ISO 27001 – welche Dokumente braucht man wirklich? Das ist eine zentrale Frage, die sich viele Unternehmen beim Beginn einer anstehenden ISO 27001-Zertifizierung fragen.
"Dokumente"? - Gibt's gar nicht!
Interessant ist: In der ISO 27001 gibt es den Begriff "Dokumente" gar nicht. Die ISO 27001 spricht nur allgemein von "dokumentierter Information".
Das ist ziemlich clever, denn damit muss kein Unternehmen "Dokumente" im klassischen Sinne erzeugen - wenn das eben nicht passt.
Dokumentierte Information - was ist das?
Unter "dokumentierter Information" versteht die ISO 27001 (und ihre ältere Schwester, die ISO 9001 - denn daher kommt dieses Konzept) einfach "Information auf Trägermedium".
Und das kann alles Mögliche sein:
- Klassische Dokumente - ob ausgedruckt oder elektronisch (Wiki, PDF, Word, Excel, ...);
- Videomaterial (elektronisch, DVD, ...);
- Audioaufzeichnungen aller Art (vom MP3 bis zur Langspielplatte);
- Plakate;
- Steintafeln mit eingeritzten Hieroglyphen - und vieles mehr!
Allerdings gibt es in der ISO 27001 einige "Pflicht"-Informationen, die in jedem Fall dokumentiert werden müssen - da führt kein Weg dran vorbei:
- Der Anwendungsbereich - also die Beschreibung des Teils Ihres Unternehmens, das überhaupt ISO 27001-zertifiziert werden soll;
- Die Informationssicherheitspolitik - d.h. welche grundsätzlichen Entscheidungen es zum Thema Informationssicherheit in Ihrem Unternehmen gibt;
- Der Risikoprozess - also wie Sie methodisch vorgehen, wenn Sie nach informationssicherheitsmäßig "riskanten" Stellen in Ihrem Unternehmen suchen;
- Die Risikobewertungen und einen Risikobehandlungsplan - also das, was beim Durchführen des Risikomanagements herausgekommen ist;
- Ihre Ziele - also wohin Sie sich und Ihr Unternehmen eigentlich entwickeln wollen im Thema Informationssicherheit;
- Der Stand der Zielerreichung - d.h. wie weit waren Sie eigentlich wann genau bei Ihrer Zielerreichung;
- Kompetenznachweise - d.h. Informationen, die zeigen, wer sich zum Thema Informationssicherheit eigentlich wie weitergebildet hat (Zertifikate und so);
- Auditprogramm und Auditergebnisse - also Informationen darüber, wer Ihr Unternehmen wann zum Thema ISO 27001 auditiert hat (sowohl extern als auch intern);
- Protokolle von Managementbewertungen - die ISO 27001 möchte gerne, dass Sie sich ab und an mal treffen und beraten, wie es denn mit der Informationssicherheit weitergehen soll und dies sinnvollerweise festhalten
- Nichtkonformitäten (Abweichungen) - es kommt immer mal wieder, dass Sie feststellen, dass nicht alles so läuft wie gedacht und Sie Dinge ändern müssen - die ISO 27001 möchte, dass Sie sich dies notieren.
Und das war es auch schon. Sie sehen: alles ganz übersichtlich! Mit 10 Dokumenten (pardon - zehn "dokumentierten Informationen") kommen Sie im Pflichtprogramm absolut aus.
Und sonst nichts? - Doch!
Aber die ISO 27001 hält eine Menge von Selbstverantwortung, deswegen heißt es
Grundsätzlich muss es dokumentierte Information geben zu allem, was die Organisation für nötig hält, um wirksames Informationssicherheits-Management zu betreiben.
Und hier kommen Sie ins Spiel. Überlegen Sie sich bitte die folgenden zwei Fragen:
- Was ist zu kompliziert, um es sich einfach merken zu können? Alles, was Ihnen da einfällt, sollten Sie aufschreiben (oder einen Film drehen, oder eine Audioaufzeichnung, ...)
- Was machen wir nur sehr selten? Denn was man nur selten macht, merkt man sich nicht so einfach - erst die Routine bringt's. Alles, was Sie selten machen, sollten Sie sich besser auch aufschreiben.
ISO 27001 – welche Dokumente braucht man wirklich?
Wenn Sie wissen wollen, welche Dokumente so "typischerweise" in einem ISMS vorkommen (jenseits der 10 Pflichtdokumente), dann schauen Sie doch gerne einmal in unseren absolut kostenfreien Dokumentensatz hinein - oder vereinbaren einfach einen unverbindlichen Termin mit uns für einen Austausch!
