Lektion 4

10 min

Dokumente und Richtlinien

In dieser Lektion erfährst du, welche Dokumente es in jedem ISMS geben muss und was bei der Erstellung und Pflege beachtet werden sollte.

Dokumentenlenkung

Die ISO 27001 fordert eine Reihe “dokumentierter Informationen”, auf welche in den folgenden Kapiteln eingegangen wird. Daneben fordert die Norm, dass die daraus resultierenden Dokumente “gelenkt” werden. Was damit genau gemeint ist, beschreibt die Norm in Kapitel 7.5. Für Details, lohnt es einen Blick dort reinzuwerfen.

Insbesondere aber ist es wichtig, dass Änderungen an Dokumenten nachvollziehbar sind. Klassischerweise, wird das über eine Versionierung und Änderungshistorie gelöst. Auch über Berechtigungen sollte sich Gedanken gemacht werden, denn jeder Mitarbeiter sollte Richtlinien lesen können aber eine Bearbeitung der Inhalte sollte lediglich einem eingeschränkten Mitarbeiterkreis möglich sein.

Das lässt sich zum einen über gängige Office-Anwendungen lösen. Besser für die Erstellung und Pflege eignen sich aber Dokumenten-Kollaborations-Tools wie z.B. Confluence des Herstellers Atlassian.

Mache dir keine Gedanken über Versionierung und Änderungshistorie. Das ISMS SmartKit basiert auf Atlassian Confluence, alle Dokumentenvorlagen sind automatisch in einer Dokumentenlenkung integriert. 

Auch über die Kommunikation von wichtigen ISMS Dokumenten, wie z.B. der Leitlinie zur Informationssicherheit, muss sich Gedanken gemacht werden. Die Inhalte der Leitlinie sollten jedem Mitarbeiter bekannt sein. Wie stelle ich also sicher, dass auch neue Mitarbeiter die Leitlinie möglichst zeitnah zum Lesen erhalten? Kann ich den Onboarding-Prozess entsprechend anpassen? 

Zu guter Letzt, ist das Schreiben von Richtlinien und anderen ISMS Dokumenten keine einmalige Aufgabe. Gegebenheiten im Unternehmen ändern sich, das ISMS entwickelt sich weiter, Dokumente müssen daher regelmäßig auf Aktualität überprüft und ggf. angepasst werden. Diese regelmäßige Überprüfung ist zu planen und zu dokumentieren, in der Änderungshistorie.