einfachISO
ISO 27001

ISO 27001 – welche Dokumente braucht man wirklich?

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
ISO 27001 – welche Dokumente braucht man?

Wer mit ISO 27001 startet, stellt schnell dieselbe Frage: Welche Dokumente brauchen wir eigentlich wirklich?

Die gute Nachricht: Für ein funktionierendes ISMS brauchen Sie in der Regel deutlich weniger Papier, als viele zuerst befürchten.

Die weniger gute Nachricht: Ganz ohne dokumentierte Informationen geht es nicht. Sie müssen bestimmte Dinge festhalten, damit Ihr ISMS steuerbar, nachvollziehbar und auditierbar wird.

Die entscheidende Frage ist deshalb nicht: "Wie viele Dokumente müssen wir schreiben?"

Sondern:

"Welche Informationen müssen wir wirklich dokumentieren, damit das System funktioniert und das Audit trägt?"

Die wichtigste Klarstellung zuerst

Die ISO 27001 spricht nicht von "Dokumenten", sondern von dokumentierter Information.

Das ist mehr als Wortklauberei. Es bedeutet: Die Norm schreibt Ihnen nicht vor, dass alles als klassische Verfahrensanweisung oder als Word-Dokument vorliegen muss. Entscheidend ist, dass die nötigen Informationen dokumentiert und beherrscht sind.

Das kann zum Beispiel sein:

  • ein klassisches (Word-)Dokument;
  • eine Tabelle;
  • ein Wiki-Eintrag;
  • ein Ticket-Workflow;
  • ein Tool mit nachvollziehbaren Einträgen;
  • ein Protokoll;
  • ein Register;
  • ein Video;
  • eine Kombination aus mehreren Formaten.

Für das Audit zählt also nicht die Papierform, sondern ob die geforderte Information vorhanden, nachvollziehbar und aktuell ist.

Was wirklich Pflicht ist

Wenn man das Thema auf den Kern reduziert, braucht ein ISO-27001-ISMS eine kleine Gruppe an dokumentierten Informationen, an denen man nicht sinnvoll vorbeikommt.

Dazu gehören typischerweise:

1. Der Anwendungsbereich

Sie müssen festhalten, welcher Teil Ihres Unternehmens überhaupt vom ISMS und von der Zertifizierung erfasst wird.

2. Die Informationssicherheitspolitik

Sie brauchen eine grundsätzliche Haltung dazu, wie Ihr Unternehmen mit Informationssicherheit umgeht.

3. Das Vorgehen für Risikobewertung und Risikobehandlung

Sie müssen nachvollziehbar beschreiben, wie Risiken identifiziert, bewertet und behandelt werden.

4. Die Ergebnisse der Risikobewertung und Risikobehandlung

Nicht nur die Methode zählt, sondern auch das Ergebnis. Es muss erkennbar sein, welche Risiken betrachtet wurden und was jetzt geschieht - d.h. welche Maßnahmen Sie gegen unvertretbare Risiken ergreifen.

5. Die Anwendbarkeitserklärung

Die SoA gehört in der Praxis zu den zentralen Unterlagen. Hier wird nachvollziehbar, welche Maßnahmen aus ISO 27001 Anhang A für anwendbar erklärt wurden und warum.

6. Informationssicherheitsziele

Sie müssen festlegen, welche Ziele Sie in der Informationssicherheit ganz konkret verfolgen und wie Sie diese erreichen wollen.

7. Nachweise zu Kompetenz

Es sollte erkennbar sein, wer für relevante Aufgaben qualifiziert ist oder entsprechend geschult wurde - oder in Zukunft wird.

8. Interne Audits

Auditprogramm und Auditergebnisse müssen nachvollziehbar sein.

9. Managementbewertungen

Wenn die Geschäftsleitung das ISMS bewertet, sollte das nicht nur behauptet, sondern auch nachweisbar festgehalten werden.

10. Abweichungen und Korrekturmaßnahmen

Wenn etwas nicht wie vorgesehen läuft, muss nachvollziehbar sein, was festgestellt wurde und was daraus folgt.

11. Relevante Überwachungs- und Messergebnisse

Wo Sie Wirksamkeit oder Zielerreichung messen, müssen auch die Ergebnisse greifbar sein.

Das Entscheidende dabei: Diese Unterlagen müssen nicht unnötig groß sein. Schlank ist völlig in Ordnung. Aber sie müssen da sein und sie müssen logisch zusammenpassen.

Der häufigste Fehler: zu viele Vorlagen, zu wenig System

Viele Unternehmen starten mit einer riesigen Vorlagensammlung und glauben, dass ein vollständiger ISO 27001-Dokumentensatz automatisch ein funktionierendes ISMS ergibt.

Genau das ist oft der Denkfehler.

Ein großes Paket mit Richtlinien, Prozessen und Formularen hilft nur dann, wenn diese Unterlagen auch zu Ihrem Unternehmen passen, verstanden werden und im Alltag wirklich genutzt werden. Sonst entsteht vor allem eines: Bürokratie ohne Wirkung.

Die bessere Herangehensweise lautet daher:

  • Pflichtunterlagen sauber aufsetzen;
  • wirklich nötige Zusatzunterlagen ergänzen;
  • alles weglassen, was nur Papier produziert.

Welche zusätzlichen Unterlagen in der Praxis oft sinnvoll sind

Neben dem Pflichtkern gibt es Unterlagen, die nicht immer ausdrücklich vorgeschrieben sind, in der Praxis aber sehr häufig sinnvoll oder sogar faktisch unverzichtbar werden.

Zum Beispiel:

Asset- oder Systemübersicht

Wenn Sie nicht wissen, welche Systeme, Anwendungen, Daten oder Dienstleister für Sie relevant sind, wird Risikomanagement schnell beliebig.

Rollen- und Verantwortlichkeitsübersicht

Gerade in kleineren Unternehmen ist vieles "irgendwie klar". Im Audit zeigt sich dann oft, dass es doch nicht klar genug ist.

Berechtigungskonzept

Sobald Zugriffe, Rollen oder privilegierte Konten relevant sind, ist eine saubere Regelung fast immer sinnvoll.

Incident-Management-Regelung

Wenn Sicherheitsvorfälle auftreten, sollte klar sein, wie gemeldet, bewertet und bearbeitet wird.

Backup- und Wiederherstellungsregelungen

Spätestens wenn Verfügbarkeit wichtig ist, brauchen Sie mehr als die Aussage „Wir sichern regelmäßig“.

Lieferanten- und Dienstleisterregelungen

Wenn externe Partner kritische Leistungen erbringen, sollte dokumentiert sein, wie Sie damit umgehen.

Regeln für Homeoffice, mobile Geräte oder Cloud-Nutzung

Solche Themen sind nicht deshalb wichtig, weil sie in jeder Vorlage vorkommen, sondern weil sie in vielen Unternehmen reale Risiken betreffen.

Was Auditoren wirklich sehen wollen

Viele Unternehmen fragen nach "den Dokumenten", weil sie glauben, das Audit sei am Ende ein formaler Dokumentencheck.

So einfach ist es nicht.

Auditoren wollen in der Regel drei Dinge erkennen:

  • Gibt es die nötigen dokumentierten Informationen?
  • Passen diese Informationen logisch zusammen?
  • Werden sie im Unternehmen auch wirklich gelebt?

Ein schlankes, klares und konsistentes ISMS ist fast immer besser als ein riesiger Dokumentenberg, der nur auf dem Papier existiert.

Wie Sie unnötige Bürokratie vermeiden

Wenn Sie ein pragmatisches ISMS wollen, helfen diese Regeln:

Nur dokumentieren, was einen echten Zweck hat

Nicht alles, was denkbar wäre, muss aufgeschrieben werden.

Komplexes und Seltenes zuerst dokumentieren

Was kompliziert ist oder nur selten vorkommt, sollte eher dokumentiert werden als tägliche Routine.

Dokumente nicht um der Dokumente willen schreiben

Der Zweck ist Steuerbarkeit, Klarheit und Nachweisbarkeit, nicht Textmenge.

Bestehende Systeme nutzen

Wenn Informationen sauber in Ticketsystemen, Wikis, Tabellen oder Registern geführt werden, muss man sie nicht künstlich in hübsche Word-Dateien umgießen.

Eigenkonstruktionen klein halten

Viele Abweichungen entstehen nicht, weil zu wenig dokumentiert wurde, sondern weil Unternehmen sich selbst zu viel und zu kompliziert auferlegt haben.

Welche Frage Sie sich statt "Welche Dokumente brauchen wir?" stellen sollten

Die bessere Frage lautet meistens:

Welche dokumentierten Informationen brauchen wir, damit unser Unternehmen verständlich, steuerbar arbeiten kann (und nebenbei auditfähig ist)?

Das ist mehr als ein sprachlicher Unterschied. Es verschiebt den Fokus weg von Vorlagen und hin zu echter Wirksamkeit.

Genau dadurch wird das Thema am Ende einfacher.

Wenn Sie jetzt starten wollen, dann nutzen Sie gerne unseren absolut kostenfreien Dokumentensatz - oder vereinbaren einfach einen unverbindlichen Termin mit uns für einen Austausch!

Häufig gestellte Fragen

Braucht man für ISO 27001 sehr viele Dokumente?
Nein. Sie brauchen einen klaren Pflichtkern und die zusätzlichen Unterlagen, die für Ihre Organisation tatsächlich nötig sind. Mehr ist nicht automatisch besser.
Muss alles als Word- oder PDF-Dokument vorliegen?
Nein. Entscheidend ist die dokumentierte Information, nicht das Format. Auch Wikis, Register, Tabellen oder Tool-Einträge können geeignet sein.
Gibt es Pflichtdokumente bei ISO 27001?
Ja. Es gibt einen Kern an Informationen, die dokumentiert und nachweisbar sein müssen, etwa Scope, Politik, Risikoverfahren, Ergebnisse, SoA, Ziele, Audits und Managementbewertungen.
Was ist die Anwendbarkeitserklärung?
Die Anwendbarkeitserklärung, oft SoA genannt, zeigt, welche Maßnahmen aus Annex A für Ihr Unternehmen als anwendbar bewertet wurden und warum. Sie gehört zu den zentralen Unterlagen im ISMS.
Reicht ein Dokumentensatz aus dem Internet?
Allein für sich genommen nein. Vorlagen können helfen, aber sie ersetzen nicht die Anpassung an Ihre tatsächlichen Prozesse, Risiken und Verantwortlichkeiten.
Was ist der häufigste Fehler bei ISO-27001-Dokumenten?
Zu viel Papier, zu wenig Praxisbezug. Viele Unternehmen dokumentieren mehr, als sie im Alltag wirklich tragen können.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.