Compliance-Lexikon · ISO 27001
Interessierte Parteien – Praxis
Interessierte Parteien wird von Auditoren nicht danach bewertet, ob das Thema bekannt ist, sondern ob eine belastbare, datierte Umsetzung nachweisbar ist. Dieser Artikel zeigt, was konkret vorzubereiten ist.
Was Auditoren konkret prüfen
Der Auditor erwartet keinen theoretischen Idealzustand, sondern einen nachvollziehbaren Prozess mit Verantwortlichkeiten, Fristen und Nachweisen. Existiert ein dokumentiertes, aktuelles Register aller relevanten interessierten Parteien mit ihren konkreten Anforderungen?
Häufige Fehler in der Praxis
- Stakeholder-Register wird nur zur Zertifizierung erstellt, danach nie aktualisiert
- Widersprüchliche Anforderungen verschiedener Parteien werden nicht dokumentiert abgewogen
- Neue Vertragspartner mit eigenen Sicherheitsanforderungen werden nicht ins Register aufgenommen
Praxis-Tipp
Der Auditor fragt gezielt nach, wie eine bestimmte ISMS-Maßnahme auf eine konkrete Stakeholder-Anforderung zurückzuführen ist. Eine saubere Verknüpfung im Register beantwortet diese Frage sofort.
Vom Register zur Scope-Definition
Das Stakeholder-Register ist die Vorstufe zur ISMS-Scope-Definition nach Kapitel 4.3. Erst wenn klar ist, welche Parteien welche Anforderungen stellen, lässt sich begründen, welche Standorte, Systeme und Prozesse in den Geltungsbereich des ISMS aufgenommen werden müssen.
Evidence-Anforderungen im Audit
Vorzulegen sind in der Regel: Dokumentiertes Stakeholder-Register mit Datum, Zuordnung der Anforderungen zu konkreten Maßnahmen, Nachweis regelmäßiger Überprüfung. Eine strukturierte Ablage dieser Nachweise erspart im Audit-Fall zeitraubende Nachrecherchen.
Nächster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest auf Basis der BAM-Objekte – unverbindlich, 20 Minuten.
Die strategische Einordnung – warum Interessierte Parteien über die technische Umsetzung hinaus Bedeutung hat – findet sich auf Ebene 3.