Compliance-Lexikon · ISO 27001
Interessierte Parteien
auch: Stakeholder, relevante interessierte Parteien
Interessierte Parteien sind alle internen und externen Stakeholder, deren Anforderungen und Erwartungen für das Informationssicherheits-Managementsystem relevant sind – von Aufsichtsbehörden und Kunden bis zu Mitarbeitenden und Anteilseignern, deren Bedürfnisse nach ISO 27001 Kapitel 4.2 systematisch erfasst werden müssen.
Warum interessierte Parteien den Scope bestimmen
Ein ISMS, das die Erwartungen relevanter Stakeholder nicht kennt, läuft Gefahr, an den falschen Stellen Aufwand zu investieren. Aufsichtsbehörden verlangen bestimmte Nachweise, Kunden fordern vertragliche Sicherheitsgarantien, Mitarbeitende erwarten funktionierende Prozesse. Erst die systematische Erfassung dieser Erwartungen macht den Scope des ISMS begründbar.
Wo Interessierte Parteien gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 4.2 | Ermittlung interessierter Parteien und ihrer relevanten Anforderungen als Grundlage für den ISMS-Scope. |
| ISO 27001:2022 | Kap. 4.1 | Verständnis der Organisation und ihres Kontexts als Ausgangspunkt der Stakeholder-Analyse. |
| NIS-2 / BSIG | § 30 Abs. 1 | Indirekte Relevanz: Aufsichtsbehörden als interessierte Partei mit konkreten Nachweispflichten. |
| DSGVO | Art. 24 | Betroffene Personen als zentrale interessierte Partei mit eigenen durchsetzbaren Rechten. |
BAM-Objektreferenz
Häufige Audit-Fehler
- Stakeholder-Analyse wird einmalig bei der ISMS-Einführung erstellt und nie aktualisiert
- Nur externe Parteien (Kunden, Behörden) werden erfasst, interne Stakeholder wie Mitarbeitende fehlen
- Anforderungen werden identifiziert, aber nicht mit konkreten ISMS-Maßnahmen verknüpft
Interne und externe interessierte Parteien
Zu den externen Parteien zählen typischerweise Aufsichtsbehörden, Kunden, Lieferanten und Zertifizierungsstellen. Interne Parteien umfassen Mitarbeitende, Geschäftsführung und den Betriebsrat. Jede Partei bringt spezifische, teils gegensätzliche Anforderungen mit, die im Scope-Dokument gegeneinander abgewogen werden müssen.
Nächste Ebene
Interessierte Parteien implementieren: ISO 27001 und NIS-2
Wie Interessierte Parteien strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.