Informationssicherheit ISO 27001

3 Min

Dokumente für die Zertifizierung nach ISO 27001

DataGuard
DataGuard

Kostenlosen Beratungstermin vereinbaren

Dokumentation ist eine der zentralen Anforderungen des Standards ISO 27001. Wenn Sie die Zertifizierung nach der internationalen Norm anstreben, müssen Sie alle Prozesse, Regeln und Verfahren, die zu Ihrem ISMS gehören, dokumentieren, um deren angemessene Umsetzung sicherstellen zu können.

Das Wichtigste in Kürze

  • Wenn Sie sich nach ISO 27001 zertifizieren lassen wollen, schreibt Ihnen der Standard vor, welche Aspekte Ihrer Arbeit Sie dokumentieren müssen.
  • Offizielle Vorlagen oder Richtlinien liefert der Standard nicht. Das bietet Ihnen einen gewissen Grad an Flexibilität, bedeutet aber auch zusätzlichen Aufwand.
  • Wie viel Sie dokumentieren müssen, hängt von der Größe und Struktur Ihres Unternehmens ab.
  • Auch nach der Zertifizierung nach ISO 27001 müssen die Dokumente so aufbewahrt und verwaltet werden, dass die Regeln jederzeit nachprüfbar sind.

Welche Dokumente sind für eine Zertifizierung nach ISO 27001 erforderlich?

Der Standard verlangt die Dokumentation folgender Aspekte:

  • Anwendungsbereich des ISMS
  • Framework mit Informationssicherheitsrichtlinien
  • Verfahren zur Risikobewertung der Informationssicherheit
  • Verfahren zur Bewertung und Behandlung von Informationssicherheitsrisiken
  • Statement of Applicability (SoA, Erklärung zur Anwendbarkeit)
  • Ziele zur Informationssicherheit
  • Nachweis der Kompetenz
  • Informationen, die aus Sicht der Organisation für die Wirksamkeit des ISMS erforderlich sind
  • Kontrolle und Planung von Tätigkeiten
  • Ergebnisse der Risikobewertung zur Informationssicherheit
  • Ergebnisse, die aus der Behandlung der Informationssicherheitsrisiken hervorgegangen sind
  • Nachweise zur Ergebnisüberwachung und -messung
  • Verfahrensweise für interne Audits
  • Nachweise zum Audit-Programm sowie seinen Audit-Ergebnissen
  • Nachweise zu den Ergebnissen von Management Reviews
  • Nachweise zu der Art aufgetretener Nichtkonformitäten und aller daraufhin getroffenen Maßnahmen
  • Nachweise zu den Ergebnissen sämtlicher Korrekturmaßnahmen, die getroffen wurden

Der Standard unterscheidet dabei zwischen Dokumenten, die explizit gefordert sind, zum Beispiel das Statement of Applicability, und denjenigen, die sinnvoll, aber nur indirekt nötig sind. Verlangt wird nach dem Standard ein Set an Regeln, das den Bedürfnissen eines Unternehmens entspricht. Das ist nichts anderes als eine Aufforderung, sich Gedanken zu machen, eigene Regeln zu überprüfen und das umzusetzen, was notwendig und vernünftig ist.

 

 

Gibt es Vorlagen oder Richtlinien für die Dokumente nach ISO 27001?

Der Standard schreibt nichts vor und bietet auch keine Vorlagen zum Download. Es steht den Unternehmen frei, die eigenen Dokumente zu gestalten, etwa im Corporate Design, falls es die Marketingabteilung wünscht.

Die Dokumente sind immer individuell, da jedes Unternehmen, auch innerhalb einer Branche, anders organisiert ist. Jede Struktur fordert andere Richtlinien und damit andere Unterkapitel in der Dokumentation.

Wir bieten Ihnen Vorlagen, allgemeine, dem Standard gemäße, optisch reduzierte Dokumente, die Sie an Ihre Bedürfnisse anpassen können, und beraten Sie gerne.

Was passiert, wenn ich ein Dokument nicht vorweisen kann?

Wie wichtig eine vollständige Dokumentation ist, hängt von der Phase der Zertifizierung ab. Im ersten Teil des Audits, dem Stage One, wird geprüft, ob das ISMS aktiv wird und die erforderlichen Unterlagen generiert. Daraus leitet sich ab, ob das Unternehmen reif ist für die Zertifizierung oder nicht. Im zweiten Teil des Audits, der vor Ort stattfindet, wird nur noch geprüft, ob die Praxis den Regeln entspricht.

Einzelne Dokumente können Sie in der Zeit bis zum zweiten Teil nachreichen. Fehlen jedoch viele oder wichtige Unterlagen, könnte der Eindruck entstehen, dass Ihr ISMS nicht wirksam ist und auch keine Chance hat, jemals wirksam zu werden. Der Auditor könnte Ihnen die Zertifizierung verweigern.

Wir empfehlen Ihnen, sich ausreichend Zeit für die Zusammenstellung der Dokumente nach ISO 27001 zu nehmen.

Wie lange habe ich Zeit dafür?

Zwischen den beiden Teilen des Audits müssen mindestens sechs Wochen liegen, maximal sechs Monate. Das ist die theoretische Vorgabe.

Praktisch hängt es sehr stark davon ab, welches Dokument fehlt. Handelt es sich um eines der Kernelemente, kann dies zu einem echten Problem in Ihrem Unternehmen und schon zu einer Abweichung vom Standard führen. Wenn Sie Risikomanagement betreiben, dies jedoch nicht dokumentieren können, ist die Nachvollziehbarkeit Ihres gesamten Systems infrage gestellt.

Normalerweise wird in den Audits die Praxis stärker bewertet als der schriftliche Teil. Die meisten Auditoren kommen aus der IT-Praxis und legen mehr Wert darauf, dass die Dinge laufen, als darauf, dass sie bis auf den letzten Punkt dokumentiert sind.

Aber es ist auch in Ihrem eigenen Interesse, kein Risiko einzugehen und die wichtigsten Dokumente schnellstmöglich nachzuliefern.

Wer ist für die Beschaffung oder Erstellung der Dokumente nach ISO 27001 verantwortlich?

Das hängt stark davon ab, wie Ihr Unternehmen organisiert ist. Der CISO oder der Verantwortliche für Sicherheit zeichnet dafür verantwortlich, aber die Dokumente können auch durch andere Abteilungen oder externe Berater bereitgestellt werden.

In modernen Organisationen hat die Abteilung für Sicherheit drei grundlegende Aufgaben: Governance, Consulting und Audit. Governance bedeutet, Richtlinien zu erlassen und deren Einhaltung zu überprüfen; Consulting heißt, alle Bereiche des Unternehmens in Sicherheitsfragen zu unterstützen; Audit bedeutet, für die Einhaltung der Regeln geradezustehen.

Gibt es auch Dokumente, die nicht notwendig sind?

Streng juristisch interpretiert fordert der Standard nur sieben oder acht schriftliche Dokumente. In der Praxis wird damit aber niemand auskommen, und jedes Unternehmen muss für sich entscheiden, welche Dokumente notwendig sind.

Je größer die Firma ist, desto mehr ist zu dokumentieren. Der Standard bildet das ab, indem er für jedes Element auch den Nachweis fordert, dass es zu kontrollieren ist. Ein kleineres Unternehmen kann Compliance auch mit wenig Dokumentation erreichen. Im Endeffekt kommt es darauf an, dass die Maßnahmen nach ISO 27001 umgesetzt werden.

Was passiert mit den Dokumenten nach der Zertifizierung?

Sie müssen verwaltet werden, das heißt abgelegt, archiviert, upgedatet und nach jedem Update erneut freigegeben – wie alle Dokumente, die einem Managementsystem unterliegen.

Wie sollten die Dokumente nach ISO 27001 nachgewiesen werden?

Digitale Form ist akzeptiert, wichtig ist ein gewisser Grad an Visualisierung. Lösungen wie SharePoint oder Consultants sind gängige Varianten, größere Unternehmen setzen eher auf ein dediziertes Content Management System.

Zwei Hauptziele gilt es zu erfüllen:

  • Jeder Anwender muss zu jeder Zeit wissen, welche Regel gerade gilt.
  • Es muss sichergestellt sein, dass Regeln nicht plötzlich verschwinden, etwa gelöscht oder manipuliert werden. Rekonstruieren zu können, welche Regel wann gegolten haben soll, kann rechtliche Bedeutung haben.

Was bedeutet „dokumentierte Information“?

Der Begriff ist im Standard festgelegt und beinhaltet unter anderem, dass Dokumente lesbar aufbewahrt und mit einer Rechteverwaltung und Versionierung versehen werden müssen. Aktuell wird darüber gestritten, ob auch statische Information dazu zählt, etwa Papier, Word oder PDF-Dateien. Der Ausgang der Diskussion ist ungewiss, deshalb ist dies im Moment nicht zertifizierungskritisch.

Wie detailliert sollte die Dokumentation sein?

Der Detailgrad hängt vom Risiko und von der Geschäftstätigkeit eines Unternehmens ab. Der Risikomanagementprozess in einer Zehn-Mann-Firma wird sich sehr stark von dem in einem Unternehmens mit tausend oder mehr Mitarbeitern unterscheiden.

Die Dokumentation sollte so detailliert sein, dass sich diejenigen zurechtfinden, die sie verwenden – kurz: so wenig wie möglich und so viel wie nötig.

Fazit

Wer die Zertifizierung nach ISO 27001 meistern will, kommt um einen erheblichen Dokumentationsaufwand nicht herum. Es gilt, den Überblick über Informationsquellen, Verantwortlichkeiten und zu betrachtende Unternehmensbereiche zu behalten.

Holen Sie sich in unserem Artikel Übersicht der notwendigen Dokumentation für eine Zertifizierung nach ISO 27001 ausführlichere Informationen darüber, welche Dokumente Sie bereitstellen müssen, was Sie darunter verstehen und wie viel Aufwand Sie dafür einplanen sollten

Benötigen Sie Vorlagen und Orientierungshilfe für das Erstellen Ihrer Dokumentation nach ISO 27001? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.

 
Veröffentlicht am Aktualisiert am
ISO 27001 documentation checklist 212x234 DE ISO 27001 documentation checklist 800x600 MOBILE DE

Die Dokumente im Überblick

In unserer kompakten Checkliste haben wir eine Übersicht alle geforderten Dokumente für die ISO 27001-Zertifizierung zusammengestellt.

Jetzt kostenlos herunterladen
Tags Informationssicherheit ISO 27001

Über den Autor

DataGuard DataGuard
DataGuard

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

BSI Grundschutz Zertifizierung
Informationssicherheit

3 Min

BSI Grundschutz Zertifizierung

Entdecken Sie die BSI-Grundschutz-Zertifizierung für starke Informationssicherheit und bleiben Sie auf dem neuesten Stand der Praktiken.

Weiterlesen
Was ist Datenmanagement?
Informationssicherheit

3 Min

Was ist Datenmanagement?

Erfahren Sie, warum Datenmanagement wichtig ist und wie Sie es effektiv nutzen können. Bewährte Praktiken und Tools.

Weiterlesen
Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen
Was ist eine ITIL-Zertifizierung?
Informationssicherheit

6 Min

Was ist eine ITIL-Zertifizierung?

Entdecken Sie die Vorteile der ITIL-Zertifizierung: Steigern Sie Ihr Verdienstpotenzial und verbessern Sie Ihre IT-Services.

Weiterlesen
Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren