy gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 5.2	Die Leitlinie muss von der Geschäftsführung verabschiedet, kommuniziert und regelmäßig überprüft werden.
NIS-2 / BSIG	§ 30 Abs. 1	Sicherheitsleitlinie als Bestandteil des ISMS für alle wesentlichen und wichtigen Einrichtungen verpflichtend.
DORA	Art. 9 Abs. 1	Finanzunternehmen müssen eine dokumentierte IKT-Sicherheitspolitik mit jährlichem Review vorhalten.
DSGVO	Art. 24	Nachweis einer Datenschutzpolitik als Teil der Rechenschaftspflicht des Verantwortlichen.

BAM-Objektreferenz

BAM-Objekt GOV-ISP-01

BeschreibungInformation Security Policy mit Genehmigungsnachweis, Review-Zyklus und Kommunikationsnachweis

GitHubBAM Core →

Häufige Audit-Fehler

Policy vorhanden, aber nicht von der Geschäftsführung unterzeichnet
Kein nachweisbarer Review im letzten Jahr
Mitarbeiter können nicht belegen, dass sie die Policy gelesen haben
Geltungsbereich nicht klar definiert

Mindestinhalt einer IS-Policy

ISO 27001 verlangt: Zweck und Geltungsbereich, Bekenntnis der Geschäftsführung zur Informationssicherheit, Definition der Sicherheitsziele, Verantwortlichkeiten und Rollen, Verweis auf untergeordnete Richtlinien sowie Datum und Unterschrift. Ein Umfang von 2 bis 4 Seiten ist für eine Policy ausreichend – was zählt, ist nicht die Länge, sondern die Verbindlichkeit.

Policy vs. Richtlinie vs. Verfahrensanweisung

Die IS-Policy ist das übergeordnete Dokument (Was wollen wir erreichen?). Richtlinien konkretisieren einzelne Themen (Wie gehen wir mit Passwörtern um?). Verfahrensanweisungen beschreiben operative Abläufe (Wie wird ein Passwort zurückgesetzt?). Diese Hierarchie muss im Dokumentenmanagementsystem erkennbar sein.

Nächste Ebene

IS-Policy erstellen: Struktur, Inhalt und Genehmigungsprozess

Wie eine auditfeste Information Security Policy aufgebaut wird – Mindestinhalt, Review-Zyklus und Kommunikationsnachweis.

Ebene 2 lesen → NIS-2-Stresstest starten →