August 27, 2025

Leitlinie zur Informationssicherheit

Struktur, Inhalt & Muster zum Download

Was wäre, wenn ein Unternehmen morgen Opfer eines gezielten Angriffs wird – und niemand weiß, wer was zu tun hat?

Genau hier setzt die Leitlinie zur Informationssicherheit an: Sie ist wie ein Leuchtturm bei Nebel, sie zeigt die Richtung, wenn es stürmisch wird. Als strategisches Fundament eines wirksamen Informationssicherheitsmanagementsystems (ISMS) beschreibt sie den angestrebten Zielzustand, gibt Orientierung und setzt den Rahmen für alle Sicherheitsaktivitäten in der Organisation.

Doch was gehört konkret hinein? Und wie kann Künstliche Intelligenz (KI) dabei helfen, die Leitlinie nicht nur zu schreiben, sondern sie zum Leben zu erwecken? Dieser Beitrag richtet sich an Verantwortliche für Informationssicherheit, ISOs, CISOs, das Top-Management und alle, die sich mit oder ohne Vorerfahrung für Informationssicherheit und den Aufbau eines ISMS interessieren.

Hinweis: Zur Vereinfachung verwende ich den Begriff “Top-Management” als Sammelbezeichung für Geschäftsführung, Vorstand und andere leitende Funktionen auf oberster Ebene.

Was ist der Zweck einer Leitlinie zur Informationssicherheit?

Stellen Sie sich vor, die Leitlinie zur Informationssicherheit wäre eine Landkarte: Sie zeigt nicht jeden Weg im Detail, aber sie macht klar, wohin die Reise gehen soll und was unterwegs besonders wichtig ist.

Sie dokumentiert das „Was“ und „Warum“, nicht das „Wie“. Sie bildet den langfristigen Rahmen für alle ISMS-Maßnahmen und unterstützt zentrale Unternehmensziele wie Vertrauen, Resilienz oder Compliance.

Eine Leitlinie zur Informationssicherheit dokumentiert die strategischen Zielsetzungen im Bereich Informationssicherheit und wird in der Norm auch als Politik bzw. Informationssicherheitspolitik bezeichnet.

Was sollte in einer Leitlinie zur Informationssicherheit enthalten sein?

In jedem Abschnitt der Leitlinie sollten gezielte Fragestellungen formuliert sein, die von bestimmten Personen einer Organisation verbindlich beantwortet werden sollten.

1. Zweck

  • Warum wird das ISMS etabliert?
  • Welche strategischen Ziele sollen unterstützt werden?
  • Wer ist gefragt? Top-Management, CISO/ISO

2. Anwendungsbereich

  • Für welche Bereiche und Ressourcen gilt das ISMS?
  • Wer ist gefragt? CISO, ISO

3. Führungserklärung

  • Warum ist Informationssicherheit Chefsache?
  • Welche Bedeutung misst das Top-Management dem Thema bei?
  • Wer ist gefragt? Top-Management

4. Grundsätze der Informationssicherheit

  • Welche Werte und Prinzipien gelten?
  • Zum Beispiel: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität

5. Sicherheitsziele

  • Welche konkreten Sicherheitsziele sollen erreicht werden – technisch, organisatorisch und kulturell?
  • Wer ist gefragt? CISO, ISO

6. Rechtliche & vertragliche Vorgaben

  • Welche gesetzlichen, regulatorischen und vertraglichen Anforderungen gelten?
  • Wer ist gefragt? Top-Management, Compliance-Manager

7. Sicherheitsorganisation & Ressourcen

  • Wie ist das ISMS organisatorisch verankert?
  • Wer ist verantwortlich?
  • Welche Ressourcen werden bereitgestellt?
  • Wer ist gefragt? Top-Management, CISO, ISO

8. Risikomanagement

  • Wie werden Informationssicherheitsrisiken identifiziert, bewertet, behandelt und dokumentiert?
  • Wer ist gefragt? ISO, Risikoeigner

9. Umgang mit Sicherheitsvorfällen

  • Welche Grundprinzipien gelten bei Erkennung, Meldung und Bearbeitung von Vorfällen?
  • Wer ist gefragt? ISO, IT, alle Mitarbeitenden

10. Mitwirkungspflichten

  • Welche Rolle spielen Mitarbeitende bei der Umsetzung der Sicherheitsstrategie?
  • Wer ist gefragt? Alle Mitarbeitenden, Top-Management

11. Kommunikation & Sensibilisierung

  • Wie wird Sicherheitsbewusstsein aufgebaut und im Unternehmen verankert?
  • Wer ist gefragt? Top-Management, CISO/ISO

12. Durchsetzung

  • Was passiert bei Verstößen gegen die Richtlinie?
  • Welche Konsequenzen sind vorgesehen?
  • Wer ist gefragt? Top-Management, HR, Compliance

13. Kontinuierliche Verbesserung

  • Wie wird das ISMS regelmäßig geprüft und weiterentwickelt?
  • Wer ist gefragt? Top-Management, CISO/ISO

14. Gültigkeit & Revision

  • Wann tritt die Leitlinie in Kraft?
  • Wie oft wird sie überprüft und ggf. überarbeitet?
  • Wer ist gefragt? CISO, Dokumentationsteam

Und jetzt kommt die KI ins Spiel – aber wie?

Denken wir wieder in Bildern: Eine KI ist wie ein gut geschulter Co-Pilot, der nicht selbst fliegt, aber genau herausfinden kann, welche Route sicher und effizient ist.

Wie sieht das konkret aus?

Ein Unternehmen – etwa ein Finanz-Start-up oder ein Energieversorger – muss seine Leitlinie zur Informationssicherheit regelmäßig anpassen. Gründe dafür können sein:

  • Neue gesetzliche Vorgaben (z. B. NIS2-Richtlinie oder DORA)
  • Einführung neuer Technologien
  • Veränderungen in der Unternehmensstrategie

Eine KI kann unterstützen, indem sie:

  • Automatisch erkennt, welche Abschnitte betroffen sind
  • Passende Vorschläge zur Anpassung macht
  • Den Text im Stil einheitlich hält
  • Die Inhalte an die Ziele des ISMS anpasst

Was bringt das konkret?

  • Vorlagen automatisch generieren – Sprachmodelle schlagen auf Basis der ISO/IEC 27001 passende Textbausteine vor.
  • Prüfung auf Normkonformität – KI erkennt fehlende Abschnitte und prüft gegen ISO 27001:2024.
  • Versionierung & Änderungsverfolgung – Intelligente Tools dokumentieren, was sich wann und warum geändert hat.
  • Audits vorbereiten – KI erkennt Schwachstellen und liefert relevante Nachweise.
  • Wissenszugang erleichtern – Mitarbeitende erhalten per interaktivem Q&A-Tool schnell Orientierung.
  • Risikobasierte Empfehlungen – KI verknüpft Echtzeitdaten mit Sicherheitszielen und schlägt präventive Maßnahmen vor.

Und die Verantwortung?

Die Verantwortung bleibt – ganz im Sinne der ISO 27001 – bei den Rollen im Unternehmen. Die KI hilft lediglich, diese Verantwortung einfacher und wirksamer umzusetzen.

Fazit

Die Leitlinie zur Informationssicherheit ist kein reines Audit-Dokument, sondern das zentrale Steuerungsinstrument für Informationssicherheit. Mit den richtigen Tools – inklusive KI – wird sie nicht nur effizienter erstellt, sondern auch im Alltag tatsächlich genutzt.

Du willst deine eigene Leitlinie fit machen, strategisch, verständlich und audit ready? Dann lass uns gerne sprechen.

Autoren:
Rojda Akpolat
Teilen
Auf LinkedIn lesen
Auf Medium lesen

Hol dir jetzt die Vorlage für deine Leitlinie zur Informationssicherheit!

Spare dir unnötige Recherche: Unsere Musterleitlinie bietet dir Struktur, Beispiele und direkt nutzbare Inhalte.

Hinweis: Mit der Eingabe deiner Kontaktdaten erlaubst du uns, dich zu unseren Services und Angeboten zu kontaktieren.
Thank you!
Your submission has been received!
Download document
Oops! Something went wrong while submitting the form.

Enjoy Security without complicating it.

© 2025 Secobo GmbH.  All rights reserved.

HomeKontaktImpressumRechtliche Hinweise