+49 152 03083 103 monka@vialevo.de

Dokumenten-Management in der ISO 27001

von | Apr. 11, 2025 | Allgemein, IT-Sicherheit

iso 27001 dokumenten-management

Dokumente in der ISO 27001: Ein Überblick

Die Norm stellt nicht nur Anforderungen an die Informationssicherheitsprozesse, sondern betont ausdrücklich die Bedeutung einer umfassenden und strukturierten Dokumentation. Dieser Überblick zeigt mehr als die Einhaltung von Compliance-Vorgaben. eine richtige Dokumentation ist das Rückgrat des ISMS, indem es alle wesentlichen Prozesse, Maßnahmen und Nachweise systematisch abbildet. Der Erfolg eines ISMS steht und fällt mit der Qualität des Dokumentations- und Dokumentenmanagements.

 

Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
iso 27001 mindmap

In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.

Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON


Grundprinzipien der ISO 27001 Dokumentation und ihres Managements

Die Dokumentation ist eine zentrale Anforderung des ISO 27001 Standards. Für eine Zertifizierung nach dieser internationalen Norm müssen alle Prozesse, Regeln und Verfahren, die Teil des ISMS sind, schriftlich festgehalten werden, um deren ordnungsgemäße Umsetzung nachvollziehbar zu machen. Dabei dienst die Dokumentation unter der ISO 27001 mehreren Zwecken:

  • Nachweis der Konformität: Die Dokumente sind die Grundlage für externe und interne Audits.
  • Steuerung und Kontrolle: Durch dokumentierte Verfahren wird sichergestellt, dass Prozesse einheitlich ausgeführt und überwacht werden.
  • Kontinuierliche Verbesserung: Die Dokumentation ermöglicht eine strukturierte Analyse und Optimierung des ISMS.

 

Kernanforderungen

Die ISO 27001 unterscheidet hier zwischen zwei Arten von Dokumenten:

  • Dokumentierte Informationen: Richtlinien und Verfahren, sowie Prozesse, die das ISMS definieren und steuern.
  • Aufzeichnungen: Nachweise, die zeigen, dass Maßnahmen umgesetzt und Ergebnisse erzielt wurden.

Darüber hinaus fordert die Norm ein effektives Dokumentenmanagementsystem mit folgenden Merkmalen:

  1. Versionierung und Aktualität: Jedes Dokument muss eindeutig identifizierbar sein, und es muss nachvollziehbar sein, welche Version aktuell gültig ist.
  2. Zugriffskontrolle: Dokumente müssen vor unbefugtem Zugriff geschützt werden, während autorisierte Personen leicht darauf zugreifen können.
  3. Lenkung und Lebenszyklus: Prozesse zur Erstellung, Überprüfung, Freigabe, Archivierung und Löschung müssen definiert und umgesetzt werden.

 

ISO 27001 Dokumentation: Der strukturelle Aufbau

Beachten Sie: Die ISO 27001 schreibt keine spezifischen Formate oder Vorlagen vor, sondern überlässt es den Organisationen, eine geeignete Struktur zu entwickeln. Dennoch gibt es etablierte Best Practices, die eine logische und gut organisierte Dokumentation fördern.

Gemeint ist hiermit eine Hierarchie der Dokumentation

Die Dokumentation kann in folgende Ebenen unterteilt werden:

  1. Strategische Dokumente: Diese legen die Leitlinien und Ziele der Informationssicherheit fest.
    – z.B. Informationssicherheitsleitlinie: Das zentrale Dokument, das die Vision und Strategie beschreibt.
    – z.B. Fachliche IS-Richtlinien: (siehe auch den speziellen Beitrag xxxxxx)
    – z.B. Anwendungsbereich des ISMS: Definiert die Grenzen und den Kontext des ISMS.
  2. Taktische Dokumente: Diese Ebene umfasst Verfahren und Richtlinien, die spezifische Prozesse und Verantwortlichkeiten regeln.
    – Beispiele: Richtlinien zur Zugriffssteuerung, Backup-Richtlinien.
  3. Operative Dokumente: Detaillierte Arbeitsanweisungen und Handbücher, die die tägliche Umsetzung der Sicherheitsmaßnahmen unterstützen.
    – Beispiele: Schritt-für-Schritt-Anleitungen für Systemwartung, Vorfallmanagementpläne.
  4. Nachweisdokumente: Dokumentationen und Berichte, die die Einhaltung und Wirksamkeit der Maßnahmen belegen.
    – Beispiele: Prüfprotokolle, Auditberichte, Risikoanalysen.

 

Dokumentationsanforderungen in der ISO 27001: Pflicht- und zusätzlich relevante Dokumente

Die ISO 27001 spezifiziert bestimmte Dokumente, die für eine erfolgreiche Zertifizierung zwingend erforderlich sind. Darüber hinaus gibt es relvante Dokumente, die zwar nicht vorgeschrieben, aber angeraten sind.

Pflichtdokumente

Als „mindestens erforderlich dokumentierte Informationen“ zählen im Rahmen eines ISMS (geordnet nach Kapiteln aus der übergeordneten Struktur der Norm) folgende:

4.1 Darstellung Organisatorischer Kontext
4.2.1 Interessierte Parteien und ihre Bedürfnisse und Erwartungen
4.2.2 Rechtliche und regulatorische Anforderungen
4.3. Geltungsbereich des ISMS (Ausnahmen vom Geltungsbereich und ihre Erklärungen)
5.1. und 5.2. Führung, Engagement und ISMS-Strategie
5.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse (z.B. als Organigramm)
6.1.2 Risikobewertung der Informationssicherheit
6.1.3 Behandlung von Informationssicherheitsrisiken in Verbindung mit SoA (Anhang A von ISO 27001:2022)
6.2 Informationssicherheitsziele und Planung zu deren Erreichung (ISMS Policy)
7.1 Ressourcenplanung für ISMS
7.2 Erforderliche Kompetenz des Personals und Nachweis der Kompetenz
7.3 Bewusstsein für die ISMS-Politik und Nachweise dafür.
7.4 Interne und externe Kommunikation (z.B. zusammen mit einer Kommunikationsmatrix)
7.5 Politik für dokumentierte Informationen
8.1 Betriebsplanungsmaßnahmen (Nachweise finden sich in der Implementierung für die Controls von Anhang A)
8.2 Politik zur Bewertung von Informationssicherheitsrisiken (Kriterien und ggf. Nachweise siehe 6.1.2)
8.3 Politik zur Behandlung von Informationssicherheitsrisiken (zu Kriterien und ggf. Nachweisen siehe 6.1.3)
9.1 Überwachung, Messung, Analyse und Bewertung
      a) was überwacht und gemessen werden muss; einschließlich der Prozesse und Kontrollen der Informationssicherheit.
      b) die Methoden für die Überwachung, Messung, Analyse und Bewertung, soweit zutreffend
      c) wann und von wem die Überwachung und Messung durchgeführt werden soll;
      d) wann und von wem die Ergebnisse der Überwachung und Messung zu analysieren und zu bewerten sind.
9.2.2 Internes Auditprogramm
9.2.2 Interne Auditergebnisse
9.3.2 & 9.3.3 Managementbewertung und die dokumentierten Ergebnisse der Managementbewertung
10.1 Kontinuierliche Verbesserung
10.2 Nichtkonformität und Abhilfemaßnahmen
        a) die Art der Nichtkonformitäten und alle daraufhin ergriffenen Maßnahmen;
        b) die Ergebnisse der Korrekturmaßnahme

 

Weitere relevante Dokumente

Nicht zwingende, aber empfohlene Dokumente, die die Effizienz und Konsistenz des ISMS verbessern:

A 5.10 Richtlinie zur zulässigen Nutzung von Informationen
A 5.11 Richtlinie zur Rückgabe von Vermögenswerten
A 5.12-13 Richtlinie zur Klassifizierung und Kennzeichnung von Informationen
A 5.14 Richtlinie zur Übertragung von Informationen
A 5.15 Zugangssteuerung-Kennwort-Richtlinie
A 5.19 Lieferanten-Richtlinie
A 5.23 Richtlinie zur Nutzung von Cloud-Diensten
A 5.24-5.29 Richtlinie zum Incident-Management
A 5.30a Business Continuity Richtlinie
A 5.30b Notfallhandbuch
A 5.32 Richtlinie zum Schutz an geistigem Eigentum
A 5.33 Richtlinie zum Umgang mit Aufzeichnungen
A 5.34 Richtlinie zum Schutz personenbezogener Daten
A 5.9 Richtlinie zur Inventarisierung von Informationen
A 6.7 Telearbeit, Mobiles Arbeiten & Homeoffice-Richtlinie
A 7.10 Richtlinie zur Handhabung von Speichermedien
A 7.6 Richtlinie zur Arbeit in sicheren Bereichen
A 7.7 Clean Desk und Clear Screen Richtlinie
A 8.1 Bring your Own Device und Endgeräte-Richtlinie
A 8.10 Richtlinie zur Löschung von Informationen
A 8.13 Richtlinie zur Datensicherung und Backups
A 8.15 Richtlinie Protokollierung und Umgang mit Log-Files
A 8.20 Richtlinie zur Sicherheit in Netzwerken
A 8.24 Richtlinie zum Einsatz von Kryptographie
A 8.25 Richtlinie zur Entwicklungssicherheit
A 8.32 Change-Management Richtlinie
A 8.8 Richtlinie zu technischen Schwachstellen

 

Herausforderungen und Fallstricke im Dokumentenmanagement

Ein effektives Dokumentenmanagement im Kontext der ISO 27001 ist anspruchsvoll. Typische Herausforderungen sind:

Komplexität der Dokumentation: Die Balance zwischen ausreichender Detailtiefe und praktischer Handhabung ist schwer zu erreichen. Zu wenig dokumentierte Details gefährden die Konformität, während überdokumentierte Prozesse schwer zu pflegen und umzusetzen sind.
Fragmentierung von Dokumenten: Ohne klare Struktur und zentrale Ablage können wichtige Dokumente unauffindbar sein oder in veralteten Versionen verwendet werden.
Anpassung an den Unternehmenskontext: Ein häufiges Problem ist die Übernahme von Standardvorlagen, die nicht an den spezifischen Kontext des Unternehmens angepasst sind.

 

Best Practices für das Dokumentenmanagement

Eine erfolgreiche Umsetzung der Dokumentationsanforderungen basiert auf folgenden Best Practices:

Einheitliche Struktur verwenden: Entwickeln Sie ein standardisiertes Format für alle ISMS-Dokumente. Dies fördert Konsistenz und Verständlichkeit.
Zentrale Plattform nutzen: Verwenden Sie ein Dokumentenmanagementsystem (DMS), das Versionierung, Zugriffskontrolle und Workflows unterstützt.
Regelmäßige Überprüfung: Führen Sie regelmäßige Audits durch, um die Aktualität und Angemessenheit der Dokumentation sicherzustellen.
Schulungen durchführen: Stellen Sie sicher, dass alle Mitarbeiter, die mit der Dokumentation arbeiten, den Zweck und die Anforderungen der ISO 27001 verstehen.

 

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.

 

ISO 27001 Verfahrensanweisungen
ISO 27001-Haus Prozesse_Verfahren
Dr. Michael Monka ist externer Lead Auditor des TÜV Rheinland für die ISO 27001 und KRITIS.

Für weitere Informationen ...

5 + 8 =