Startseite » Informationsmanagementsysteme » Dokumentierte Information ISO 27001

Dokumentierte Information ISO 27001

Die dokumentierte Information ISO 27001 (Informationssicherheit) bezieht sich auf 16 muss Forderungen und 7 Aufzeichnungen (Nachweise). Daneben haben wir noch 18 nichtobligatorische Dokumente, die nicht zwingend erforderlich sind, identifiziert. Bei der einen oder anderen Normforderung der ISO 27001 macht es durchaus Sinn eine Verfahrensanweisung bzw. Prozessbeschreibung zu implementieren, auch wenn diese nicht zwingend erforderlich ist. Sie dienen zum besseren Verständnis für die Mitarbeiter. Hinzukommen noch einige wichtige Dokumente bzgl. der Datenschutzgrundverordnung EU-DSGVO. Diese sollten Sie nicht ausser acht lassen.

Dokumentierte Information ISO 27001
Dokumentierte Information ISO 27001

Aufzeichnungen

  • Aufzeichnungen über Schulungen (7.2)
  • Leistungsmessung (9.1)
  • Internes Auditprogramm (9.2)
  • Ergebnisse interner Audits (9.2)
  • Ergebnisse der Managementbewertung (9.3)
  • Ergebnisse Korrekturmaßnahmen (10.1)
  • Protokolle zu Anwenderaktivitäten, Ausnahmen u. Sicherheitsereignisse (A.12.4.1

Dokumente

  • Anwendungsbereich (4.3)
  • Informationssicherheitspolitik und -ziele (5.2 und 6.2)
  • Risikobewertung- und Risikobehandlungsmethodik (6.1.2)
  • Risikoeinschätzung und Risikobehandlung (6.1.2)
  • Bericht zur Risikobehandlung (8.2)
  • Erklärung zur Anwendbarkeit (6.1.3)
  • Verzeichnis der Assets (A.8.1.1)
  • Rollen, Verantwortlichkeiten für das ISMS (7.1.2 u. A.13.2.4)
  • Nutzung von Assets (A.8.11.3
  • Richtlinie für die Zugriffskontrollen (A.9.1.1)
  • Betriebsverfahren für das IT-Management (A.12.1.1)
  • Prinzipien für sichere System Entwicklung (A.14.2.5)
  • Sicherheitspolitik für Dienstleister (A.15.1.1)
  • Vorfallmanagement (A.16.1.5)
  • Verfahren für betriebliche Kontinuität (A.17.1.2)
  • Gesetzliche und behördliche Forderungen (A.18.1.1)

Dokumentierte Information

Die Erklärung der Anwendbarkeit ist neben der Risikoeinschätzung und -behandlung die wichtigste dokumentierte Information der ISO 27001. Für uns ist wichtig, unseren Kunden einen Leitfaden an die Hand zugeben, damit das Unternehmen vieles in Eigenregie durchführen kann. Nur wenn man sich mit der Norm bzw. der notwendigen dokumentierten Information der ISO 27001 auseinandersetzt, versteht man am ehesten die Verknüpfungen und den logischen Aufbau (Struktur) der ISO 27001. Nebenbei haben wir alle notwendigen Dokumente der EU-DSGVO in unsere Dokumentation implementiert. Auch die Anforderungen aus der ISO 22301 (Kontinuitätsmanagement) wurden ergänzt.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität