ISO 27001 Dokumentation

Auflistung aller relevanten Kontrollen aus Anhang A der ISO 27001: jede Maßnahme mit Nummer, Bezeichnung und kurzer Beschreibung.

Angabe, ob die Kontrolle im Unternehmen angewendet wird, mit Begründung bei nicht angewendeten Maßnahmen.

Beschreibung der Art der Umsetzung, zum Beispiel über Richtlinien, Prozesse, technische Maßnahmen oder organisatorische Regelungen.

Orientierung: Mitarbeitende können in Richtlinien und Prozessen nachlesen, welche Regeln gelten, wer verantwortlich ist und wie mit sensiblen Informationen umzugehen ist.

Auditfähigkeit: Externe und interne Auditoren finden Nachweise, Bewertungen und Entscheidungen schnell und strukturiert in der Dokumentation wieder.

Kontinuität: Änderungen im ISMS, zum Beispiel neue Maßnahmen, geänderte Risiken oder organisatorische Anpassungen, werden nachvollziehbar dokumentiert. So bleibt das System langfristig steuerbar.

Control Kennung: 7.10, Bezeichnung: Speichermedien, Normbezug: ISO 27001:2022 Anhang A.

Ziel der Maßnahme: Kontrollierte Nutzung von mobilen Datenträgern und Geräten, um Vertraulichkeit und Integrität von Informationen sicherzustellen.

Geltungsbereich: Alle Personen, die mobile Speichermedien verwenden, zum Beispiel USB Speicher, externe Festplatten, Laptops oder mobile Geräte mit lokalen Daten.

Richtlinie zum Umgang mit Speichermedien, in der geregelt ist, welche Medien genutzt werden dürfen, wann Verschlüsselung erforderlich ist und wie Datenträger vor unbefugtem Zugriff geschützt werden.

Einsatz von Verschlüsselungstechnologie auf mobilen Endgeräten und externen Datenträgern, ergänzt durch Passwortschutz oder Mehrfaktor Authentifizierung.

Verwaltung über ein Mobile Device Management System mit Funktionen zur zentralen Konfiguration, Inventarisierung und bei Bedarf Fernlöschung verlorener Geräte.

Inventarlisten und Kennzeichnungsschemata für mobile Endgeräte und Speichermedien.

Protokolle und Auditberichte über die Überprüfung von Verschlüsselung, Berechtigungen und Nutzung von Speichermedien.

Schulungsnachweise für Mitarbeitende zum sicheren Umgang mit mobilen Geräten und Datenträgern.

Richtlinien Dokumente, zum Beispiel Umgang mit mobilen IT Geräten, Backup und Wiederherstellung, Incident Management Prozesse.

Für wesentliche Bereiche der Informationssicherheit, zum Beispiel Zugriffskontrolle, Backup, Business Continuity oder Incident Management, werden eigenständige Richtlinien erstellt.

Diese Richtlinien beschreiben Ziel, Geltungsbereich, konkrete Maßnahmen, Überprüfungsintervalle und Verantwortlichkeiten und sind mit den Controls aus Anhang A verknüpft.

So entsteht eine in sich schlüssige Dokumentation, die sowohl im Alltag nutzbar als auch im Audit leicht nachzuverfolgen ist.

Zentrale Rollen sind zum Beispiel der Informationssicherheitsbeauftragte, die Geschäftsleitung, Fachbereichsverantwortliche und gegebenenfalls externe Dienstleister.

In der Dokumentation sollte ersichtlich sein, wer welche Aufgaben übernimmt, wer Maßnahmen freigibt und wer Prüfungen oder Audits durchführt.

Klare Verantwortlichkeiten reduzieren Reibungsverluste und erhöhen die Verbindlichkeit von Maßnahmen im Informationssicherheits Managementsystem.

Richtlinien werden einmal erstellt, aber nicht regelmäßig aktualisiert. Dies führt zu Abweichungen zwischen Dokumentation und gelebter Praxis.

Unklare Verantwortung für das Statement of Applicability und die Pflege der ISO 27001 Dokumente.

Keine saubere Verbindung zwischen Risiken und Maßnahmen. Die Dokumentation spiegelt die Risikobewertung nicht nachvollziehbar wider.

Fehlende Versionierung und Änderungshistorien, was im Audit zu Rückfragen und potenziellen Abweichungen führen kann.

Dokumentenstruktur planen und festlegen, welche Dokumente zentral im SoA und welche dezentral in Richtlinien oder Prozessbeschreibungen geführt werden.

Rollen und Verantwortlichkeiten definieren, zum Beispiel für die Pflege des SoA, für Richtlinien und für regelmäßige Reviews.

Jede Maßnahme mit der Risikobewertung verknüpfen und dokumentieren, welches Risiko durch welche Kontrolle adressiert wird.

Versionierung und Freigabeprozesse etablieren, damit jederzeit klar ist, welche Dokumente gültig sind und wer Änderungen autorisiert hat.

Schulungen durchführen, damit Mitarbeitende wissen, wo Dokumente liegen, wie sie anzuwenden sind und welche Rolle die Dokumentation in Audits spielt.

Plattformen wie SharePoint, Wiki.js oder spezialisierte ISMS Software ermöglichen zentrale Ablage, automatische Versionierung, Freigabe Workflows und Audit Trails.

Erinnerungsfunktionen für regelmäßige Reviews erleichtern es, die Dokumentation aktuell zu halten, ohne dass Einzelpersonen permanent an Fristen denken müssen.

Nachweise wie Protokolle, Reports oder Audit Ergebnisse lassen sich direkt mit den Kontrollen aus Anhang A verknüpfen und im Audit gezielt abrufen.

Ein mittelständisches Unternehmen verknüpfte Auditfragen und Nachweise direkt mit den ISO 27001 Kontrollen in einer ISMS Lösung. Dadurch konnten interne Audits systematisch vorbereitet werden.

Ergebnis war eine deutlich reduzierte Vorbereitungszeit, eine höhere Transparenz für Auditoren und eine bessere Nachvollziehbarkeit von Maßnahmen und Verbesserungen im Informationssicherheits Managementsystem.

eine dokumentierte Informationssicherheitsstrategie oder Leitlinie, in der Ziele, Geltungsbereich und Grundsätze des ISMS beschrieben sind.

eine Risikoanalyse und ein Risikobehandlungsplan, aus denen hervorgeht, welche Risiken identifiziert wurden und wie sie behandelt werden.

ISO 27001 Dokumentationsliste und Beispiele

Eine praxisnahe ISO 27001 Dokumentationsliste unterscheidet zwischen vorgeschriebenen dokumentierten Informationen und sinnvollen Ergänzungen. Häufig umfasst sie Richtlinien und Prozesse zu folgenden Themen:

Wie umfangreich muss eine ISO 27001 Dokumentation sein

Der Umfang hängt stark von Größe, Struktur und Risikoprofil der Organisation ab. Ein Konzern mit globaler IT und vielen Standorten benötigt eine umfangreichere Dokumentation als ein kleines Unternehmen mit überschaubarer Systemlandschaft.

Das Statement of Applicability dient Auditoren und internen Verantwortlichen als Nachweis dafür, dass alle relevanten Maßnahmen bewertet, dokumentiert und wirksam umgesetzt wurden. In vielen Organisationen ist das SoA das zentrale Steuerungsinstrument für das gesamte Informationssicherheits Managementsystem.

Orientierung im Unternehmen Mitarbeitende verstehen klar definierte Abläufe und wissen, wie sie mit vertraulichen Informationen, IT Systemen und Sicherheitsrichtlinien umgehen sollen.

Verbesserte Auditfähigkeit Auditoren benötigen nachvollziehbare Nachweise. Eine gut strukturierte Dokumentation erleichtert den Auditprozess erheblich und reduziert Rückfragen.

Basis für kontinuierliche Verbesserung Änderungen in Prozessen, Technologien oder Risiken lassen sich nur dann effektiv steuern, wenn die Dokumentation den aktuellen Stand widerspiegelt.

Beide Ansätze basieren auf einem systematischen Management der Informationssicherheit. ISO 27001 liefert das Rahmenwerk für das Informationssicherheits Managementsystem, TISAX leitet große Teile seiner Anforderungen aus der ISO 27001 und deren Kontrollen ab. Der VDA ISA Fragenkatalog orientiert sich stark an den Maßnahmen aus Anhang A.

In beiden Fällen stehen Themen wie Risikomanagement, Zugriffsschutz, physische Sicherheit, Netzwerksicherheit, Lieferantensteuerung, Incident Management und kontinuierliche Verbesserung im Mittelpunkt. Wer ein sauberes ISO 27001 System dokumentiert hat, deckt bereits einen wesentlichen Teil der TISAX Anforderungen ab.

ISO 27001 ist branchenneutral und beschreibt Anforderungen eher auf Managementebene. Wie die Kontrollen praktisch umgesetzt werden, bleibt der Organisation weitgehend selbst überlassen. TISAX hingegen ist branchenspezifisch und legt einen stärkeren Fokus auf konkrete Anforderungen der Automobilindustrie, zum Beispiel Prototypenschutz, Umgang mit Entwicklungsdaten und sichere Entwicklungsstandorte.

Während ISO 27001 auf ein Zertifikat durch eine akkreditierte Stelle abzielt, arbeitet TISAX mit Assessment Levels und einer Austauschplattform der ENX Association. Die Ergebnisse werden dort veröffentlicht und selektiv mit Geschäftspartnern geteilt. In der Dokumentation bedeutet dies, dass TISAX oft mehr Nachweise im Bereich Prototypenschutz, Zutrittsregelung, Besucher Management und vertragliche Absicherung vertraulicher Daten erfordert.

Das Statement of Applicability und die zugehörigen Kontrollen sind eine gute Grundlage für die Beantwortung vieler VDA ISA Fragen. Maßnahmen zu Zugriffsschutz, Netzwerksicherheit, Verschlüsselung, Backup oder Incident Management lassen sich nahezu unverändert als Nachweise für das TISAX Assessment verwenden.

Richtlinien in Bereichen wie Passwort Management, Clean Desk, Mobile Device Management, Backup, Logging oder Nutzung externer Dienstleister sind sowohl für ISO 27001 als auch für TISAX relevant. Sie können weitgehend identisch geführt werden, ergänzt um wenige automotive spezifische Anforderungen wie Prototypenschutz oder Geheimhaltungsstufen.

Risikoanalyse, Asset Register, Rollen und Verantwortlichkeiten, Schulungs nachweise und interne Auditberichte sind typische ISMS Dokumente, die in beiden Welten als Kernnachweise dienen. Wichtig ist, dass für TISAX zusätzlich die spezifischen Anforderungen zu Prototypen, Projekten und Kundenanforderungen abgebildet werden.

In der Praxis starten viele Unternehmen mit einem sauberen ISO 27001 System und erweitern ihre Dokumentation zielgerichtet um TISAX spezifische Nachweise. So lassen sich Aufwand und Kosten deutlich reduzieren, ohne an Tiefe und Auditfähigkeit zu verlieren.

Moderne KI Systeme können große Datenmengen aus Log Dateien, Schwachstellen reports und Vorfallsmeldungen auswerten. So lassen sich Muster erkennen, die auf wiederkehrende Risiken oder neue Angriffstrends hinweisen.

KI kann Eintrittswahrscheinlichkeiten und mögliche Schadenshöhen vorschlagen und so bei der Priorisierung von Risiken unterstützen. Dies hilft, Maßnahmen gezielt auf die kritischsten Bereiche auszurichten.

Teilweise können Tools sogar passende Kontrollen aus Anhang A vorschlagen, die zu bestimmten Risikoprofilen passen. Die finale Bewertung und Freigabe sollte jedoch immer durch den Informationssicherheitsbeauftragten erfolgen.

KI Werkzeuge können vorhandene Dokumente mit den Anforderungen der ISO 27001 abgleichen und auf fehlende Nachweise, widersprüchliche Aussagen oder unvollständige Passagen aufmerksam machen.

Auf Basis der Analyse lassen sich Checklisten für interne Audits generieren. Diese können direkt auf bestimmte Controls, Prozesse oder kritische Themen fokussiert werden.

Erinnerungsfunktionen und automatische Hinweise auf fällige Reviews oder überalterte Dokumente unterstützen die kontinuierliche Pflege der ISO 27001 Dokumentation.

Sprachmodelle können Formulierungen für Richtlinien, Verfahrensanweisungen oder Risikoanalysen vorschlagen. Dies spart Zeit und sorgt für eine einheitliche Sprache im gesamten ISMS.

KI kann Inkonsistenzen aufdecken, zum Beispiel wenn in verschiedenen Dokumenten unterschiedliche Regelungen zum gleichen Thema beschrieben sind. Solche Hinweise helfen, die Dokumentation zu bereinigen.

Zusammenfassungen komplexer Dokumente unterstützen das Management, Entscheidungsgrundlagen schneller zu erfassen. So lassen sich Managementberichte effizienter erstellen.

Aus Auditdaten, Vorfällen und Kennzahlen kann KI Wiederholungsmuster ableiten. Diese Muster zeigen, in welchen Bereichen das ISMS strukturelle Verbesserungen benötigt.

Auf Basis der Auswertungen lassen sich priorisierte Verbesserungsvorschläge generieren, zum Beispiel zusätzliche Kontrollen, Anpassungen von Richtlinien oder ergänzende Schulungen.

So unterstützt KI den Gedanken der fortlaufenden Verbesserung und hilft, das Informationssicherheits Managementsystem an veränderte Bedrohungslagen anzupassen.

KI ist ein Hilfsmittel, das Routinearbeiten in der ISO 27001 Dokumentation erleichtern kann. Sie ersetzt jedoch nicht die fachliche Bewertung und Verantwortung der Organisation.

Entscheidend bleibt, dass die Dokumentation aktuell, klar strukturiert und für alle Beteiligten zugänglich ist. Nur dann erfüllt sie ihre Aufgabe als tragende Säule des Informationssicherheits Managementsystems.

Durch eine durchdachte Kombination aus klaren Prozessen, guter Dokumentation und gezieltem Einsatz von KI Werkzeugen schaffen Unternehmen ein ISMS, das effizient, transparent und zukunftsfähig ist.