Compliance-Lexikon · ISO 27001

Interessierte Parteien

auch: Stakeholder, relevante interessierte Parteien

Interessierte Parteien sind alle internen und externen Stakeholder, deren Anforderungen und Erwartungen für das Informationssicherheits-Managementsystem relevant sind – von Aufsichtsbehörden und Kunden bis zu Mitarbeitenden und Anteilseignern, deren Bedürfnisse nach ISO 27001 Kapitel 4.2 systematisch erfasst werden müssen.

Warum interessierte Parteien den Scope bestimmen

Ein ISMS, das die Erwartungen relevanter Stakeholder nicht kennt, läuft Gefahr, an den falschen Stellen Aufwand zu investieren. Aufsichtsbehörden verlangen bestimmte Nachweise, Kunden fordern vertragliche Sicherheitsgarantien, Mitarbeitende erwarten funktionierende Prozesse. Erst die systematische Erfassung dieser Erwartungen macht den Scope des ISMS begründbar.

Wo Interessierte Parteien gefordert wird

FrameworkReferenzAnforderung
ISO 27001:2022Kap. 4.2Ermittlung interessierter Parteien und ihrer relevanten Anforderungen als Grundlage für den ISMS-Scope.
ISO 27001:2022Kap. 4.1Verständnis der Organisation und ihres Kontexts als Ausgangspunkt der Stakeholder-Analyse.
NIS-2 / BSIG§ 30 Abs. 1Indirekte Relevanz: Aufsichtsbehörden als interessierte Partei mit konkreten Nachweispflichten.
DSGVOArt. 24Betroffene Personen als zentrale interessierte Partei mit eigenen durchsetzbaren Rechten.

BAM-Objektreferenz

BAM-Objekt ISO-IP-01
BeschreibungStakeholder-Register mit Anforderungen, Relevanz und Verantwortlichkeit je interessierter Partei

Häufige Audit-Fehler

  • Stakeholder-Analyse wird einmalig bei der ISMS-Einführung erstellt und nie aktualisiert
  • Nur externe Parteien (Kunden, Behörden) werden erfasst, interne Stakeholder wie Mitarbeitende fehlen
  • Anforderungen werden identifiziert, aber nicht mit konkreten ISMS-Maßnahmen verknüpft

Interne und externe interessierte Parteien

Zu den externen Parteien zählen typischerweise Aufsichtsbehörden, Kunden, Lieferanten und Zertifizierungsstellen. Interne Parteien umfassen Mitarbeitende, Geschäftsführung und den Betriebsrat. Jede Partei bringt spezifische, teils gegensätzliche Anforderungen mit, die im Scope-Dokument gegeneinander abgewogen werden müssen.

Nächste Ebene

Interessierte Parteien implementieren: ISO 27001 und NIS-2

Wie Interessierte Parteien strukturiert wird, was Auditoren prüfen und welche Evidence nötig ist.

Verwandte Begriffe

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.