An welchen Standards sind diese Richtlinien ausgerichtet?

Das Set ist ISO/IEC 27001:2022 und ISO/IEC 27002:2022 zugeordnet sowie GDPR, EU NIS2, DORA, NIST SP 800-53 Rev. 5, COBIT 2019 und mehr.

Welche Rollen werden adressiert?

Geschäftsleitung, CISO, Compliance, IT, Personalwesen, Recht, Risiko, Prozessverantwortliche, sämtliches Personal und Drittanbieter sind in der gesamten Suite enthalten.

Ist dieses Set sowohl für IT- als auch für Nicht-IT-Funktionen geeignet?

Ja. Die Richtlinien umfassen IT-, operative, HR-, rechtliche und Geschäftsprozesse – über rein technische Maßnahmen hinaus.

Sind kontinuierliche Verbesserung und Audits abgedeckt?

Ja. Das Set enthält Richtlinien zu Audit, kontinuierlicher Überwachung der Einhaltung, Aktualisierungen, CAPA und Vorfallsnachbereitung.

Sind Ausnahmen und Risikoakzeptanz standardisiert?

Ausnahmemanagement und Risikoakzeptanz sind in jeder Richtlinie definiert und erfordern eine formale Überprüfung sowie eine regelmäßige Erneuerung.

Full Enterprise Pack (P01–P37)

Übersicht

Dieses umfassende Set enthält 37 unternehmensreife Richtlinien für Informationssicherheit, Datenschutz und Risikomanagement, ausgerichtet an ISO/IEC 27001:2022, globalen Vorschriften und bewährten Verfahren der Branche. Es deckt Führung, IT, Recht, Betrieb, Audit, Lieferanten, Cloud, Incident Response, Business Continuity/Disaster Recovery und mehr ab. Konzipiert für unternehmensweiten Compliance-Geltungsbereich, Auditbereitschaft und Unterstützung der kontinuierlichen Verbesserung.

End-to-End-Compliance-Rahmenwerk

Deckt jede ISO 27001:2022-Klausel, globale Vorschriften und alle kritischen IT-, Sicherheits- und Geschäftsbereiche ab.

Audit- und zertifizierungsbereit

Auditierbare Kontrollen und zugeordnete Anforderungen für ISO, NIS2, DORA, GDPR und mehr.

Abteilungsübergreifende Abdeckung

Enthält Richtlinien für IT, Sicherheit, Risiko, Audit und Compliance, Recht, Personalwesen, Betrieb und Lieferantenmanagement.

Richtlinien-Governance und Richtlinien-Lebenszyklusmanagement

Definiert Rollen, Verantwortlichkeiten, Versionierung und Prozesse der kontinuierlichen Verbesserung.

Durchsetzung und Ausnahmestandards

Strukturierte Eskalation, Disziplinarmaßnahmen und risikobasierte Ausnahmebehandlungs-Workflows über alle Bereiche hinweg.

Vollständige Übersicht lesen

Das Full Enterprise Pack (P01–P37) ist eine streng strukturierte, versionskontrollierte Suite aus 37 Richtlinien für Informationssicherheit und Risikomanagement. Sie deckt jede Kern-, Unterstützungs- und Spezialfunktion ab, die für eine ISO/IEC 27001:2022-Zertifizierung und die fortlaufende Einhaltung führender internationaler Normen und Vorschriften (GDPR, EU NIS2, DORA, NIST, COBIT und weitere) erforderlich ist. Jede Richtlinie folgt einem einheitlichen Format: Zweck, ISMS-Geltungsbereich (abteilungs-, system- oder prozessbasiert), Ziele, detaillierte Rollen und Verantwortlichkeiten, Governance, Anforderungen an Umsetzung und technische Maßnahmen, Risikobehandlung und Ausnahmeprozesse, Durchsetzung und Disziplinarmaßnahmen, Überprüfungs- und Aktualisierungsanforderungen sowie explizite Zuordnungen zu Normen und regulatorischen Klauseln. Querverweise auf unterstützende Richtlinien und Prozessdokumentation sind detailliert, um Nachvollziehbarkeit und eine kohärente ISMS-Struktur sicherzustellen. Die Richtlinien adressieren alle Dimensionen, die für Unternehmenssicherheit erforderlich sind: von strategischer ISMS-Governance (P1–P2), verhaltensbezogenen und Zugangskontrollmaßnahmen (P3–P7), Asset Management, Datenschutz und Datenklassifizierung bis hin zu fortgeschrittenen technischen Themen einschließlich Kryptografie, Schwachstellenmanagement, sicherer Entwicklung, Lieferantenrisiko/Abhängigkeiten von Drittparteien, Cloud, OT/IoT, Incident Response, Evidenzmanagement und Business Continuity/DR (BCP/DR). Spezialisierte Abdeckung umfasst Social Media/externe Kommunikation, Mobile/BYOD, Forensik sowie Audit und rechtliche/regulatorische Compliance. Die Struktur schreibt eine kontinuierliche Überprüfung vor (mindestens jährlich oder als Reaktion auf Sicherheitsvorfälle, Auditfeststellungen, regulatorische Änderungen), weist Richtlinienverantwortliche zu (CISO, Recht, Geschäftsleitung, prozessbezogene Verantwortliche) und integriert Verfahren für kontinuierliche Verbesserung und CAPA. Jede Richtlinie ermöglicht risikobasierte Ausnahmen und verlangt, dass diese formal dokumentiert, begründet, risikobewertet, genehmigt, protokolliert und in festen Intervallen revalidiert werden (vierteljährlich, halbjährlich oder bei Auslöserereignissen). Nichteinhaltung kann zu Korrekturmaßnahmen, Entzug von Zugriffsrechten, Disziplinarmaßnahmen, Beendigung, rechtlicher und regulatorischer Eskalation oder Vertragssuspension (für Drittparteien) führen. Audit, kontinuierliche Überwachung der Einhaltung, Evidenzmanagement und Forensik-Prozesse sind explizit kodifiziert und unterstützen sowohl interne als auch externe Zertifizierungen, regulatorische Audits und Untersuchungen. Alle technischen Richtlinien verweisen auf Anforderungen an Audit-Protokollierung, Integrationen von Sicherheitswerkzeugen (z. B. SIEM, MDM/CD, Schwachstellenscans, CSPM), Incident/Alerting und Dokumentenaufbewahrung. Im gesamten Set betonen wiederkehrende Themen die kontinuierliche Verbesserung, Verteidigungsfähigkeit und Nachvollziehbarkeit aller Kontrollaktivitäten – in voller Ausrichtung auf den Fokus von ISO/IEC 27001:2022 auf operative Integration, Rechenschaftspflicht der Führung und strukturierte Risikogovernance. Verknüpfungen zu geschäftlichen, rechtlichen und Datenschutzvorgaben (wie GDPR, DORA) sowie zu Organisationseinheiten stellen sicher, dass weder Silos noch Lücken entstehen. Die Richtlinien referenzieren und operationalisieren Schlüsselkonzepte wie das Prinzip der minimalen Berechtigung, Richtlinien-Lebenszyklusmanagement, Funktionstrennung und sicherheitsbewusstes Verhalten. Das Full Enterprise Pack ist darauf ausgelegt, die Bereitschaft für Zertifizierung, nachhaltige Compliance und Resilienz in dynamischen Risiko- und Regulierungslandschaften zu maximieren – wobei jede Richtlinie den anwendbaren Rahmenwerken zugeordnet und für eine unternehmensweite Umsetzung vorbereitet ist.

Inhalt

Vollständige ISMS-Abdeckung: P1–P37

Rechtliche/regulatorische Kontrollen und Datenschutz

Asset-, Cloud-, Lieferanten- und Entwicklungsrichtlinien

Audit & kontinuierliche Überwachung der Einhaltung (ISMS, GDPR, NIS2, DORA)

Incident Response, Forensik, BCP/DR

Mobile-, Fernzugriffs-, Social-Media- und OT/IoT-Sicherheit

Framework-Konformität

Framework	Abgedeckte Klauseln / Kontrollen
ISO/IEC 27001:2022	4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1
ISO/IEC 27002:2022	5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33
NIST SP 800-53 Rev.5	AC-1 AC-2 AC-4 AC-5 AC-6 AC-8 AC-17 AC-19 AU-2 AU-6 AU-8 AU-9 AU-12 BAI03 BAI05 BAI07 CA-2 CA-3 CA-5 CA-7 CM-2 CM-6 CP-1 CP-2 CP-9 CP-10 DSS01 DSS02 DSS04 DSS05 DSS06 IA-1 IA-2 IA-4 IA-5 IR-1 IR-4 IR-5 IR-6 IR-9 MEAO1 MEA03 MP-5 MP-6 PL-1 PL-2 PL-4 PL-8 PM-1 PM-5 PM-11 PM-13 PM-21 PM-23 PS-4 PS-5 PS-7 PT-2 PT-3 RA-3 RA-5 R-1 SA-3 SA-4 SA-9 SA-9(5)SA-10 SA-11 SA-15 SC-7 SC-12 SC-12(3)SC-13 SC-17 SC-28 SC-28(1)SC-32 SC-45 SI-2 SI-3 SI-4 SI-10 SR-3 SR-5
EU GDPR	Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78
EU NIS2	Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27
EU DORA	Article 5 Article 5(2)Article 6 Article 6(2)(d)Article 8 Article 9 Article 9(2)Article 10 Article 10(1)Article 10(2)(e)Article 10(2)(f)Article 11 Article 11(1)(c)Article 12 Article 13 Article 15 Article 16 Article 17 Article 17(1)Article 17(3)Article 19 Article 25 Article 28 Article 28(1)Article 28(2)Article 30
COBIT 2019	APO01 APO07 APO09 APO10 APO12 APO13.02 BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09.01 DSS01 DSS01.03 DSS01.04 DSS01.05 DSS01.07 DSS02 DSS04 DSS05 DSS05.01 DSS05.02 DSS05.04 DSS06.06 MEA01 MEA03
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Framework

Abgedeckte Klauseln / Kontrollen

ISO/IEC 27001:2022

4.2 5.1 5.2 5.3 5.10 6.1 6.2 7.2 7.3 8.1 8.32 9.1 9.2 9.3 10.1

ISO/IEC 27002:2022

5.1 5.2 5.3 5.5 5.7 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 6.1 6.2 6.3 6.5 6.7 7.7 8.1 8.2 8.3 8.11 8.12 8.13 8.15 8.16 8.17 8.20 8.21 8.22 8.24 8.25 8.26 8.27 8.28 8.29 8.30 8.31 8.32 8.33

NIST SP 800-53 Rev.5

EU GDPR

Article 5Article 6Article 17Article 24Article 25Article 28Article 30Article 32Article 33Article 34Article 39Recital 39Recital 49Recital 78

EU NIS2

Article 15 Article 20 Article 21 Article 21(2)Article 21(3)Article 23 Article 27

EU DORA

COBIT 2019

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Verwandte Richtlinien

Richtlinie zur Zeitsynchronisierung

Stellt eine genaue Zeitführung, Protokollkorrelation und Ereignisnachvollziehbarkeit in allen Umgebungen sicher.

Richtlinie zur sicheren Entwicklung

Definiert Prozesse für sichere Entwicklung, Programmierpraktiken und Quellcodeprüfpflichten für Software- und Systementwicklung.

Governance-Rollen- und Verantwortlichkeitsrichtlinie

Definiert die in diesem Dokument referenzierte Governance-Struktur und Befugnishierarchie.

Clean-Desk- und Clear-Screen-Richtlinie

Etabliert Kontrollen zum Schutz sensibler Informationen durch sichere Handhabung von Dokumenten und Arbeitsstationen.

Richtlinie zu Endpunktschutz und Schutz vor Schadsoftware

Verlangt technische Anti-Malware-Maßnahmen und Gerätehärtung für Endpunkte und mobile Geräte.

Richtlinie zur kontinuierlichen Überwachung der Einhaltung (Audit & Compliance)

Beschreibt Audit-Anforderungen, Zeitpläne, CAPA-Nachverfolgung und Aufbewahrung von Auditnachweisen für interne und externe Compliance.

P01 Informationssicherheitspolitik

Etabliert das übergreifende Sicherheitsprogramm und beschreibt Verantwortlichkeiten der Geschäftsleitung für Richtlinienfreigabe und strategische Aufsicht.

Richtlinie zur zulässigen Nutzung

Setzt sicherheitsbewusstes Verhalten und die zulässige Nutzung von Unternehmenswerten durch.

Zugriffskontrollrichtlinie

Operationalisiert zugriffsbezogene Kontrollen, die aus dieser übergeordneten Richtlinie abgeleitet sind.

P05 Change-Management-Richtlinie

Stellt sicher, dass Änderungen an Governance-Strukturen, Rollen oder Verantwortlichkeiten einer dokumentierten Genehmigung und änderungsbezogenen Risikobewertung unterliegen.

Richtlinie zum Risikomanagement

Liefert den risikobasierten Kontext für die Auswahl von Kontrollen und die Akzeptanz von Restrisikos.

Onboarding- und Offboarding-Richtlinie

Setzt Kontrollzuweisung sowie den Entzug von Zugriffsrechten während Änderungen im Personal-Lebenszyklus durch.

Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie

Stellt sicher, dass sämtliches Personal Sicherheitsverantwortlichkeiten kennt und die erforderliche Schulung zur Sensibilisierung für Informationssicherheit erhält, um Informations-Assets zu schützen.

Telearbeitsrichtlinie

Erweitert Bestimmungen der Richtlinie zur zulässigen Nutzung auf Fernzugriffs- und hybride Umgebungen.

Richtlinie zur Benutzerkonten- und Berechtigungsverwaltung

Steuert die technischen Kontrollen für Zugriffsbereitstellung und Deprovisionierung zur Unterstützung der Benutzerzugriffsverwaltung.

Richtlinie zum Asset Management

Unterstützt Nachverfolgung und sichere Handhabung von Geräten und Datenträgern und verknüpft Asset-Klassifizierung mit Kontrollen.

Richtlinie zur Datenklassifizierung und Kennzeichnung

Etabliert verbindliche Regeln zur Datenklassifizierung für Assets, die Kennzeichnung, Handhabung und Entsorgungsverfahren vorgeben.

Datenaufbewahrungsrichtlinie und Entsorgungsrichtlinie

Definiert Aufbewahrung und sichere Entsorgung für Aufzeichnungen und stellt die Einhaltung rechtlicher und geschäftlicher Anforderungen sicher.

Richtlinie zu Backup und Wiederherstellung

Etabliert Anforderungen an Datensicherungssysteme und Notfallwiederherstellung zur Unterstützung operativer Resilienz und Integrität.

Richtlinie zu Datenmaskierung und Pseudonymisierung

Stellt Entscheidungen zu Maskierung und Pseudonymisierung für Datenschutz und Risikominderung sicher.

Richtlinie zu Datenschutz und Data Privacy

Liefert grundlegende Anforderungen an Datenschutz und Data Privacy und integriert Datenschutz und Datenminimierung in allen Abläufen.

Richtlinie zu kryptografischen Kontrollen

Beschreibt Verschlüsselung, Schlüsselmanagement und Kryptografie-Anforderungen für alle Unternehmenssysteme und Datenzustände.

Richtlinie zu Schwachstellenmanagement und Patch-Management

Definiert Anforderungen an Patching, Abhilfemaßnahmen-SLAs und Schwachstellenmanagement für technische Resilienz.

Richtlinie zur Netzwerksicherheit

Etabliert Anforderungen zum Schutz interner und externer Netzwerke und zur Sicherstellung sicherer Kommunikation.

Protokollierungs- und Überwachungsrichtlinie

Spezifiziert Protokollerzeugung, Überwachung und zentralisierte Warnmeldungsanforderungen für alle ISMS-abgedeckten Systeme.

Richtlinie zu Anwendungssicherheitsanforderungen

Schreibt technische Anforderungen für Sicherheit auf Anwendungsebene, Authentifizierung und sichere Integration vor.

Lieferanten- und Drittparteien-Sicherheitsrichtlinie

Definiert die Informationssicherheitsanforderungen für die Etablierung, Steuerung und Aufrechterhaltung sicherer Beziehungen zu Drittanbieter-Lieferanten und Drittdienstleistern.

Richtlinie zur Cloud-Nutzung

Etabliert Anforderungen für sichere, konforme und verantwortungsvolle Nutzung von Cloud-Rechenressourcen-Diensten und -Plattformen.

Richtlinie zur ausgelagerten Entwicklung

Schreibt SDLC-Praktiken, Vertragsklauseln und Code-Sicherheitsverpflichtungen für alle Software-/Systementwicklungen durch externe Lieferanten vor.

Richtlinie zu Testdaten und Testumgebungen

Definiert Anforderungen für die Verwaltung von Testumgebungen und Testdaten, um Sicherheit, Vertraulichkeit und operative Integrität sicherzustellen.

Incident-Response-Richtlinie (P30)

Etabliert Struktur und Prozesse für Vorfallserkennung und -eskalation, Vorfallmeldung, Triage und Vorfallsnachbereitung.

Richtlinie zu Beweissicherung und Forensik

Etabliert Verfahren für digitale Beweissicherung, Aufbewahrung und rechtliche/compliancebezogene Chain-of-Custody.

Richtlinie zu Business Continuity und Disaster Recovery

Definiert organisatorische Maßnahmen für Kontinuität, Resilienz sowie Planung und Durchführung der Notfallwiederherstellung.

Richtlinie zu mobilen Geräten und BYOD

Definiert Kontrollen für die Nutzung mobiler und persönlicher Geräte beim Zugriff auf Unternehmenssysteme und Daten.

Richtlinie zur IoT/OT-Sicherheit

Etabliert technische und Governance-Anforderungen für IoT-Geräte und Operational-Technology-(OT)-Systeme, um operative oder Cyberangriffe zu verhindern.

Richtlinie zu Social Media und externer Kommunikation

Etabliert Anforderungen und Beschränkungen für ausgehende Kommunikation, öffentliche Mitteilungen und offizielle Erklärungen.

Richtlinie zu rechtlicher und regulatorischer Compliance

Definiert das rechtliche, regulatorische und vertragliche Compliance-Rahmenwerk der Organisation und die Integration in ISMS-Abläufe.

Über Clarysec-Richtlinien - Full Enterprise Pack (P01–P37)

Wirksame Sicherheitsgovernance erfordert mehr als nur Worte; sie verlangt Klarheit, Rechenschaftspflicht und eine Struktur, die mit Ihrer Organisation skaliert. Generische Vorlagen scheitern häufig und erzeugen Unklarheit durch lange Absätze und undefinierte Rollen. Diese Richtlinie ist als operatives Rückgrat Ihres Sicherheitsprogramms konzipiert. Wir weisen Verantwortlichkeiten den spezifischen Rollen zu, die in einem modernen Unternehmen vorkommen, einschließlich CISO, IT- und Sicherheitsteams sowie relevanter Ausschüsse, und stellen so klare Rechenschaftspflicht sicher. Jede Anforderung ist eine eindeutig nummerierte Klausel (z. B. 5.1.1, 5.1.2). Diese atomare Struktur macht die Richtlinie leicht umsetzbar, ermöglicht Audits gegen spezifische Kontrollen und erlaubt eine sichere Anpassung, ohne die Dokumentintegrität zu beeinträchtigen – und verwandelt sie von einem statischen Dokument in ein dynamisches, umsetzbares Rahmenwerk.

Häufig gestellte Fragen

Von Führungskräften – für Führungskräfte

Diese Richtlinie wurde von einer Sicherheitsführungskraft mit über 25 Jahren Erfahrung in der Implementierung und Auditierung von ISMS-Frameworks für globale Unternehmen verfasst. Sie ist nicht nur als Dokument gedacht, sondern als belastbares Rahmenwerk, das einer Prüfung durch Auditoren standhält.

Verfasst von einem Experten mit folgenden Qualifikationen:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Abdeckung & Themen

🏢 Zielabteilungen

IT Sicherheit Compliance Risiko Audit Recht Geschäftsleitung Beschaffung Governance Lieferantenmanagement

🏷️ Themenabdeckung

P01 Informationssicherheitspolitik Rollen- und Verantwortlichkeitsmatrix Risikomanagement Systementwicklungslebenszyklus Lieferantenrisiko Compliance Business Continuity Management Security Operations Center (SOC) Sicherheitsprüfung Sicherheitskennzahlen Rechenschaftspflicht der Führung Rechtliche Compliance Sicherheitsgovernance