Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » ISO 27001 Dokumentation

ISO 27001 Dokumentation

Die ISO 27001 Dokumentation spielt eine zentrale Rolle bei der Einführung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). Ziel ist es, alle relevanten Prozesse, Richtlinien und Verfahren so zu dokumentieren, dass sie sowohl internen als auch externen Anforderungen gerecht werden. Dabei dient die Dokumentation nicht nur als Nachweis gegenüber Zertifizierungsstellen, sondern auch als zentrales Steuerungsinstrument für das tägliche Sicherheitsmanagement.

Statement of Applicability (SoA)

Ein wichtiger Bestandteil der ISO 27001 Dokumentation ist das Statement of Applicability (SoA), auch „Erklärung zur Anwendbarkeit“ genannt. Darin werden alle relevanten Controls (Maßnahmen) aus Anhang A der Norm aufgelistet und deren Anwendung für das eigene Unternehmen bewertet. Das SoA gibt Auskunft darüber, welche Controls (Maßnahmen) umgesetzt wurden, warum bestimmte Controls nicht umgesetzt wurden und in welcher Form die Maßnahmen angewendet werden. In manchen Organisationen wird das SoA als zentrales Dokument genutzt, um nahezu alle Informationen über die durchgeführten Sicherheitsmaßnahmen aufzunehmen. Dies kann den Vorteil haben, dass ein Großteil der Dokumentation an einer Stelle gebündelt vorliegt und somit besonders übersichtlich ist. Gleichzeitig besteht jedoch das Risiko, dass das Dokument schnell sehr umfangreich und komplex wird.

Beispiel der ISO 27001 Dokumentation Control 7.10

Statement of Applicability (SoA)

Control-ID: 7.10
Name: Speichermedien
Beschreibung: Sichere Handhabung sämtlicher Speichermedien (z. B. USB-Sticks, Festplatten) zum Schutz vertraulicher Daten.

Die Organisation hat klare Vorgaben für die sichere Verwendung von mobilen IT-Geräten und Datenträgern implementiert, um die Vertraulichkeit und Integrität sensibler Informationen zu gewährleisten. Diese Maßnahmen sind insbesondere darauf ausgerichtet, Daten auch bei der Nutzung außerhalb des Unternehmens, etwa beim Kunden, zu schützen.

Zu den definierten Sicherheitsanforderungen gehören:

  • Verschlüsselung von Geräten und Datenträgern, um die gespeicherten Daten vor unbefugtem Zugriff zu schützen.
  • Zugangsschutz durch PIN, Passwort inkl. 2FA, um die Nutzung der Geräte auf autorisierte Personen zu beschränken.
  • Eindeutige Kennzeichnung der Geräte und Datenträger, um die Zuordnung zu erleichtern und den Verlust zu minimieren.

Diese Vorgaben gelten für alle Mitarbeitenden, die mobile IT-Geräte und Datenträger im Rahmen ihrer Tätigkeit verwenden. Die Organisation orientiert sich dabei an den Vorgaben des Mobile Device Management (MDM), das zusätzliche Sicherheits- und Verwaltungsfunktionen bereitstellt. Verantwortlich für die Umsetzung ist die IT-Abteilung.

Nachweise für die Einhaltung dieser Maßnahmen umfassen:

  • Inventarlisten und Kennzeichnungsprotokolle, die die Verwaltung und Zuordnung aller mobilen Geräte und Datenträger dokumentieren.
  • Auditberichte, die die Implementierung und Wirksamkeit der Verschlüsselungs- und Zugangsschutzmaßnahmen überprüfen.
  • Schulungsnachweise, die belegen, dass Mitarbeitende im sicheren Umgang mit mobilen Geräten und Datenträgern geschult wurden.
  • Berichte zu Vorfällen, die dokumentieren, wie potenzielle Sicherheitsverletzungen behandelt und zukünftig vermieden werden.

Mitgeltende Unterlagen

  • Inventarisierung-Mobile USB-Datenträger
  • 2FA-Benutzerübersicht

ISO 27001 Dokumentation – Richtlinien

Alternativ oder ergänzend zum SoA setzen viele Unternehmen auf spezifische Richtlinien für einzelne Controls. Beispielsweise kann es für Access Management, Business Continuity oder Change Management jeweils eine eigene Richtlinie geben, die im Detail beschreibt, wie die Maßnahmen innerhalb der Organisation umgesetzt werden. Diese Vorgehensweise bietet den Vorteil, dass jede Richtlinie gezielt an den verantwortlichen Fachbereich adressiert ist und sich dadurch besser in die jeweiligen Arbeitsprozesse integrieren lässt. Zudem ermöglicht diese Variante eine klare Verantwortungszuweisung, da oft spezifische Rollen und Abteilungen benannt werden, die für die Einhaltung und Überwachung der jeweiligen Richtlinien zuständig sind.

Bei der Erstellung der ISO 27001 Dokumentation ist es zudem wichtig, stets die Anforderungen aus Risikobewertungen und den jeweiligen Compliance-Vorgaben zu berücksichtigen. Ebenso müssen alle definierten Rollen und Verantwortlichkeiten nachvollziehbar festgehalten werden, etwa für den Informationssicherheitsbeauftragten, die Geschäftsleitung oder externe Dienstleister. Durch eine sorgfältige Dokumentation wird sichergestellt, dass alle Beteiligten stets wissen, welche Maßnahmen wann und wie umgesetzt werden müssen.

Zusammenfassung

Abschließend lässt sich festhalten, dass es keine Universallösung für die perfekte ISO 27001 Dokumentation gibt. Jedes Unternehmen sollte den für sich passenden Ansatz wählen – sei es die umfassende Abbildung in der SoA oder die gezielte Erstellung einzelner Richtlinien für jede Maßnahme. Entscheidend ist, dass die Dokumentation jederzeit aktuell, klar strukturiert und für die beteiligten Stakeholder leicht zugänglich ist. Dadurch wird nicht nur der Zertifizierungsprozess vereinfacht, sondern auch ein langfristig wirksames ISMS etabliert, das die Sicherheitsziele des Unternehmens nachhaltig unterstützt.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner