Regeln auf Vorrat

đ Was beobachte ich?
Eine Richtlinie verlangt, den Bildschirm zu sperren â das System tut es längst nach fĂźnf Minuten. Eine Regel schreibt vor, die TĂźr zum Serverraum zu schlieĂen â die alle ohnehin zuziehen. Eine zwĂślfseitige Nutzungsvereinbarung unterschreiben alle, niemand liest sie. Ich erlebe, wie fĂźr fast jeden Fall eine Regel entsteht â meist zur Beschwichtigung der PrĂźfenden, selten zur Steuerung.
đŻ Was soll eigentlich erreicht werden?
Das Ziel ist legitim: Verlässlichkeit, Nachvollziehbarkeit, Schutz vor Willkßr. Ein klarer Soll-Zustand schafft Orientierung; auf Missstände muss man reagieren dßrfen.
â ď¸ Warum funktioniert das nicht?
Vor jeder Regel steht eine selten gestellte Frage: Gibt es Ăźberhaupt einen Regelungsbedarf? Wer aus Verunsicherung reguliert, bekämpft Symptome statt Risiken. ISO 27001 verlangt das nicht â die Norm ist risikobasiert und fordert seit 2022 weniger Dokumente. Eine Regel ohne Bedarf erzeugt ungelesenes Papier und schwächt die Kultur, die sie schĂźtzen sollte.
đĄ Was funktioniert besser?
Vor jede Regel stelle ich eine Frage: Belegt die gelebte Praxis, dass es ohne sie funktioniert â oder verlasse ich mich nur auf GlĂźck? Das ist kein Ruf nach Beliebigkeit: Wo Kultur den Beleg nicht trägt, ist die Regel Ăźberfällig; wo sie ihn trägt, steuert weniger Vorschrift stärker.
đđ
- ISO/IEC 27001:2022 â Information security management systems https://www.iso.org/standard/27001
- Liste der verpflichtenden Dokumente (ISO 27001:2022, Advisera) https://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-revision/
- ISO 27001 Clause 7.5.1: Documented Information (HighTable) https://hightable.io/iso-27001-clause-7-5-1-documented-information/