Wie lang sollte eine IS-Leitlinie sein?

Maximal 4 bis 6 Seiten. Die IS-Leitlinie ist ein strategisches, kein operatives Dokument. Konkrete Regelungen wie Passwortrichtlinien gehören in untergeordnete Ebene-2-Richtlinien.

Wer muss die IS-Leitlinie genehmigen?

Die oberste Leitung im Sinne von ISO 27001 Kap. 5.1 – also Geschäftsführer oder Vorstand, nicht die IT-Abteilung. Ohne diese formale Genehmigung mit Unterschrift ist die Anforderung nicht erfüllt.

Wie oft muss die IS-Leitlinie überprüft werden?

Mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen des Geltungsbereichs. Die Überprüfung muss dokumentiert werden – fehlende Versionhistorie wird im Audit als Non-Conformity bewertet.

IS-Leitlinie erstellen: Muster & ISO-27001-Pflicht

Jede strukturierte Informationssicherheit beginnt mit einem Dokument: der Informationssicherheits-Leitlinie. Sie ist das strategische Grundsatzdokument, das den Willen der Leitungsebene, Informationssicherheit als Organisationsziel zu verankern, formal und verbindlich zum Ausdruck bringt. ISO 27001 fordert sie als zwingende Anforderung in Kapitel 5.2 – ohne sie ist eine Zertifizierung ausgeschlossen. NIS-2 verlangt sie implizit als Teil des Risikomanagementrahmens nach § 30 BSIG.

Dennoch zeigt die Beratungspraxis: Viele Unternehmen haben entweder keine IS-Leitlinie, oder sie ist so allgemein gehalten, dass sie keine steuernde Wirkung entfaltet. Dieser Leitfaden erklärt, was die IS-Leitlinie enthält, wie sie erstellt wird und welche Fehler dabei zu vermeiden sind.

Was ist eine Informationssicherheits-Leitlinie?

Die Informationssicherheits-Leitlinie – synonym auch als ISMS-Leitlinie, Informationssicherheitspolitik, IS-Policy oder Security Policy bezeichnet – ist das übergeordnete Steuerungsdokument eines Informationssicherheits-Managementsystems (ISMS). Sie definiert:

den Geltungsbereich des ISMS (welche Teile der Organisation, welche Systeme, welche Standorte),
die strategischen Ziele der Organisation im Bereich Informationssicherheit,
die Verpflichtung der Leitungsebene zur Einhaltung und kontinuierlichen Verbesserung,
die Rahmenbedingungen für die Ableitung operativer Richtlinien und Verfahrensanweisungen.

Sie ist bewusst als strategisches, nicht als operatives Dokument konzipiert. Konkrete Maßnahmen – z. B. Passwortrichtlinien, Clean-Desk-Regelungen oder Zugriffsrechtekonzepte – werden in untergeordneten Richtlinien geregelt, die auf der IS-Leitlinie aufbauen.

Rechtliche und normative Grundlagen

ISO/IEC 27001:2022, Kapitel 5.2

ISO 27001 verpflichtet die oberste Leitung, eine Informationssicherheitspolitik festzulegen, die:

für den Zweck der Organisation angemessen ist,
Informationssicherheitsziele enthält oder einen Rahmen für deren Festlegung schafft,
die Verpflichtung zur Einhaltung anwendbarer Anforderungen umfasst,
die Verpflichtung zur kontinuierlichen Verbesserung des ISMS enthält.

Die Leitlinie muss als dokumentierte Information vorliegen (Kap. 7.5), intern kommuniziert werden und interessierten externen Parteien auf Anfrage zugänglich gemacht werden.

NIS-2 / § 30 BSIG

Das NIS-2-Umsetzungsgesetz fordert als Teil der Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG eine Sicherheitspolitik, die Risikoanalyse und Informationssicherheitsstrategien festlegt (Nr. 1). Die IS-Leitlinie ist damit auch außerhalb des ISO-27001-Kontexts regulatorisch gefordert.

BSI IT-Grundschutz

Der BSI IT-Grundschutz (BSI-Standard 200-1, Kap. 5.1) fordert eine Leitlinie zur Informationssicherheit als Basisdokument jedes ISMS nach IT-Grundschutz. Der Baustein ISMS.1 des IT-Grundschutz-Kompendiums beschreibt Mindestanforderungen an Inhalt und Kommunikation.

Pflichtinhalt der IS-Leitlinie nach ISO 27001

ISO 27001 schreibt den Inhalt nicht im Detail vor – ein normativer Mindestinhalt ergibt sich jedoch aus Kap. 5.2 und dem Zusammenspiel mit weiteren Kapiteln. Folgende Elemente sollte eine prüfungssichere IS-Leitlinie enthalten:

1. Präambel und strategische Bedeutung

Kurze Darstellung, warum Informationssicherheit für die Organisation strategisch relevant ist. Bezug auf Geschäftsmodell, Kundendaten, regulatorische Anforderungen und Reputationsschutz.

2. Geltungsbereich

Klare Definition, welche Teile der Organisation, welche Standorte, Systeme, Prozesse und Dienstleistungen durch das ISMS abgedeckt werden. Der Geltungsbereich muss mit der Statement of Applicability (SoA) konsistent sein.

3. Informationssicherheitsziele

Strategische Oberziele, z. B.: Schutz der Vertraulichkeit kundenbezogener Daten, Sicherstellung der Verfügbarkeit kritischer Geschäftsprozesse, Wahrung der Integrität sensibler Unternehmensinformationen. Ziele müssen messbar oder zumindest operationalisierbar formuliert sein.

4. Bekenntnis der Leitungsebene

Explizites Commitment der Geschäftsführung zur Informationssicherheit – namentlich und mit Unterschrift. Dieser Punkt hat im Zertifizierungsaudit besondere Gewicht: Auditoren prüfen, ob Sicherheit als Leitungsaufgabe oder als IT-Thema behandelt wird.

5. Einhaltung von Anforderungen

Verpflichtung zur Einhaltung anwendbarer gesetzlicher, regulatorischer und vertraglicher Anforderungen (DSGVO, NIS-2, branchenspezifische Vorschriften, Kundenanforderungen).

6. Rollen und Verantwortlichkeiten

Benennung des Informationssicherheitsbeauftragten (ISB) und Definition übergeordneter Verantwortlichkeiten. Operative Detailregelungen erfolgen in untergeordneten Dokumenten.

7. Folgen bei Verstößen

Hinweis auf arbeits-, datenschutz- und strafrechtliche Konsequenzen bei Nichtbeachtung der IS-Leitlinie und der darauf basierenden Richtlinien. Dieser Abschnitt schafft Verbindlichkeit.

8. Überprüfungsturnus

Festlegung, in welchem Rhythmus die Leitlinie überprüft und ggf. aktualisiert wird. Empfohlen: mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen des Geltungsbereichs.

Muster-Gliederung einer IS-Leitlinie

Die folgende Struktur hat sich in der Beratungspraxis als belastbar und auditierungssicher erwiesen:

INFORMATIONSSICHERHEITS-LEITLINIE
[Unternehmensname] | Version [X.X] | Gültig ab [Datum]
Genehmigt durch: [Name, Funktion] | Nächste Überprüfung: [Datum]

1. Zweck und Geltungsbereich
   1.1 Zweck dieses Dokuments
   1.2 Geltungsbereich (Organisationseinheiten, Standorte, Systeme)
   1.3 Abgrenzung

2. Strategische Bedeutung der Informationssicherheit
   2.1 Relevanz für die Geschäftstätigkeit
   2.2 Regulatorischer Kontext (DSGVO, NIS-2, ISO 27001, Branchenspezifika)

3. Schutzziele
   3.1 Vertraulichkeit (Confidentiality)
   3.2 Integrität (Integrity)
   3.3 Verfügbarkeit (Availability)
   3.4 Weitere Schutzziele (Authentizität, Nichtabstreitbarkeit)

4. Informationssicherheitsziele der Organisation
   [Mindestens 3–5 messbare strategische Ziele]

5. Organisatorischer Rahmen
   5.1 Informationssicherheitsbeauftragter (ISB)
   5.2 ISMS-Verantwortung der Leitungsebene
   5.3 Verantwortung aller Mitarbeitenden

6. Übergeordnete Grundsätze
   6.1 Risikoorientierter Ansatz
   6.2 Kontinuierliche Verbesserung (PDCA)
   6.3 Einbindung aller Mitarbeitenden
   6.4 Lieferanten- und Dienstleistermanagement

7. Einhaltung von Anforderungen
   7.1 Gesetzliche und regulatorische Anforderungen
   7.2 Vertragliche Anforderungen
   7.3 Interne Standards und Richtlinien

8. Konsequenzen bei Nichtbeachtung

9. Überprüfung und Aktualisierung

10. Inkrafttreten und Unterschriften

Anhang A – Hierarchie der IS-Dokumente
Anhang B – Verweise auf untergeordnete Richtlinien

IS-Leitlinie vs. untergeordnete Richtlinien: Die Dokumentenhierarchie

Ein häufiges Missverständnis: Die IS-Leitlinie regelt nicht alles. Sie steht an der Spitze einer Dokumentenhierarchie, die typischerweise drei Ebenen umfasst:

Ebene	Dokument	Inhalt	Aktualisierungshäufigkeit
Ebene 1	IS-Leitlinie	Strategische Grundsätze	1× jährlich
Ebene 2	Themenspezifische Richtlinien	Operative Regelungen je Themengebiet	Bei Änderungsbedarf
Ebene 3	Arbeitsanweisungen / Verfahren	Prozessschritte, technische Konfigurationen	Laufend

Typische Ebene-2-Richtlinien, die auf die IS-Leitlinie verweisen:

Passwortrichtlinie und Zugriffskontrollrichtlinie
Klassifizierung und Handhabung von Informationen
Mobile-Geräte-Richtlinie (BYOD, Remote Work)
Richtlinie zur Nutzung von Cloud-Diensten
Incident-Response-Richtlinie
Clean-Desk- und Clear-Screen-Richtlinie
Backup- und Recovery-Richtlinie
Lieferanten- und Dienstleisterrichtlinie

Erstellungsprozess in fünf Schritten

Schritt 1: Kontext und interessierte Parteien analysieren

ISO 27001 Kap. 4 verlangt vor der Erstellung der IS-Leitlinie eine Gap-Analyse des organisatorischen Kontexts: externe und interne Faktoren, interessierte Parteien (Kunden, Behörden, Lieferanten, Mitarbeiter) und deren Anforderungen. Diese Analyse bildet die inhaltliche Grundlage für die strategischen Ziele in der Leitlinie.

Schritt 2: Geltungsbereich festlegen

Der Geltungsbereich ist eine strategische Entscheidung. Er sollte so gefasst sein, dass alle sicherheitsrelevanten Prozesse und Systeme abgedeckt sind – und gleichzeitig handhabbar bleibt. Typische Ausnahmen: bestimmte Tochtergesellschaften mit eigenem ISMS, ausgelagerte Prozesse ohne wesentlichen Einfluss auf die Sicherheitslage.

Schritt 3: Entwurf erstellen und intern abstimmen

Der Entwurf wird durch den ISB oder eine externe Beratung erstellt und mit den relevanten Stakeholdern abgestimmt: Geschäftsführung, IT-Leitung, Personalleitung (wegen arbeitsrechtlicher Regelungen zu Konsequenzen bei Verstößen), ggf. Betriebsrat.

Schritt 4: Genehmigung durch die Leitungsebene

Die Genehmigung muss durch die oberste Leitung im Sinne von ISO 27001 Kap. 5.1 erfolgen – also durch Geschäftsführer oder Vorstand, nicht durch die IT-Abteilung. Ohne diese formale Genehmigung ist die Anforderung aus Kap. 5.2 nicht erfüllt.

Schritt 5: Kommunikation und Schulung

Die IS-Leitlinie muss intern kommuniziert und allen Mitarbeitenden zugänglich gemacht werden (Kap. 7.4 und 5.2). Empfehlenswert ist:

Veröffentlichung im Intranet mit nachweisbarer Kenntnisnahme (z. B. digitale Signatur im HR-System),
Einbindung in das Onboarding neuer Mitarbeiter,
jährliche Wiederholung im Rahmen von Security-Awareness-Schulungen,
komprimierte Version als Aushang oder Poster für Produktionsbereiche.

Häufige Fehler bei der Erstellung der IS-Leitlinie

Zu lang und zu detailliert: Eine IS-Leitlinie, die operationale Details wie konkrete Passwortlängen oder spezifische Tool-Vorgaben enthält, erfüllt ihre Funktion nicht. Sie wird zu einem Dokument, das niemand liest und das bei jeder technischen Änderung angepasst werden müsste. Ziel ist ein strategisches Dokument von maximal 4–6 Seiten.

Fehlende Leitungsunterschrift: Ohne nachweisbare Genehmigung durch die Geschäftsführung ist die ISO-27001-Anforderung nicht erfüllt. Auditoren prüfen dies explizit und im Regelfall als erste Maßnahme.

Kein Überprüfungsturnus oder keine tatsächliche Überprüfung: Dokumente, die in ihrer Versionhistorie zeigen, dass sie seit Jahren nicht aktualisiert wurden, werden im Audit als Non-Conformity bewertet. Jährliche Überprüfung muss dokumentiert werden.

Kein Bezug zu anwendbaren Anforderungen: Die Leitlinie muss explizit auf die für die Organisation relevanten rechtlichen und regulatorischen Anforderungen eingehen. Fehlt dieser Bezug, ist die Verpflichtungserklärung in Kap. 5.2 inhaltlich leer.

Mitarbeitende kennen das Dokument nicht: Selbst eine fachlich einwandfreie IS-Leitlinie verfehlt ihre Wirkung, wenn sie ausschließlich in einem SharePoint-Ordner schlummert. Kommunikation ist Pflicht – und muss dokumentiert sein.

IS-Leitlinie als Türöffner für die Gesamtorganisation

Ein unterschätzter strategischer Effekt der IS-Leitlinie: Sie ist das Instrument, das Informationssicherheit aus der IT-Abteilung auf die Ebene der Unternehmensführung hebt. Wenn die Geschäftsführung ein Dokument unterzeichnet, das Informationssicherheit als unternehmerische Priorität definiert, verändert das die interne Wahrnehmung des Themas – und damit die Bereitschaft, Ressourcen bereitzustellen und Maßnahmen zu unterstützen.

Für extern mandatierte ISBs ist die IS-Leitlinie daher oft der erste und wichtigste Schritt: Sie schafft die formale Grundlage für alle weiteren ISMS-Aktivitäten und signalisiert der Belegschaft, dass das Thema Chefsache ist.

Fazit: IS-Leitlinie als unabdingbares Fundament

Die Informationssicherheits-Leitlinie ist kurz, strategisch und wirkungsvoll – wenn sie richtig erstellt wird. Sie ist ISO-27001-Pflicht, NIS-2-Grundlage und internes Führungsinstrument zugleich. Wer ein ISMS aufbaut oder eine Zertifizierung anstrebt, beginnt hier.

Die Erstellung einer belastbaren, auditierungssicheren IS-Leitlinie erfordert normalerweise keine mehrwöchigen Projekte. Mit der richtigen Struktur, klarer Abstimmung mit der Leitungsebene und einem erfahrenen ISB ist sie in wenigen Tagen finalisiert und in Kraft gesetzt.

Sie möchten Ihre IS-Leitlinie erstellen oder Ihren bestehenden Dokumentenstand auf ISO-27001- und NIS-2-Konformität prüfen?

Unverbindliches Erstgespräch vereinbaren — 15 Minuten, kostenlos, konkreter Fahrplan.

Quellen und weiterführende Literatur

ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection, insbesondere Kap. 4, 5.1, 5.2, 7.4, 7.5
BSI: BSI-Standard 200-1 – Managementsysteme für Informationssicherheit (ISMS)
BSI: IT-Grundschutz-Kompendium, Baustein ISMS.1
Bundesamt für Sicherheit in der Informationstechnik: Leitfaden Informationssicherheit – IT-Grundschutz kompakt (aktuelle Fassung)
Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS-2UmsuCG), BGBl. 2024 I Nr. 410, § 30 BSIG
ISO/IEC 27003:2017 – Information security management systems – Guidance (Implementierungshinweise zu ISO 27001)

Informationssicherheits-Leitlinie erstellen: Muster, Inhalt & ISO-27001-Pflicht

Was ist eine Informationssicherheits-Leitlinie?