ISMS Handbuch nach ISO 27001:2022 und TISAX®
Ein ISMS Handbuch nach ISO 27001 ist der zentrale Ordnungsrahmen für das Informationssicherheitsmanagement eines Unternehmens. Es beschreibt, wie Ihre Organisation den Schutz von Informationen plant, steuert und nachweist. Gerade für kleine und mittlere Unternehmen ist ein gut strukturiertes Handbuch der Schlüssel, um Anforderungen der ISO 27001:2022 und TISAX® praxistauglich umzusetzen, statt nur „für Auditoren zu schreiben“.
Im Folgenden zeigen wir, wie ein solches Handbuch aufgebaut ist, welche Inhalte unverzichtbar sind und warum es als lebendiges Arbeitsinstrument verstanden werden sollte nicht als einmalig erstellter Ordner im Regal.
Key Facts – ISMS Handbuch nach ISO 27001
Zentrale Dokumentation des ISMS
Das ISMS Handbuch ist das Kerndokument Ihres Informationssicherheitsmanagementsystems. Hier werden Geltungsbereich, Organisation, Rollen, Verantwortlichkeiten, wesentliche Prozesse und übergeordnete Richtlinien beschrieben. Für interne Mitarbeiter dient es als Orientierung, für Auditoren als roter Faden im Auditverlauf.
Dokumentierte Information statt Pflicht-Handbuch
Die ISO 27001 verlangt kein Handbuch im klassischen Sinne, fordert aber umfangreiche dokumentierte Informationen. Dazu gehören unter anderem der Geltungsbereich, der Umgang mit Risiken, Prozesse zur Reaktion auf Sicherheitsvorfälle und die Umsetzung der Controls aus Annex A. Ein strukturiertes Handbuch bündelt diese Informationen und macht sie leichter pflegbar.
Anpassbar und skalierbar
Ein ISMS Handbuch muss zur Organisation passen. Ein Mittelständler benötigt keine 200 Seiten Richtlinien, ein Konzern braucht mehr Struktur als ein Start-up. Entscheidend ist, dass Umfang und Detaillierungsgrad zum Risikoprofil und zur Komplexität der Prozesse passen. Genau hier setzen modulare Vorlagen an, die erweitert oder verschlankt werden können.
Verknüpfung mit Annex A und SoA
Annex A der ISO 27001:2022 enthält 93 Informationssicherheitsmaßnahmen (Controls). Im Handbuch wird beschrieben, wie diese Maßnahmen in Ihrer Organisation umgesetzt sind. Die Erklärung zur Anwendbarkeit (Statement of Applicability) ordnet jedes Control zu: umgesetzt, nicht anwendbar mit Begründung oder in Planung. Diese Zuordnung ist ein zentrales Element im Zertifizierungsaudit.
Basis für interne und externe Audits
Auditoren folgen im Auditverlauf der Struktur Ihres Handbuches. Ein gut aufgebautes Dokument macht die Konformität zu ISO 27001 und TISAX® transparent. Es zeigt, wie Prozesse geplant, durchgeführt, überwacht und verbessert werden. Lücken im Handbuch führen fast immer zu Nachfragen, im Zweifel zu Abweichungen.
♻ Lebendiges Dokument statt statischem Ordner
Ein ISMS Handbuch ist niemals „fertig“. Neue Bedrohungen, organisatorische Änderungen oder neue Kundenanforderungen machen laufende Aktualisierungen notwendig. In der Praxis bewährt es sich, Änderungen aus Risikobewertungen, Audits, Vorfällen und Managementbewertungen zeitnah ins Handbuch zu übernehmen.
ISMS Handbuch für ISO 27001 und TISAX®
Unser ISMS Handbuch für ISO 27001 und TISAX ist weit mehr als eine Sammlung leerer Vorlagen. Die Inhalte sind auf typische KMU-Strukturen zugeschnitten und greifen konkrete Abläufe und Risiken aus der Unternehmenspraxis auf. Statt theoretischer Mustertexte finden Sie praxiserprobte Prozesse, Checklisten und Best Practices für den Aufbau und die Pflege Ihres ISMS.
Alle Dokumente sind in Word und Excel erstellt und können ohne Spezialsoftware angepasst werden. Rollenbeschreibungen, Richtlinien, Formulare und eine bereits vorbereitete Erklärung zur Anwendbarkeit sowie die Abbildung des VDA ISA Fragenkatalogs bilden zusammen ein schlüssiges Gesamtsystem.
Praxisorientierte Inhalte statt Papiertiger
Das Handbuch enthält ausgearbeitete Beispiele für typische Risiken, Sicherheitsmaßnahmen und Verantwortlichkeiten. Ziel ist, dass Ihr Team das Dokument als Arbeitsmittel nutzt, etwa bei Onboardings, Schulungen, Audits oder bei der Behandlung von Sicherheitsvorfällen.
⚙ Anpassbar an Ihr Unternehmen
Alle Vorlagen sind bewusst so angelegt, dass Sie Inhalte reduzieren oder erweitern können, ohne die Logik der Norm zu verletzen. Damit vermeiden Sie Überdokumentation und halten die Informationssicherheit dennoch normkonform und auditfest.
💬 Kommentierungen und Handlungsempfehlungen
Eingebaute Hinweise und Kommentare zeigen, welche Inhalte Pflicht sind und wo Sie Gestaltungsspielraum haben. Das erleichtert spätere Aktualisierungen und die tägliche Arbeit mit dem Handbuch erheblich.
ISMS Handbuch ISO 27001:2022 und TISAX® VDA ISA 6.0
Das Handbuch ist auf die Anforderungen der ISO 27001:2022 und des TISAX® VDA ISA 6.0 zugeschnitten. Es enthält eine Struktur, mit der Sie beide Welten effizient abdecken können: die allgemeine Informationssicherheit nach ISO 27001 und die spezifischen Anforderungen der Automobilindustrie im TISAX Kontext.
Ein besonderer Baustein ist die Integration des aktuellen VDA ISA Fragenkatalogs sowie eine ausgefüllte Erklärung zur Anwendbarkeit. Damit sparen Sie wertvolle Zeit bei der Vorbereitung auf TISAX Assessments und ISO 27001 Zertifizierungsaudits.
Fokus auf KMU und Zulieferer
Gerade KMU in der Lieferkette stehen unter Druck, ISO 27001 und TISAX in kurzer Zeit und mit begrenzten Ressourcen umzusetzen. Das Handbuch ist so aufgebaut, dass Sie nicht in Konzernstrukturen denken müssen, sondern in realistischen Abläufen eines mittelständischen Unternehmens.
📎 Vorlagen in Word und Excel
Richtlinien, Prozessbeschreibungen, Risikoformulare, Assetlisten, Awareness Nachweise und viele weitere Dokumente stehen Ihnen in editierbarer Form zur Verfügung. So können Sie Ihr ISMS zügig implementieren, ohne bei null anfangen zu müssen.
Aufbau des ISMS Handbuchs – Organisation, Richtlinien, Annex A
Organisation und Anwendungsbereich des ISMS
Zu Beginn beschreibt das Handbuch die Struktur des Unternehmens, Kernprozesse, Standorte und den Anwendungsbereich des ISMS. Diese Angaben sind entscheidend, um klar festzulegen, welche Informationen, Systeme und Geschäftsbereiche vom ISMS abgedeckt sind. Für Auditoren ist das die Ausgangsbasis jeder Bewertung.
Richtlinien und Formulare
Rund um das Handbuch sind spezifische Richtlinien ausgearbeitet, etwa für Zutrittskontrolle, Passwortregeln, mobile Arbeit, Berechtigungsmanagement, Umgang mit Lieferanten oder Reaktion auf Informationssicherheitsvorfälle. Ergänzt werden diese durch Formulare und Checklisten, mit denen Maßnahmen dokumentiert und nachgewiesen werden: zum Beispiel Schulungsnachweise, Risikoanalysen, Assetregister oder Incident Reports.
Anwendungserklärung zu Annex A (Statement of Applicability)
Ein zentraler Bestandteil ist die Anwendungserklärung, in der alle 93 Controls aus Annex A aufgeführt sind. Zu jedem Control wird festgehalten: ob es anwendbar ist, wie es konkret umgesetzt wird, oder warum es nicht relevant ist. Diese Erklärung ist im Audit eines der wichtigsten Dokumente, da sie direkt zeigt, wie das Unternehmen die Normanforderungen interpretiert und umgesetzt hat.
ISMS Handbuch und internes Audit
Sie können das ISMS Handbuch mit einem internen Audit kombinieren. Nach der Einführung der Dokumentation prüfen wir im Rahmen eines Audits, ob Prozesse, Risiken und Kontrollen tatsächlich so gelebt werden, wie sie im Handbuch beschrieben sind. Das reduziert Überraschungen im Zertifizierungsaudit deutlich.
Ziel des internen Audits
Das interne Audit prüft, ob die Vorgaben im Handbuch mit der Realität übereinstimmen. Dabei geht es nicht um das „Bestehen“ eines Tests, sondern um die frühzeitige Entdeckung von Lücken, Inkonsistenzen und Optimierungspotenzialen, bevor ein externer Auditor kommt.
Ergebnis: Auditreife und Klarheit
Am Ende steht eine klare Einschätzung der Auditreife, ergänzt um einen Maßnahmenplan. So wissen Sie, wo noch nachgeschärft werden sollte und können dem Zertifizierungsaudit deutlich gelassener entgegensehen.
Praxisbeispiele aus der Informationssicherheit
Cloud Dienstleister mit Automotive Kunde
Ein mittelständischer IT Dienstleister hostet Anwendungen für einen Tier 1 in der Automobilindustrie. Der Kunde fordert TISAX und mittelfristig ISO 27001. Mit Hilfe des Handbuchs werden Rollen, Prozesse zur Rechtevergabe, Logging, Backup und Incident Management klar beschrieben. Im TISAX Assessment dienen diese Beschreibungen als primäre Nachweisbasis und verkürzen die Klärung von Fragen deutlich.
Maschinenbauer mit verteilten Standorten
Ein Maschinenbauunternehmen betreibt mehrere Werke und Entwicklungsstandorte. Bisher existierten nur lokale IT Regeln. Durch das ISMS Handbuch werden einheitliche global gültige Richtlinien für Adminrechte, Netzsegmentierung, Fernwartung, Lieferantenanbindung und Dokumentenklassifizierung eingeführt. Die Standorte orientieren sich an denselben Vorgaben, was sowohl die Sicherheit als auch die Auditierbarkeit erhöht.
HOW TO – ISMS Handbuch nach ISO 27001 einführen
Die Einführung eines ISMS Handbuchs lässt sich in gut beherrschbare Schritte gliedern. Wichtig ist eine realistische Planung und die frühe Einbindung der Fachbereiche.
1. Geltungsbereich und Ziele festlegen
Definieren Sie, welche Standorte, Geschäftsbereiche, IT Systeme und Informationen vom ISMS erfasst werden sollen. Legen Sie gleichzeitig übergeordnete Ziele fest, zum Beispiel Schutz von Kundendaten, Sicherstellung der Verfügbarkeit kritischer Systeme oder Erfüllung spezifischer Kundenanforderungen.
2. Rollen und Verantwortlichkeiten klären
Benennen Sie Informationssicherheitsbeauftragte, Prozessowner und Ansprechpartner in den Fachbereichen. Diese Rollen bilden das Rückgrat der Umsetzung. Beschreiben Sie im Handbuch klar, wer welche Entscheidungen trifft und wer für die Pflege welcher Dokumente verantwortlich ist.
3. Risiken analysieren und behandeln
Führen Sie eine Risikobeurteilung durch: Welche Bedrohungen, Schwachstellen und Auswirkungen bestehen für Ihre Informationen und Systeme. Leiten Sie Maßnahmen ab und verknüpfen Sie diese im Handbuch mit den Controls aus Annex A sowie mit konkreten Richtlinien.
4. Richtlinien und Verfahren dokumentieren
Erstellen oder übernehmen Sie Richtlinien zu Themen wie Zugriffssteuerung, Passwortmanagement, Backup, mobile Arbeit, Schulungen, Lieferantenmanagement und Incident Management. Achten Sie darauf, dass Inhalte verständlich formuliert sind und im Alltag anwendbar bleiben.
5. Anwendungserklärung (SoA) erstellen
Erarbeiten Sie eine Statement of Applicability, in der alle Controls aus Annex A aufgelistet und kommentiert sind. Verweisen Sie für jedes Control auf die entsprechenden Richtlinien, Prozesse oder Maßnahmen in Ihrem Handbuch.
6. Schulung, internes Audit und Managementbewertung
Schulen Sie betroffene Mitarbeitende im Umgang mit den neuen Vorgaben, führen Sie interne Audits durch und bereiten Sie eine Managementbewertung vor. So schließen Sie den PDCA Zyklus und zeigen, dass das ISMS gelebt wird.
Weiterführende Informationen & Tools auf unserer Seite
FAQ – ISMS Handbuch nach ISO 27001
Muss ich zwingend ein ISO 27001 Handbuch haben?
Die Norm fordert kein „Handbuch“ als eigenes Dokument. Sie verlangt jedoch umfangreiche dokumentierte Informationen. In der Praxis hat es sich bewährt, diese in einem strukturierten Handbuch zusammenzufassen. So behalten Sie den Überblick und machen es internen wie externen Auditoren leichter.
Wie umfangreich sollte ein ISMS Handbuch sein?
Das hängt von Größe, Komplexität und Risikoprofil Ihres Unternehmens ab. Für ein KMU genügt oft ein schlankes, aber gut durchdachtes Handbuch mit klaren Prozessen und Richtlinien. Wichtig ist, dass die Inhalte vollständig, konsistent und verständlich sind – nicht, dass die Seitenzahl möglichst hoch ist.
Kann ich ISO 27001 und TISAX® in einem Handbuch kombinieren?
Ja. Viele Anforderungen überschneiden sich. Ein integriertes ISMS Handbuch für ISO 27001 und TISAX® ist in der Praxis sogar sinnvoll, weil Sie Prozesse, Rollen und technische Maßnahmen nur einmal beschreiben müssen. Wichtig ist, dass Sie TISAX-spezifische Anforderungen (VDA ISA) sichtbar abbilden und die Controls aus Annex A nachvollziehbar zuordnen.
Wie oft sollte ich mein ISMS Handbuch aktualisieren?
Spätestens im Rahmen der Managementbewertung und bei wesentlichen Änderungen: neuen Systemen, Standorten, Strukturen oder Kundenanforderungen. In der Praxis bewährt sich eine halbjährliche Durchsicht der Kernkapitel. Wichtiger als ein fixer Zyklus ist, dass Änderungen aus Risikoanalyse, Audits und Vorfällen zeitnah eingearbeitet werden.
Unterstützen Sie bei der Einführung und bei internen Audits?
Ja. Wir unterstützen beim Aufbau des ISMS, bei der Anpassung des Handbuchs an Ihre Organisation, bei Schulungen und bei der Durchführung interner Audits. Ziel ist, dass Sie nicht nur ein formal korrektes Dokument besitzen, sondern ein ISMS, das im Alltag funktioniert und im Zertifizierungs- oder TISAX-Audit überzeugt.
ENX, TISAX® und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. SMCT Management steht in keiner geschäftlichen Beziehung zu ENX Association. Unser Angebot bezieht sich lediglich auf Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment. Die ENX Association ist nicht verantwortlich für die Inhalte auf unserer Webseite.
ISO 27001 Handbuch & TISAX Vorlagen – Jetzt erhältlich
Unser vollständig ausgearbeitetes ISMS Handbuch nach ISO 27001:2022 inklusive aller zugehörigen TISAX® / VDA ISA 6.0 Dokumente steht ab sofort als sofort einsetzbares Paket zum Kauf bereit.
Sie erhalten ein praxiserprobtes, revisionssicheres Komplettsystem, das Unternehmen dabei unterstützt, ein effizientes und auditfähiges Informationssicherheits-Managementsystem aufzubauen – ohne monatelange Eigenentwicklung oder teure Beratungsstunden.
Vollständiges ISMS Handbuch nach ISO 27001:2022
Das Handbuch bildet den dokumentierten Kern Ihres Informationssicherheitsmanagementsystems. Es enthält Prozessbeschreibungen, Rollen, Verantwortlichkeiten, Richtlinien, Lebenszyklusmodelle und alle Kapitel gemäß ISO 27001. Alle Inhalte sind sofort anpassbar (Word/Excel) und auf KMU zugeschnitten.
Inklusive Statement of Applicability (SoA)
Eine vollständig vorausgefüllte SoA mit Zuordnung aller 93 Controls aus Annex A. Jede Maßnahme ist bereits mit Richtlinien oder Formularen in unserem Handbuch verknüpft – ein massiver Vorteil bei internen und externen Audits.
Perfekt vorbereitet für TISAX®
Unser Paket enthält zusätzlich alle TISAX®-relevanten Dokumente, einschließlich VDA ISA 6.0 Fragenkatalog, Rollenmatrix, Risikobewertung sowie branchenspezifischen Vorlagen für Automotive-Anforderungen.
Richtlinien, Formulare & Checklisten – sofort nutzbar
Über 60+ sofort einsetzbare Dokumente: Asset-Management, Risikoanalyse, Lieferantenbewertung, Patch-Management, Incident Response, Behördenkommunikation, Awareness, Auditvorbereitung uvm. Alle Vorlagen sind nach ISO 27001:2022 und TISAX strukturiert.
Vollständig editierbar & flexibel skalierbar
Ob Startup, Mittelstand oder Konzern: Das Handbuch ist so aufgebaut, dass Sie Inhalte einfach erweitern, kürzen oder an bestehende Unternehmensstrukturen anpassen können. Ideal auch für hybride Systeme ISO 9001 + ISO 27001 + TISAX.
Optional inklusive internem Audit
Auf Wunsch erhalten Sie das Handbuch zusammen mit einem vollständigen internen Audit nach ISO 27001, durchgeführt durch einen erfahrenen Lead Auditor. Damit ist Ihre Auditfähigkeit sofort gewährleistet.
Auszug Dokumentation
| Dok.-Nr. | Dok.-Titel |
|---|---|
| AL-ISMS-02.1 | Risikomanagement im ISMS (Assets) |
| AL-ISMS-02.2 | Risikomanagement Cloud / IT-Dienste |
| AL-ISMS-12.1 | Sicherheitscheckliste Office Anwendungen |
| AL-ISMS-13.2 | Anlage Mobile USB-Datenträger_Umgang |
| AL-ISMS-13.3 | Mobile USB-Datenträger_Inventar |
| AL-ISMS-14.1 | Anlage Richtlinie Löschen und Vernichten von Daten und Informationen |
| AL-ISMS-22.2 | Meldeformular Sicherheitsvorfall ISMS Anlage |
| AL-ISMS-23.1 | Besucherbuch |
| AL-ISMS-23.2 | Besucherinformationen |
| AL-ISMS-23.3 | Besucherausweis |
| AL-ISMS-23.4 | Merkblatt Informationssicherheit |
| AL-ISMS-24.1 | 2FA Benutzerübersicht |
| AL-ISMS-26.0 | Arbeitsvertrag_Muster |
| AL-ISMS-26.1 | Arbeitsvertrag_Anhang_Internetnutzung |
| AL-ISMS-26.2 | Arbeitsvertrag_Anhang_Diverses |
| AL-ISMS-27.1 | Benutzerkonten (AD) – Planung |
| AL-ISMS-27.2 | Benutzerkonten (AD) – Änderungen |
| AL-ISMS-27.3 | Benutzerkonten (AD) – Stichproben |
| AL-ISMS-30.1 | Protokoll Datensicherung |
| AL-ISMS-40.1 | Verantwortungsmatrix |
| AL-ISMS-43.1 | Rechtskataster |
| AL-ISMS-44.1 | Formblatt Änderungsmanagement |
| AL-ISMS-45.1 | Auditprogramm und Planung |
| AL-ISMS-46.1 | BCM-Geschäftsfortführungsplanung |
| AL-ISMS-48.0 | Onboarding / Offboarding |
| AL-ISMS-56.1 | Anhang Schulung Sensibilisierung Schulungsplan |
| AL-ISMS-57.0 | KPIs Messung Informationssicherheit |
| DS-ISMS-01.1 | Richtlinie Handbuch Datenschutz |
| DS-ISMS-01.2 | Richtlinie Hinweisgeber |
| DS-ISMS-01.3 | Richtlinie TOM (I.S.d. Art. 32 DSGVO) |
| DS-ISMS-01.4 | Meldeformular Sicherheitsvorfall Datenschutz Anlage |
| DS-ISMS-03.4 | PB Verarbeitungstätigkeiten |
| DS-ISMS-03.5 | Verzeichnis Verarbeitungstätigkeiten |
| DS-ISMS-10.0 | AV–Definition (INFO) |
| DS-ISMS-10.1 | AV-DL_Vertragsmuster |
| DS-ISMS-10.2 | AV-DL_Selbstauskunft_TOM |
| DS-ISMS-10.3 | IT-DL_Vertragsmuster |
| DS-ISMS-10.4 | IT-Selbstauskunft TOM |
| DS-ISMS-10.5 | AV-DL_Folgeprüfung |
| DS-ISMS-25.0 | Datenschutzhinweise für Mitarbeiter |
| DS-ISMS-25.1 | Einverständniserklärung |
| DS-ISMS-25.2 | Datenschutzhinweise für Bewerber |
| DS-ISMS-25.3 | Einverständniserklärung Eltern |
| DS-ISMS-25.4 | RL Offenlegung |
| DS-ISMS-25.5 | RL Aufforderung der Bestätigung |
| DS-ISMS-25.6 | RL Bestätigung Zugangsersuchen |
| DS-ISMS-25.7 | RL Antwort Zugangsersuchen |
| DS-ISMS-25.8 | RL Antwort Datenberichtigung |
| DS-ISMS-25.9 | RL Abschluss des Ersuchens |
| DS-ISMS-25.10 | RL Bestätigung Datenlöschung |
| DS-ISMS-25.11 | Einverständnis Bildaufnahmen |
| DS-ISMS-47 | Datenschutzhandbuch |
| PB-ISMS-44.2 | PB Änderungsmanagement |
| PB-ISMS-45.0 | PB Interne Audits |
| RL-ISMS-01.0 | Richtlinie Informationssicherheit |
| RL-ISMS-01.0 | Richtlinie Informationssicherheit Prototypenschutz |
| RL-ISMS-01.1 | Richtlinie Informationssicherheit Anlage A |
| RL-ISMS-01.2 | Richtlinie Anwendungsbereich Informationssicherheit |
| RL-ISMS-01.3 | Informationssicherheitspolitik |
| RL-ISMS-02.0 | Richtlinie Klassifizierung von Assets und Informationswerten |
| RL-ISMS-02.3 | Klassifizierung von Informationen |
| RL-ISMS-04.0 | Richtlinie Registrierung IT-Geräte |
| RL-ISMS-05.0 | Richtlinie für GHV |
| RL-ISMS-06.0 | Richtlinie Vertraulichkeit |
| RL-ISMS-07.0 | Lieferantenstamm |
| RL-ISMS-08.0 | Anlagenverzeichnis |
| RL-ISMS-09.0 | IT-Einkaufsbedingungen |
| RL-ISMS-11.0 | Richtlinie Homeoffice |
| RL-ISMS-12.0 | Richtlinie Office Anwendungen |
| RL-ISMS-13.0 | Richtlinie Mobile Device Management |
| RL-ISMS-13.1 | Richtlinie Mobile USB-Datenträger |
| RL-ISMS-13.4 | Richtlinie Regelung Mitnahme Wechselträger |
| RL-ISMS-14.0 | Richtlinie Löschen und Vernichten von Daten und Informationen |
| RL-ISMS-14.2 | Richtlinie zur Entsorgung und Vernichtung |
| RL-ISMS-15.0 | Richtlinie Prototypenschutz (bei Bedarf) |
| RL-ISMS-16.0 | Richtlinie Webbrowser |
| RL-ISMS-17.0 | Richtlinie Drucker/ Multifunktionsgerät |
| RL-ISMS-18.0 | Richtlinie Clean Desk / Clear Screen |
| RL-ISMS-19.0 | Richtlinie Kennwörter |
| RL-ISMS-20.0 | Richtlinie Sicherheitszonenkonzept |
| RL-ISMS-20.1 | Lenkung von Dokumenten und Daten mit Schutzklasse (ISO 27001 / TISAX) |
| RL-ISMS-21.0 | Richtlinie zu Schlüsseln und ID-Mitteln |
| RL-ISMS-22.0 | Richtlinie Sicherheitsvorfall |
| RL-ISMS-22.1 | Richtlinie Cyberangriffe |
| RL-ISMS-23.0 | Richtlinie Besuchermanagement |
| RL-ISMS-24.0 | Richtlinie 2FA |
| RL-ISMS-27.0 | Richtlinie Zugriffsmanagement |
| RL-ISMS-29.0 | Richtlinie Videokonferenzen |
| RL-ISMS-30.0 | Backup-Datensicherungskonzept |
| RL-ISMS-31.0 | Richtlinie E-Mail Kommunikation und Archivierung |
| RL-ISMS-32.0 | Wartung Aktualisierung der IT |
| RL-ISMS-32.1 | Richtlinie Software und Lizenzmanagement |
| RL-ISMS-33.0 | Richtlinie IT-Administration |
| RL-ISMS-34.0 | Richtlinie Videoüberwachung |
| RL-ISMS-35.0 | Richtlinie Netzwerksicherheit |
| RL-ISMS-36.0 | Richtlinie Nutzung VPN |
| RL-ISMS-37.0 | Richtlinie Ereignisprotokollierung |
| RL-ISMS-38.0 | Richtlinie Rollback-Plan |
| RL-ISMS-39.0 | Richtlinie Kryptographie |
| RL-ISMS-40.0 | Richtlinie Verantwortlichkeiten |
| RL-ISMS-42.0 | Richtlinie Produktiv-Testumgebung |
| RL-ISMS-43.0 | Richtlinie Kontakt mit Behörden |
| RL-ISMS-44.0 | Richtlinie Änderungsmanagement |
| RL-ISMS-46.0 | Handbuch Business Continuity Management |
| RL-ISMS-46.2 | BCM-Notfallplan Allgemein |
| RL-ISMS-46.3 | BCM-Notfallplan Management |
| RL-ISMS-49.0 | Richtlinie Aufgabentrennung |
| RL-ISMS-50.0 | Richtlinie Incident Management in Projekten |
| RL-ISMS-51.0 | Richtlinie Kabelsicherheit Netzwerke |
| RL-ISMS-52.0 | Richtlinie Lieferantenmanagement |
| RL-ISMS-52.1 | Lieferantenmanagement (Zulassung, Entwicklung, Bewertung) |
| RL-ISMS-53.0 | Richtlinie zum Schutz von Informationen organisationsfremde IT-Dienste |
| RL-ISMS-53.1 | Richtlinie Rückgabe von Informationswerten IT-Dienste |
| RL-ISMS-54.0 | Richtlinie Schutz von IT-Systemen vor Schadsoftware |
| RL-ISMS-55.0 | Richtlinie für den Maßregelungsprozess |
| RL-ISMS-56.0 | Richtlinie zur Bewusstseinsbildung und Sensibilisierung |
| RL-ISMS-56.0 | Richtlinie Uhrensynchronisation |
| RL-ISMS-57.0 | Richtlinie DLP |
| RL-ISMS-58.0 | Richtlinie Threat Intelligence |
| RL-ISMS-59.0 | Richtlinie Eignungsprüfung sensible Tätigkeitsbereiche |
| RL-ISMS-60.0 | Richtlinie Informationssicherheit Partnerfirmen |
| RL-ISMS-61.0 | Richtlinie Anforderungen Aufzeichnungen |
| Weitere Informationen |
Tabelle: Auszug Richtlinien, Verfahren etc.
Beispiel Umgang mit Behörden
| Schritt | Beschreibung | Umsetzung | Werkzeuge | Verantwortlich | Überprüfung | Bemerkungen |
|---|---|---|---|---|---|---|
| Identifizierung relevanter Behörden | Bestimmung der Behörden, mit denen kommuniziert werden muss. | Auflistung aller relevanten lokalen, nationalen und internationalen Behörden. | Datenbanken, Kontaktlisten | Compliance-Manager | Jährlich | Anpassung an Änderungen in der Geschäftstätigkeit. |
| Kommunikationsverantwortliche | Festlegung der Ansprechpartner für die Kommunikation. | Bestimmung von Mitarbeitern, die für die Kommunikation mit Behörden autorisiert sind. | Organigramme, Schulungsunterlagen | Geschäftsführung | Bei Bedarf | Regelmäßige Schulung der Verantwortlichen. |
| Schulung und Vorbereitung | Training zur effektiven Kommunikation. | Schulung der Kommunikationsverantwortlichen in rechtlichen Anforderungen und Kommunikationsfähigkeiten. | Workshops, E-Learning | Schulungsbeauftragter | Jährlich | Aktualisierung der Schulungsinhalte. |
| Kommunikationsprotokolle | Entwicklung von Standardverfahren. | Erstellung von Protokollen für die Initiierung des Kontakts, die Berichterstattung und die Nachverfolgung. | Vorlagen, Checklisten | Compliance-Team | Bei Änderungen der Vorschriften | Sicherstellung der Konsistenz und Compliance. |
| Dokumentation und Protokollierung | Aufzeichnung aller Kommunikationen. | Dokumentation aller Anfragen, Berichte und offiziellen Kommunikationen mit Behörden. | Dokumentenmanagement-Systeme | Compliance-Team | Kontinuierlich | Wichtig für Audits und Nachweisführung. |
| Notfallkommunikation | Schnelle Reaktion in Notfällen. | Einrichtung eines Notfallkommunikationsplans für unerwartete Anfragen oder Vorfälle. | Notfallkontaktlisten, Krisenkommunikationstools | Krisenmanagementteam | Kontinuierlich | Gewährleistung der Reaktionsfähigkeit. |
| Datenschutz und Vertraulichkeit | Schutz sensibler Informationen. | Sicherstellung, dass der Informationsaustausch den Datenschutzgesetzen entspricht. | Verschlüsselung, sichere Übertragungskanäle | Datenschutzbeauftragter | Bei jeder Kommunikation | Vermeidung von Datenschutzverletzungen. |
| Überprüfung und Anpassung | Regelmäßige Aktualisierung des Plans. | Überprüfung und Anpassung des Kommunikationsplans an neue Anforderungen oder Erfahrungen. | Feedback-Schleifen, Evaluationsberichte | Compliance-Manager | Jährlich | Kontinuierliche Verbesserung der Kommunikationsprozesse. |
Tabelle: Auszug RL Kontakt mit Behörden
Beispiel Sicherheitszonen
| Sicherheitszone | Beschreibung | Zugangskontrollen | Schutzmaßnahmen | Verantwortlich | Letzte Überprüfung | Bemerkung |
|---|---|---|---|---|---|---|
| Öffentlich | Bereiche, die für die allgemeine Öffentlichkeit zugänglich sind, wie Unternehmenswebsite | Keine spezifischen Zugangskontrollen erforderlich | Basis-Cybersicherheitsmaßnahmen, regelmäßige Sicherheitsüberprüfungen | IT-Administrator | Jährlich | Überwachung auf Missbrauch und Angriffe. |
| Kontrollierte Zone | Bereiche, die für Mitarbeiter und autorisierte Dritte zugänglich sind, wie das Intranet | Authentifizierung erforderlich (z.B. Passwörter, Zugangskarten) | Verschlüsselung der Datenübertragung, Firewall-Schutz, Antivirus-Software | IT-Administrator | Halbjährlich | Regelmäßige Überprüfung der Zugriffsrechte. |
| Eingeschränkte Zone | Bereiche mit sensiblen Informationen, die nur für bestimmte Mitarbeitergruppen zugänglich sind, wie Finanzdaten. | Strenge Zugangskontrollen (z.B. biometrische Verfahren, Multi-Faktor-Authentifizierung) | Erweiterte Verschlüsselung, DLP-Systeme, regelmäßige Sicherheitsaudits | IT-Administrator | Quartalsweise | Schulung der berechtigten Mitarbeiter zum sicheren Umgang mit sensiblen Daten. |
| Hoch-Risiko-Zone | Bereiche mit höchster Sicherheitsstufe, die kritische Infrastrukturen oder hochsensible Daten enthalten, wie Serverräume. | Physische und digitale Zugangskontrollen, Überwachung ggf. durch Sicherheitspersonal. | Isolierte Netzwerke, fortgeschrittene Bedrohungserkennung, physische Sicherheitsmaßnahmen (z.B. Sicherheitsschlösser, Überwachungskameras) | IT-Administrator | Monatlich | Regelmäßige Penetrationstests und Schwachstellenanalysen |
Tabelle: Auszug RL Sicherheitszonenkonzept
