Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel

Warum die Informationssicherheitsrichtlinie dein wichtigstes ISMS-Dokument ist

Jedes Informationssicherheits-Managementsystem braucht ein Dokument, das die strategische Richtung vorgibt. Die Informationssicherheitsrichtlinie, oft auch IS-Leitlinie oder IT-Sicherheitsrichtlinie genannt, übernimmt genau diese Rolle. Sie ist das Fundament, auf dem alle weiteren Richtlinien, Prozesse und Maßnahmen aufbauen. Wer ein ISMS aufbauen will, beginnt deshalb mit diesem Dokument.

ISO 27001 fordert dieses Dokument explizit in Abschnitt 5.2. Ohne eine dokumentierte und kommunizierte Informationssicherheitsrichtlinie kann kein ISMS zertifiziert werden. Aber selbst wenn du keine Zertifizierung anstrebst, lohnt sich das Dokument. Denn es beantwortet die zentrale Frage: Wie geht unsere Organisation mit Informationssicherheit um, und warum tun wir das?

Die Richtlinie richtet sich nicht nur an die IT-Abteilung. Sie adressiert die gesamte Organisation, von der Geschäftsführung über die Fachabteilungen bis hin zu externen Dienstleistern, die Zugang zu deinen Systemen oder Daten haben. Genau deshalb sollte sie verständlich geschrieben sein und nicht wie ein technisches Handbuch klingen.

Was ISO 27001 konkret verlangt

Abschnitt 5.2 der ISO 27001:2022 definiert mehrere Anforderungen an die Informationssicherheitsrichtlinie. Diese Pflichtinhalte musst du abdecken:

• Angemessenheit zum Zweck der Organisation: Die Richtlinie muss zu deiner Organisation passen. Ein Softwareunternehmen hat andere Schwerpunkte als ein produzierendes Gewerbe.
• Informationssicherheitsziele: Entweder enthält die Richtlinie konkrete Ziele oder sie bildet den Rahmen, aus dem sich Ziele ableiten lassen.
• Verpflichtung zur Erfüllung anwendbarer Anforderungen: Das umfasst gesetzliche, regulatorische und vertragliche Pflichten, etwa DSGVO, NIS2 oder branchenspezifische Vorgaben.
• Verpflichtung zur fortlaufenden Verbesserung: Das ISMS ist kein Einmalprojekt. Die Richtlinie muss den kontinuierlichen Verbesserungsansatz verankern.
• Verfügbarkeit als dokumentierte Information: Die Richtlinie muss dokumentiert, zugänglich und gepflegt sein.
• Kommunikation innerhalb der Organisation: Alle relevanten Personen müssen sie kennen.
• Verfügbarkeit für interessierte Parteien: Je nach Kontext kann das Kunden, Partner oder Aufsichtsbehörden betreffen.

Darüber hinaus verlangt die Norm, dass die Richtlinie von der obersten Leitung freigegeben wird. Das ist kein Formalismus, sondern zeigt, dass Informationssicherheit Chefsache ist.

Aufbau und Gliederung: So strukturierst du die Richtlinie

Eine gute Informationssicherheitsrichtlinie folgt einer klaren Struktur. Du kannst die folgende Gliederung als Vorlage nutzen und an deine Organisation anpassen:

1. Dokumenteninformationen

Am Anfang stehen die Metadaten des Dokuments. Sie ermöglichen eine saubere Versionierung und machen transparent, wer das Dokument verantwortet.

• Dokumententitel
• Versionsnummer und Datum
• Dokumentenverantwortlicher (typischerweise der ISB)
• Freigabe durch (Geschäftsführung)
• Vertraulichkeitsstufe (meist "Intern")
• Nächster geplanter Review

2. Zweck und Zielsetzung

Hier beschreibst du, warum die Richtlinie existiert und welches Ziel sie verfolgt. Halte diesen Abschnitt kurz und prägnant.

Beispielformulierung:

Diese Informationssicherheitsrichtlinie definiert die grundlegenden Prinzipien, Ziele und Verantwortlichkeiten für die Informationssicherheit bei [Organisationsname]. Sie bildet den Rahmen für den Schutz aller Informationswerte und dient als Grundlage für alle weiteren Sicherheitsrichtlinien und -maßnahmen.

3. Geltungsbereich

Der Geltungsbereich (Scope) legt fest, für wen und was die Richtlinie gilt. Sei hier präzise, denn der Geltungsbereich der Richtlinie korrespondiert direkt mit dem Scope deines ISMS.

Definiere klar:

• Welche Standorte, Abteilungen und Geschäftsprozesse abgedeckt sind
• Welche Personengruppen betroffen sind (Mitarbeiter, Führungskräfte, Externe)
• Welche IT-Systeme, Netzwerke und Daten eingeschlossen sind
• Ob es explizite Ausschlüsse gibt und warum

Beispielformulierung:

Diese Richtlinie gilt für alle Mitarbeiterinnen und Mitarbeiter der [Organisationsname], einschließlich Führungskräften, befristet Beschäftigten, Praktikanten und externen Dienstleistern mit Zugang zu Informationssystemen oder Daten der Organisation. Sie umfasst alle Standorte sowie sämtliche physischen und digitalen Informationswerte.

4. Bekenntnis der Geschäftsführung

Dieser Abschnitt ist entscheidend. ISO 27001 fordert, dass die oberste Leitung ihre Führungsrolle und Verpflichtung zur Informationssicherheit demonstriert. Eine konkrete, unterschriebene Erklärung wiegt schwerer als allgemeine Floskeln.

Beispielformulierung:

Die Geschäftsführung der [Organisationsname] bekennt sich zur Informationssicherheit als integralen Bestandteil der Unternehmensführung. Wir verpflichten uns, die erforderlichen Ressourcen bereitzustellen, das ISMS fortlaufend zu verbessern und alle anwendbaren gesetzlichen, regulatorischen und vertraglichen Anforderungen zu erfüllen. Informationssicherheit ist eine Führungsaufgabe, die von allen Ebenen der Organisation getragen wird.

5. Informationssicherheitsziele

Formuliere drei bis fünf übergeordnete Ziele, die deine Organisation mit dem ISMS verfolgt. Diese Ziele bilden die Brücke zwischen der Richtlinie und den konkreten Maßnahmen.

Typische Ziele sind:

• Vertraulichkeit: Informationen sind nur für befugte Personen zugänglich.
• Integrität: Informationen sind vollständig und unverändert.
• Verfügbarkeit: Informationen und Systeme stehen bei Bedarf zur Verfügung.
• Compliance: Alle gesetzlichen und vertraglichen Anforderungen werden erfüllt.
• Awareness: Alle Mitarbeiter sind für Informationssicherheit sensibilisiert.

Vermeide hier Ziele, die du nicht messen kannst. "Wir wollen sicher sein" ist kein Ziel. "Wir reduzieren die Anzahl sicherheitsrelevanter Vorfälle durch Schulungsmaßnahmen um 30 % innerhalb von 12 Monaten" dagegen schon. Die übergeordneten Ziele in der Richtlinie dürfen allerdings etwas abstrakter sein als die detaillierten ISMS-Ziele, die du separat dokumentierst.

6. Grundsätze der Informationssicherheit

In diesem Abschnitt legst du die Prinzipien fest, nach denen deine Organisation Informationssicherheit umsetzt. Das können fünf bis zehn Grundsätze sein, die als Leitplanken für alle weiteren Entscheidungen dienen.

Beispiele für solche Grundsätze:

• Need-to-know-Prinzip: Zugang zu Informationen wird nur gewährt, wenn er für die Aufgabenerfüllung notwendig ist.
• Verantwortlichkeit: Jeder Informationswert hat einen definierten Eigentümer.
• Verhältnismäßigkeit: Schutzmaßnahmen stehen in einem angemessenen Verhältnis zum Schutzbedarf.
• Defense in Depth: Sicherheit wird durch mehrere, gestaffelte Maßnahmen erreicht.
• Meldepflicht: Sicherheitsvorfälle werden unverzüglich gemeldet und bearbeitet.

7. Rollen und Verantwortlichkeiten

Beschreibe die zentralen ISMS-Rollen und ihre Verantwortlichkeiten. Dieser Abschnitt schafft Klarheit darüber, wer wofür zuständig ist.

Achte darauf, dass du keine Verantwortung beschreibst, die niemand tatsächlich übernimmt. Wenn es in deiner Organisation keinen dedizierten ISB gibt, sondern die Rolle vom IT-Leiter in Personalunion wahrgenommen wird, dann schreib das ehrlich so auf.

8. Geltende Anforderungen und regulatorischer Rahmen

Liste die wichtigsten rechtlichen, regulatorischen und vertraglichen Anforderungen auf, die für dein ISMS relevant sind. Das zeigt dem Auditor, dass du dich mit dem Kontext deiner Organisation auseinandergesetzt hast.

Typische Anforderungen:

• DSGVO (Datenschutz-Grundverordnung)
• NIS2-Richtlinie (falls einschlägig)
• Branchenspezifische Vorgaben (z. B. KRITIS, BAIT, VAIT)
• Vertragliche Pflichten gegenüber Kunden und Partnern
• ISO 27001 als gewählter Standard

9. Verweis auf untergeordnete Richtlinien

Die Informationssicherheitsrichtlinie ist absichtlich übergeordnet. Operative Details gehören in spezifische Richtlinien, auf die du hier verweist. Damit schaffst du eine saubere Dokumentenhierarchie und vermeidest, dass die IS-Leitlinie zu einem Moloch wird, den niemand mehr pflegen will.

Liste die untergeordneten Richtlinien namentlich auf und verweise auf deren aktuelle Version. So erkennt jeder Leser sofort, welche Dokumente zusammengehören.

Beispielformulierung:

Die folgenden Richtlinien konkretisieren die in dieser Informationssicherheitsrichtlinie festgelegten Grundsätze für spezifische Themenbereiche:

• Passwortrichtlinie (RL-IS-002)
• Richtlinie zur Nutzung mobiler Geräte (RL-IS-003)
• Zugangs- und Zugriffskontrollrichtlinie (RL-IS-004)
• Backup- und Wiederherstellungsrichtlinie (RL-IS-005)
• Richtlinie zum Umgang mit Sicherheitsvorfällen (RL-IS-006)

Ein einheitliches Nummerierungsschema für alle Richtlinien erleichtert die Verwaltung erheblich. Vergib eine fortlaufende Dokumenten-ID und halte ein zentrales Richtlinienverzeichnis, das Titel, ID, Version, Freigabedatum und Verantwortlichen für jedes Dokument enthält.

10. Schulung und Sensibilisierung

Dieser Abschnitt verankert die Pflicht zur regelmäßigen Schulung aller Mitarbeiter. Beschreibe, welche Schulungsformate vorgesehen sind (Präsenz, E-Learning, Kurzunterweisungen), in welchem Turnus sie stattfinden und wie die Teilnahme dokumentiert wird.

Beispielformulierung:

Alle Mitarbeiterinnen und Mitarbeiter sind verpflichtet, an den jährlichen Schulungen zur Informationssicherheit teilzunehmen. Neue Mitarbeiter erhalten im Rahmen des Onboarding eine Einführung in die Informationssicherheit innerhalb der ersten zwei Wochen. Die Teilnahme wird dokumentiert und durch den ISB ausgewertet.

11. Verstöße und Konsequenzen

Beschreibe, was bei Verstößen gegen die Richtlinie passiert. Das muss kein Drohszenario sein, aber es braucht klare Konsequenzen.

Beispielformulierung:

Verstöße gegen diese Richtlinie oder die untergeordneten Sicherheitsrichtlinien können arbeitsrechtliche Maßnahmen bis hin zur Kündigung nach sich ziehen. Bei externen Dienstleistern können Verstöße zur Beendigung der Zusammenarbeit führen. Alle Verstöße werden dokumentiert und im Rahmen des Incident-Management-Prozesses bearbeitet.

12. Inkrafttreten, Review und Versionierung

Halte fest, ab wann die Richtlinie gilt, wie oft sie überprüft wird und wie Änderungen dokumentiert werden.

Dos and Don'ts: Häufige Fehler vermeiden

Beim Schreiben der Informationssicherheitsrichtlinie gibt es einige typische Fallstricke. Hier die wichtigsten Dos and Don'ts:

Dos

Schreibe verständlich. Die Richtlinie wird von der gesamten Organisation gelesen, nicht nur von Sicherheitsexperten. Vermeide Fachjargon, wo immer es geht. Wenn du technische Begriffe verwenden musst, erkläre sie.

Halte die Richtlinie schlank. Fünf bis zehn Seiten sind ein guter Richtwert. Alles darüber hinaus gehört in untergeordnete Richtlinien. Eine schlanke IS-Leitlinie wird eher gelesen, verstanden und akzeptiert als ein 40-seitiges Dokument.

Mache sie spezifisch für deine Organisation. Die Richtlinie muss zu dir passen. Kopiere keine generische Vorlage aus dem Internet und ändere nur den Firmennamen. Der Auditor wird das merken, und deine Mitarbeiter werden sich in dem Dokument nicht wiederfinden.

Verankere messbare Ziele. Auch wenn die übergeordneten Ziele etwas abstrakter sein dürfen: Sie sollten so formuliert sein, dass du daraus konkrete, messbare ISMS-Ziele ableiten kannst.

Plane den Review von Anfang an ein. Ein klar definierter Richtlinien-Lifecycle sorgt dafür, dass du direkt bei der Erstellung festlegst, wann die Richtlinie das nächste Mal überprüft wird. Trage den Termin in den Kalender ein.

Don'ts

Zu abstrakt schreiben. "Wir schützen unsere Informationen" ist keine Richtlinie, sondern ein Wunsch. Konkretisiere, was du mit Schutz meinst und welche Grundsätze dabei gelten.

Zu detailliert werden. Die IS-Leitlinie ist kein Betriebshandbuch. Technische Konfigurationen, konkrete Passwortregeln oder Firewall-Einstellungen gehören in operative Richtlinien oder Arbeitsanweisungen.

Unrealistische Versprechen machen. Schreibe nichts in die Richtlinie, was du nicht einhalten kannst. "Alle Systeme sind rund um die Uhr verfügbar" klingt gut, ist aber in den meisten Organisationen schlicht nicht wahr. Sei ehrlich.

Die Geschäftsführung auslassen. Die Richtlinie muss von oben getragen werden. Wenn die Geschäftsführung das Dokument nicht kennt, nicht unterschrieben hat oder sich nicht damit identifiziert, ist das ein ernsthaftes Problem.

Nur einmal schreiben und dann vergessen. Eine Richtlinie, die seit drei Jahren nicht überprüft wurde, ist ein Audit-Finding. Organisationen verändern sich, Gesetze ändern sich, Bedrohungen ändern sich. Die Richtlinie muss mitgehen.

Der Freigabeprozess: Wer gibt frei, wer unterschreibt

Die Freigabe der Informationssicherheitsrichtlinie ist ein formaler Akt. ISO 27001 verlangt, dass die oberste Leitung die Richtlinie freigibt. In der Praxis sieht der Prozess typischerweise so aus:

Schritt 1: Entwurf erstellen. Der ISB oder die verantwortliche Person erstellt den Entwurf der Richtlinie. Dabei berücksichtigt sie den Kontext der Organisation, die Anforderungen der Norm und die bestehende Dokumentation.

Schritt 2: Abstimmung mit Stakeholdern. Der Entwurf wird mit relevanten Stakeholdern abgestimmt. Das können die IT-Leitung, der Datenschutzbeauftragte, die Personalabteilung und ausgewählte Führungskräfte sein. Hole dir deren Feedback ein, bevor du das Dokument zur Freigabe vorlest.

Schritt 3: Finale Freigabe. Die Geschäftsführung prüft und gibt die Richtlinie frei. Das sollte dokumentiert werden, idealerweise durch eine Unterschrift auf dem Dokument selbst oder in einem separaten Freigabeprotokoll.

Schritt 4: Veröffentlichung und Kommunikation. Nach der Freigabe wird die Richtlinie veröffentlicht und allen relevanten Personen zugänglich gemacht. Das kann über das Intranet, ein Dokumentenmanagementsystem oder eine ISMS-Plattform geschehen.

Wichtig: Die Freigabe ist nicht dasselbe wie die Kenntnisnahme. Die Geschäftsführung gibt frei, alle anderen nehmen zur Kenntnis. Das sind zwei verschiedene Prozesse.

Noch ein Praxistipp zum Freigabeprozess: Plane genügend Zeit für die Abstimmungsrunde ein. Erfahrungsgemäß dauert es zwei bis vier Wochen, bis alle Stakeholder ihr Feedback gegeben haben. Setze klare Fristen und sende Erinnerungen. Wenn du das nicht tust, kann sich die Freigabe über Monate hinziehen, und zwischenzeitlich ändern sich vielleicht schon wieder die Rahmenbedingungen.

Kenntnisnahme sicherstellen: So erreichst du alle Mitarbeiter

Die beste Richtlinie nützt wenig, wenn niemand sie kennt. ISO 27001 fordert, dass die Richtlinie innerhalb der Organisation kommuniziert wird. Du brauchst also einen nachweisbaren Prozess, mit dem du belegen kannst, dass alle relevanten Personen die Richtlinie zur Kenntnis genommen haben.

Es gibt mehrere bewährte Ansätze:

Digitale Kenntnisnahme per ISMS-Tool. Die eleganteste Lösung: Du veröffentlichst die Richtlinie in deiner ISMS-Plattform und jeder Mitarbeiter bestätigt die Kenntnisnahme mit einem Klick. Tools wie ISMS Lite bieten genau diesen Workflow mit automatischer Protokollierung von Zeitstempel und Person, sodass du jederzeit den Nachweis hast.

Unterschriftenliste. Der klassische Weg: Jeder Mitarbeiter unterschreibt, dass er die Richtlinie gelesen und verstanden hat. Funktioniert, ist aber bei größeren Organisationen aufwändig zu verwalten.

E-Learning mit Quiz. Du verpackst die wesentlichen Inhalte der Richtlinie in ein kurzes E-Learning-Modul mit Verständnisfragen. Der Vorteil: Du stellst nicht nur sicher, dass die Richtlinie gelesen wurde, sondern auch, dass sie verstanden wurde.

Schulung mit Teilnehmerliste. Du stellst die Richtlinie in einer Präsenzschulung oder einem Webinar vor und dokumentierst die Teilnahme.

Welcher Ansatz passt zu dir? Für Organisationen unter 50 Mitarbeitern reicht oft eine Kombination aus Schulung und Unterschriftenliste. Ab 50 Mitarbeitern lohnt sich der Einsatz eines ISMS-Tools mit digitaler Kenntnisnahme, weil die manuelle Verwaltung sonst zu aufwändig wird. E-Learning eignet sich besonders für Organisationen mit verteilten Standorten oder hoher Fluktuation.

Egal welchen Weg du wählst: Dokumentiere die Kenntnisnahme lückenlos. Bei einem Audit wirst du danach gefragt. Und denke daran, dass neue Mitarbeiter im Onboarding-Prozess die Richtlinie ebenfalls zur Kenntnis nehmen müssen. Lege fest, innerhalb welcher Frist nach Eintritt die Kenntnisnahme erfolgen muss, typischerweise innerhalb der ersten zwei Wochen.

Versionierung und Reviewzyklen

Eine Informationssicherheitsrichtlinie ist ein lebendes Dokument. Du musst sicherstellen, dass immer die aktuelle Version gilt und dass Änderungen nachvollziehbar sind.

Versionierungsschema

Verwende ein einfaches, verständliches Schema:

• Hauptversionen (1.0, 2.0, 3.0): Grundlegende inhaltliche Änderungen, z. B. neue Geltungsbereiche, neue regulatorische Anforderungen oder eine komplette Überarbeitung.
• Nebenversionen (1.1, 1.2, 1.3): Kleinere Anpassungen, Korrekturen, Ergänzungen einzelner Abschnitte.

Jede Version wird mit Datum, Autor und einer kurzen Beschreibung der Änderungen in einer Änderungshistorie am Anfang des Dokuments dokumentiert.

Reviewzyklus

Die Verwaltung aller Richtlinienversionen und Review-Zyklen lässt sich in einem ISMS-Tool wie ISMS Lite deutlich einfacher handhaben als per Dateisystem und Excel. Plane einen festen Reviewzyklus ein:

• Mindestens jährlich eine vollständige Überprüfung der Richtlinie.
• Anlassbezogen bei wesentlichen Veränderungen: neue Gesetze (etwa NIS2-Umsetzungsgesetz), organisatorische Umstrukturierungen, größere Sicherheitsvorfälle, Ergebnisse aus internen oder externen Audits.

Der Review sollte strukturiert ablaufen. Prüfe jeden Abschnitt: Stimmt der Geltungsbereich noch? Haben sich Verantwortlichkeiten geändert? Sind neue regulatorische Anforderungen hinzugekommen? Passen die Sicherheitsziele noch zur aktuellen Risikolandschaft?

Nach dem Review durchläuft die aktualisierte Richtlinie denselben Freigabeprozess wie die Erstversion. Und auch die Kenntnisnahme musst du bei wesentlichen Änderungen erneut einholen.

Umgang mit veralteten Versionen

Stelle sicher, dass veraltete Versionen der Richtlinie nicht mehr im Umlauf sind. In digitalen Systemen ist das einfach: Du ersetzt die alte Version durch die neue. Bei physischen Kopien wird es schwieriger. Am besten verzichtest du ganz auf gedruckte Exemplare und verweist stattdessen auf den zentralen digitalen Ablageort. Wenn du gedruckte Versionen brauchst, kennzeichne sie als "kontrollierte Kopie" und führe ein Verzeichnis darüber, wer welche Kopie erhalten hat.

Weitere wichtige Richtlinien für dein ISMS

Die Informationssicherheitsrichtlinie steht an der Spitze der Dokumentenhierarchie. Darunter brauchst du operative Richtlinien, die konkrete Themen regeln. Welche das sind, hängt von deiner Organisation ab. Die folgenden gehören in den meisten Fällen dazu:

Passwortrichtlinie

Die Passwortrichtlinie regelt Passwortlänge, Komplexität, Wechselintervalle und den Umgang mit Passwort-Managern. Seit den aktuellen BSI-Empfehlungen gilt: Lange Passwörter statt häufiger Wechsel. Definiere außerdem, dass Passwörter niemals per E-Mail oder Chat geteilt werden dürfen.

Richtlinie zur Nutzung mobiler Geräte

Legt fest, welche Geräte für dienstliche Zwecke genutzt werden dürfen, ob BYOD erlaubt ist, welche Sicherheitsmaßnahmen auf mobilen Geräten gelten (Verschlüsselung, Bildschirmsperre, Remote Wipe) und wie mit dem Verlust eines Geräts umzugehen ist.

Zugangs- und Zugriffskontrollrichtlinie

Beschreibt die Prinzipien der Rechtevergabe, insbesondere das Need-to-know-Prinzip und das Least-Privilege-Prinzip. Regelt, wie Zugriffsrechte beantragt, genehmigt, eingerichtet und entzogen werden. Enthält außerdem Vorgaben für privilegierte Accounts und die regelmäßige Überprüfung von Berechtigungen.

Backup- und Wiederherstellungsrichtlinie

Definiert Backup-Strategien (Vollbackup, inkrementell, differentiell), Aufbewahrungsfristen, Speicherorte und die regelmäßige Überprüfung der Wiederherstellbarkeit. Ein Backup, das nie getestet wurde, ist kein Backup.

Richtlinie zum Umgang mit Sicherheitsvorfällen

Beschreibt den Prozess von der Erkennung über die Meldung bis zur Bearbeitung und Nachbereitung von Sicherheitsvorfällen. Definiert Eskalationswege, Meldefristen und Verantwortlichkeiten im Incident-Response-Prozess.

Clean-Desk- und Clear-Screen-Richtlinie

Einfach umzusetzen, oft unterschätzt: Regelt, dass vertrauliche Unterlagen nicht offen herumliegen und Bildschirme beim Verlassen des Arbeitsplatzes gesperrt werden. Gerade in Großraumbüros oder bei Besucherverkehr ein wichtiger Baustein.

Richtlinie für Lieferanten und Dienstleister

Definiert die Sicherheitsanforderungen an externe Partner. Das umfasst vertragliche Regelungen, Überprüfung der Sicherheitsmaßnahmen und das Vorgehen bei Sicherheitsvorfällen auf Seiten des Dienstleisters.

Klassifizierungsrichtlinie

Die Klassifizierungsrichtlinie definiert die Vertraulichkeitsstufen deiner Organisation (z. B. Öffentlich, Intern, Vertraulich, Streng vertraulich) und legt fest, wie Informationen jeder Stufe zu behandeln sind. Ohne klare Klassifizierung weiß niemand, welche E-Mail verschlüsselt werden muss und welche Dokumente nicht auf dem privaten USB-Stick landen dürfen.

Du musst nicht alle Richtlinien gleichzeitig erstellen. Starte mit den wichtigsten und baue den Richtlinienkatalog schrittweise auf. Priorisiere anhand deiner Risikoanalyse: Welche Themen haben den höchsten Schutzbedarf? Wo gibt es die größten Lücken? Erfahrungsgemäß sind Passwortrichtlinie, Zugangsrichtlinie und die Richtlinie zum Umgang mit Sicherheitsvorfällen die drei Dokumente, die du direkt nach der IS-Leitlinie angehen solltest.

Von der Vorlage zur fertigen Richtlinie: Praktische Tipps

Zum Abschluss noch einige praktische Hinweise, die dir bei der Erstellung helfen:

Starte nicht bei null. Nutze die Gliederung aus diesem Artikel als Ausgangspunkt und passe sie an. Eine gute Vorlage spart dir Stunden an Arbeit. Aber kopiere niemals blind, sondern mache jedes Wort zu deinem eigenen.

Sprich mit der Geschäftsführung, bevor du schreibst. Hole dir vorab das Commitment der Geschäftsführung. Kläre, welche strategischen Ziele die Richtlinie unterstützen soll und welche Ressourcen bereitstehen. Wenn die Geschäftsführung erst bei der Unterschrift erfährt, was du geschrieben hast, läufst du Gefahr, von vorne anfangen zu müssen.

Nutze eine einheitliche Dokumentenvorlage. Alle ISMS-Dokumente sollten einem einheitlichen Layout folgen. Definiere Kopfzeile mit Logo, Fußzeile mit Versionsnummer und Seitenzahl, einheitliche Schriftarten und ein Deckblatt mit den Dokumenteninformationen.

Schreibe iterativ. Die erste Version muss nicht perfekt sein. Schreibe einen Entwurf, hole Feedback ein, überarbeite, und gib dann frei. Perfektionismus ist der Feind des Fortschritts, besonders beim ISMS-Aufbau.

Verknüpfe die Richtlinie mit deinen anderen ISMS-Dokumenten. Die IS-Leitlinie steht nicht allein. Sie verweist auf die Risikoanalyse, die ISMS-Ziele, die Statement of Applicability und die untergeordneten Richtlinien. Sorge dafür, dass diese Querverweise stimmen und aktuell sind.

Teste die Verständlichkeit. Gib die Richtlinie einer Person zum Lesen, die nicht im Sicherheitsbereich arbeitet. Wenn sie den Inhalt versteht und weiß, was sie tun soll, hast du gute Arbeit geleistet.

Weiterführende Artikel

• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
• Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?
• Passwort-Richtlinie erstellen: Anforderungen, Beispiel und Durchsetzung
• Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung
• Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch

Die Informationssicherheitsrichtlinie ist der Grundstein deines ISMS. Sie gibt die Richtung vor, schafft Verbindlichkeit und zeigt nach innen wie außen, dass Informationssicherheit in deiner Organisation ernst genommen wird. Investiere die Zeit in ein solides Dokument. Es wird sich bei jedem Audit, bei jeder Schulung und bei jedem Sicherheitsvorfall auszahlen.